В декабре 2020 года в рамках SOC Forum live 2020 прошла «АнтиПленарка 2:0», ведущими которой выступили Алексей Качалин, управляющий директор Центра киберзащиты Сбербанка, и Сергей Краснов, ведущий телеканала РБК-ТВ.

По замыслу организаторов, эта сессия в череде докладов экспертов в области ИБ, которые неискушенному наблюдателю большей частью могли показаться разновидностью ритуалов с произнесением мало кому понятных заклинаний и мантр, должна была стать самой конфликтной и напряженной частью всего форума. Ее участникам предлагалось обычным языком в неформальной обстановке в рамках баттла объяснить топ-менеджерам своих клиентов и акционерам, на что именно уходят их инвестиции в SOC/SIEM. Кто лучше объяснит — тот и победитель.

Слева направо: Владимир Дрюков, Дмитрий Гадарь, Алексей Новиков, Сергей Краснов, Роман Овчинников и Алексей Качалин. Фото: ib-bank.ru

Но на то она и «АнтиПленарка», чтобы все пошло не так. Победителем стал человек, который доказал, что SIEM в финансовой организации не нужна вовсе. Таким героем оказался Дмитрий Гадарь, CISO Тинькофф Банка. Вместе с ним на сцене боролись за победу Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелеком-Солар», Алексей Новиков, директор экспертного центра безопасности компании Positive Technologies, и Роман Овчинников, руководитель отдела исполнения компании Security Vision.

Первые овации Дмитрий Гадарь сорвал в ходе обсуждения выступления Владимира Дрюкова: «Стандартизация и формализация SOC — это вопрос околонаучный». Это прозвучало в контексте обсуждения того, что по сравнению с областью удостоверяющих центров и криптографии в целом, где редко что меняется, в SOC изменения могут быть ежедневными.

Вот тут-то баттл и начался по-настоящему. Коллеги не сошлись во мнении о скорости изменений. Некоторые претенденты на победу утверждали, что и в SOC, и в криптографии по существу ничего не менялось уже лет десять. Как оказалось, в «Тинькофф» время идет гораздо быстрее, и, если в этом подразделении ничего не меняется, значит это «унылый SOC», который не видоизменяется под напором спектра актуальных угроз, а отвечает только на вопрос о количестве событий, инцидентов, источников фидов и т.д. Зачем он тогда вообще нужен бизнесу?

Слева направо: Владимир Дрюков, Дмитрий Гадарь и Алексей Новиков. Фото: ib-bank.ru

Дальше — больше! Получив место у трибуны и право слова, Дмитрий Гадарь пошел в атаку и продолжил, как он сам выразился, «околонаучную тему, связанную с необходимостью SIEM в банке (или в SOC в общем случае)». ИБ в банке должна стартовать с оценки рисков и оценки необходимого набора действий по управлению этими рисками. В связи с этим ИБ — это не вещь в себе, а бизнес-ориентированное подразделение. Поэтому нет ничего печальнее того, когда ИБ строится на базе технологий, которые не имеют ничего общего со снижением рисков. Важно ориентироваться на то, что SOC, включая SIEM, как технология, по сути, не является обязательным компонентом контура ИБ, как и «пианино для балерины, которая может танцевать и без него».

Один из ведущих в этот момент прервал докладчика и на всякий случай спросил: «Вы не пытаетесь сейчас защитить диплом в первый раз?». Но как показало итоговое голосование, спикер вполне мог претендовать на сдачу докторской диссертации. Однако это стало очевидно в конце шоу, а пока он продолжил свою партию.

Существуют бизнес-системы, например банкоматные сети, в которых все описано и стандартизировано. Вся ИБ в них заключается в сравнении текущего состояния с эталонным с целью поиска отклонений. Если они есть — необходимо реагирование. И для этого процесса нужен только SOC.

Ведущие не унимались. Почувствовав наконец «запах жареного», они, как профессиональные шоумены, предложили забыть о тезисах о ненужности SIEM, ибо это «скучно», а перевести баттл в фазу эндшпиля и отдать спикера «на растерзание» коллегам.

Слева направо: Владимир Дрюков, Сергей Краснов и Дмитрий Гадарь. Фото: ib-bank.ru

Первый укол заключался в том, что описать все бизнес-процессы в Тинькофф Банке попросту невозможно, это сродни «геометрии Лобачевского». У одного из нападавших был в свое время аналогичный проект, заказчик высоко оценил его результат и тут же сунул отчет в шредер. Потом последовали второй, третий уколы в сторону спикера из «Тинькофф». Но все тщетно. Дмитрий Гадарь продолжал свою линию: «ИБ строится от оценки риска, от процессов и людей, а не от тех инструментов, которые оказались под рукой и могут быть как нужными, так и нет».

Это обнаружилось в ходе спада хайпа вокруг SOC и SIEM, когда из-за осевшего тумана стало заметно проникновение в банки кроссплатформенной IT-инфраструктуры. 

Подведение итогов показало, что Дмитрий Гадарь набрал почти 51% голосов зрителей в свою поддержку, что заметно опечалило его оппонентов, но тем не менее, позволило жюри признать за Дмитрием Гадарем титул «Гадарь вселенной».

«Штатный тролль-комментатор первого канала трансляции», бизнес-консультант по ИБ Cisco Алексей Лукацкий, подводя общий итог сессии, отметил: «Отрасли уже давно нужна некая стандартизация в сфере SOC. Но это должны быть не малопонятные документы от регуляторов, а свод практик от непосредственных участников процесса».