В рамках данного мастер-класса мы разберем, что мониторинг — это не только SIEM! Это люди, процессы, инструменты. «Кто-то считает, что можно купить SIEM и все станет безопасным само собой, на самом деле это не так». Центр мониторинга работает силами множества команд. Именно симбиоз этих команд позволяет в целом заниматься мониторингом и реагировать на инциденты.

Мы обсудим следующие темы. Централизованный сбор событий информационной безопасности (стандартизация процессов сбора событий и журналов событий), разработка правил обнаружения (выявление признаков атак, нарушений политик ИБ), выявление и регистрация инцидентов (подтверждение нарушений и сбор цифровых доказательств), реагирование на инциденты (принятие мер на снижение возможных последствий) и выработка мероприятий для недопущения подобных инцидентов (база знаний, доработка политик, обучение персонала).

Но следует отметить, что главный актив мониторинга ИБ — это все же люди. Несмотря на изобилие средств защиты информации, именно специалист дежурной смены мониторинга кибербезопасности осуществляет первичный анализ того, что произошло. Сильная и компетентная команда определяет исход возможного противостояния со злоумышленником, будь это внешний нарушитель или инсайдер. Для достижения этой цели требуется непрерывное развитие членов команды.

«Построить SOC окончательно нельзя, потому что это путь»

Спикер: