Собственный центр мониторинга и обнаружения инцидентов информационной безопасности (Security Operation Center - SOC) дает компании много преимуществ: полный контроль над процессами мониторинга, анализа и реагирования на кибератаки, гибкость настроек и масштабируемость. И как следствие рост киберустойчивости компании.
Однако организация и поддержание корпоративного In-house SOC требует значительных инвестиций в оборудование, программное обеспечение, персонал и его обучение. Поэтому перед принятием решения о его создании необходимо тщательно оценить затраты и потребности предприятия.
В эфире AM Live вы узнаете о плюсах и минусах собственного SOC, и с чего следует начинать его строительство. Ведущие эксперты по ИБ также расскажут о must have и продвинутых инструментах SOC и том, каких распространенных ошибок при построении и эксплуатации SOC важно избежать.
Модератор: Илья Шабанов, Генеральный директор, «АМ Медиа»
Спикеры:
- Андрей Дугин, Руководитель Центра сервисов информационной безопасности, МТС RED
- Максим Струпинский, Архитектор проектов по информационной безопасности, R-Vision
- Роман Назаров, Руководитель SOC Консалтинг, «Лаборатория Касперского»
- Анастасия Федорова, Директор по развитию Центра мониторинга кибербезопасности, «К2 Кибербезопасность»
- Александр Кузнецов, Руководитель группы архитектуры Solar JSOC, ГК «Солар»
- Александр Дорофеев, Генеральный директор, «Эшелон Технологии»
- Андрей Шаляпин, Руководитель управления мониторинга киберугроз, BI.ZONE
- Алексей Пешик, Ведущий инженер-эксперт, Security Vision
00:00:00 Начало эфира и представление спикеров
00:08:16 Условия для строительства собственного SOC
00:13:23 При каких условиях имеет смысл строить собственный SOC
00:22:29 Плюсы и минусы собственного SOC
• Плюсы: больше контроля, выращивание внутренней экспертизы, гибкая интеграция в инфраструктуру, персональная проработка модели угроз, гибкость настроек и масштабируемость.
• Минусы: стоимость, зашоренность, низкая видимость угроз, высокие затраты.
00:30:38 Какие требования законодательства закрывает корпоративный SOC
• Закон о персональных данных №152 ФЗ и защите критической информационной инфраструктуры №187 ФЗ.
• Указ президента №250, расширяющий список организаций, которые должны выполнять мониторинг и реагирование на инциденты.
• Требования к лицензированию и аттестации технической защиты конфиденциальной информации.
00:35:57 Требования регуляторов, которые помогает закрыть собственный SOC
• Требования к регистрации событий безопасности и информированию от НКЦКИ
• Увеличение штрафов за утечки персональных данных и короткие сроки информирования Роскомнадзора.
• SOC как инструмент для управления инцидентами и закрытия требований к мониторингу и реагированию.
00:37:58 Цели строительстве собственного SOC
00:41:14 Сроки и бюджеты строительства SOC
00:45:03 К кому можно обратиться за помощью в создании корпоративного SOC
00:50:26 Гибридная модель строительства SOC
00:53:50 Использование внешних сервисов и аутсорсинга
00:56:51 Технологическое устройство SOC
• Три уровня: сбор данных, анализ данных и поддержка принятия решений.
00:58:36 Подходы к построению системы мониторинга
01:03:49 Слепые зоны и приоритеты подключения источников событий
01:12:29 Сбора логов от ИТ-систем и их обработка
01:14:07 Ядро SOC - SIEM, SOAR и XDR
01:19:48 Визуализация работы SOC и дашборды
01:25:32 Отчеты о результатах работы SOC
01:30:40 Детектирующая логика в SOC
01:36:32 Где брать правила корреляции событий
01:42:01 Покупка готовых правил корреляции у коммерческого SOC и их адоптация
01:47:05 Где брать данные Threat Intelligence, информацию о техниках, процедурах и инструментах атакующих
01:55:12 Автоматизация и реагирование на инциденты информационной безопасности
01:58:56 Оповещение или активное реагирование
02:02:48 Ошибки при строительстве SOC
02:06:30 Советы по строительству собственного сока
02:14:35 Прогнозы на будущее
02:21:53 Искусственный интеллект и генеративные модели в SOC
• Обсуждение использования искусственного интеллекта для детектирования аномалий и использования генеративных моделей для подсказывания действий.
• Упоминание о необходимости локализации данных для использования искусственного интеллекта.
Календарь трансляций AM Live на сайте live.anti-malware.ru/
Телеграм-канал t.me/anti_malware
По вопросам рекламы:
sales@anti-malware.ru