Эксперт Jet CSIRT принял участие в баттле «Прошлое, настоящее и будущее Incident Management»

12.10.2018

Автоматизация процессов, метрики эффективности и управление ожиданиями – эти вопросы горячо обсуждались в ходе дискуссии «Прошлое, настоящее и будущее Incident Management» на MONT Security Day 3 октября в Москве. Мероприятие проходило в необычном формате: на ринге в словесном поединке сражались вендоры, системные интеграторы и потребители решений. «Инфосистемы Джет» в баттле представлял Алексей Мальнев, руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT.

Mont_Security_Day_2018_4.jpg

Вместе с ним в белом углу ринга выступали Лев Палей, начальник отдела ИТ-обеспечения защиты информации компании «СО ЕЭС», Сергей Бровкин, руководитель SOC Альфа-Банка, и Муслим Меджлумов, директор по управляемым сервисам кибербезопасности BI.ZONE. Команда оппонентов – представителей вендоров – расположилась в синем углу ринга, где объединились Олег Бакшинский, ведущий советник по вопросам защиты информации IBM, Иван Яковлев, технический эксперт McAfee и Николай Романов, архитектор решений TrendMicro.

Рефери поединка выступил Олег Седов, главный редактор BISA. Открывая баттл, он отметил, что в сегодняшних реалиях нивелировать киберугрозы одними человеческими ресурсами невозможно: действия хакеров с каждым днем становятся всё более изощренными, количество и скорость распространения атак стремительно растут, при этом на рынке информационной безопасности сохраняется проблема кадрового голода. Процессы реагирования на инциденты нуждаются в автоматизации, заключил Олег Седов. Модератор напомнил статистику «Лаборатории Касперского», которая ранее сообщала, что ее специалисты ежедневно обрабатывают около 300 тысяч вредоносных сигнатур. Очевидно, что вручную с таким объемом справиться невозможно, резюмировал рефери и обратился к участникам ринга с вопросом: «Кто-нибудь может мне прокомментировать, как сейчас выглядит автоматизация службы информационной безопасности на предмет реагирования на инциденты»? Именно вокруг этой темы дискуссия сосредоточилась в первом раунде баттла.

Олег Бакшинский, отвечая на вопрос рефери, отметил, что за последние три года удалось сократить среднее время детектирования угроз (Mean Time To Detect, MTTD). Лев Палей напомнил, что, по статистике, только в 5% случаев инциденты расследуются до конца, а также проиллюстрировал точку зрения примером. Он рассказал об исследовании компании SecureWave, в рамках которого три молодых специалиста потратили в общей сложности 660 часов на определение причины инцидента по методологии Root Cause Analysis (RCA). Две трети времени у них ушло на процессы, которые, по мнению эксперта, требуют автоматизации: фазу инициации и анализа. Продолжительность первой драматически сокращается с ростом экспертизы специалистов, вторую можно ускорить с помощью решений на базе технологий машинного обучения, заключил представитель компании «СО ЕЭС». Муслим Меджлумов отметил, что автоматизация может быть необходима на разных этапах цепочки kill-chain, но целесообразна она только тогда, когда по Принципу Парето 20% усилий удается решить 80% проблем. Алексей Мальнев высказал точку зрения, согласно которой автоматизация не заменяет человека, а лишь позволяет снизить нагрузку на персонал по операционным задачам. В то же время это накладывает повышенные требования к компетенциям специалистов, отвечающих за настройку автоматизации. Также руководитель Jet CSIRT подчеркнул, что сегодня блок Incident Response пока еще слишком сложен для автоматизации, несмотря на то, что многие участники рынка склонны к его упрощению.

Mont_Security_Day_2018_2.jpg

Во втором раунде рефери предложил участникам ринга поразмышлять над вопросом эффективности инцидент-менеджмента. Сергей Бровкин, в частности, отметил, что бизнес в первую очередь понимает и ориентируется на SLA – соглашение об уровне обслуживания. Ключевая позиция Муслима Меджлумова сводилась к тому, что заказчики прежде всего смотрят на экономически эффективные проекты и только потом рассматривают качественные. Алексей Мальнев заявил, что количественная оценка рисков – сложная задача во многих отраслях, поэтому здесь дополнительную мотивацию заказчикам дает законодательство и требования регуляторов. Иван Яковлев высказал мнение о том, что статистика угроз ничего не даст – убедить заказчика в эффективности инцидент-менеджмента можно только примерами реальной потери денег в результате успешных атак. 

Третий, финальный раунд, был посвящен управлению завышенными ожиданиями заказчика от функционала ИБ-решений и борьбе с последующими разочарованиями. «Что делать, когда маркетинговая пена оседает и вместе с ней уходят красивые термины и аббревиатуры, которых очень много на рынке?» – спросил Олег Седов. Муслим Меджлумов предложил обратиться к базе знаний MITRE ATT&CK, в которой дана классификация тактик и техник известных киберпреступников. По словам эксперта, этот фреймворк хорош тем, что позволяет понять, какое средство защиты необходимо использовать для детектирования угроз в той или иной операционной системе. «На мой взгляд, CISO и всей команде безопасности важно попытаться хотя бы раз примерить эту матрицу на себя, и тогда будет понятно, позволяет ли существующий в компании ИБ-«зоопарк» детектировать хотя бы половину известных атак», – подчеркнул представитель BI.ZONE. Алексей Мальнев заключил, что данная матрица может быть хорошей аргументацией только для 10% заказчиков, тогда как подавляющему большинству достаточно понимать, что они поставили инфраструктуру на защиту.