Событие которого ждали и готовились и искрометно шутили шутками - SOCFоrum 2.0 прошло быстро и безболезненно. Но тут кому как конечно - организаторы - Авангард и Солар (как максимально вкладывающиеся в мероприятие) выглядели потраченными, проинвестировавшими в это короткое яркое мероприятие все накопившиеся силы.
После запуска этого мероприятия в прошлом году(было хорошо!), несмотря на ворчание нескольких блоггеров-поИБэ , я рассчитывал что второй заход получится ещё лучше - насыщенней, энергичнее, ярче. В целом всё так и получилось. Начиная от подготовки - отличная работа команды BizTV и проморолики, думаю заинтересованность и охват широких слоёв специалистов во многом получился благодаря и площадки - билетыкончились даже для всеми любимых заказчиков и регуляторов было тяжело изыскивать уже за неделю до. Отличная площадка, аудитория - активная как в кулуарах так и в слушании докладов.
Собственно о программе. Для однодневного мероприятия удалось "вписать" довольно много докладов. Открытие было монументальным - видео (много положительных отзывов) и крайне посредственном звуке в зале (многомата и боли сожалений по этому поводу).
Пленарка была весьма пленарной. Скажем так - опасения по поводу возможного переполнения зала не оправдались, хотя посетителей уже к открытию было больше чем зал был способен принять. На этом ритуальная часть закончилась и, собственно, заработали все 4 (считая коридоры) потока.
Сессия "Информирование об инцидентах" - думаю многие её ждали, чтобы там не говорили - если SIEM - это компонент SOC, то ГосСОПКА в понимании (часто оправданном) многих - это то что надо SOC, то для чего их, собственно и нужно сделать чтобы отстали внести свой вклад в защищенность ведомства и инфраструктуры государства.
Оценивать манеру выступать и оформлять презентации, хотя как обычно ворчали коллеги по коридорам - дескать он по бумажке, ну так он же хорошо читает, готовился настоящая Старая Школа живет в этих текстах. Пересказывать презентации не буду - благо они будут доступны, а на них всё более чем однозначно, как это принято в гос.презентациях зафиксировано. Оценивать манеру выступать и оформлять презентации - также не стану. Здорово что есть динамика - презентации разные, структура стала четче (хотя кое где простыни текста развивались по ветру), информативность сохранилась.
В целом - скорее понравилось. Было полезно - есть над чем подумать в плане развития нормативки и соответствия и основных гос.программ/взаимодействия с регуляторами по ним.
Чего мне немного не хватило в SOCForum 2.0:
- Маломало мало мало огня в пленарке. Я хочу ещё намного больше. Хотя и в таком формате она имела своего слушателя. С другой стороны - думаю никто не огорчится если дебатов будет больше, а заявления резче.
- Дискуссионных круглых столов. В зале явно были знающие люди - как от вендоров/интеграторов, так и заказчиков. Надо дать им слово.
- Общения с коллегами по орг.комитету/модераторству. Со многими увиделись до и, затем, только после конференции - в процессе были заняты своими секциями.
- Сводки по конференции. Посетить всё по понятным причинам не получится, минус специализированной конференции - интересно практически всё.
Отсюда простая идея - собирать модераторов после завершения программы с обсуждением "произошедшего".Что мы и сделали вечером в караоке. Магнитогорск-стайл!
Вечерняя сессия возможно (хватило бы сил) или внеочередное заседание SOC-клуба - вполне могло бы решить эти вопросы.
Про добавить: думаю можно и нужно всё же ставить простые и жесткие правила даже для спонсорских докладов.Иначе бить. Думаю реально попробовать.
Ждём следующий год.
После запуска этого мероприятия в прошлом году(было хорошо!), несмотря на ворчание нескольких блоггеров-поИБэ , я рассчитывал что второй заход получится ещё лучше - насыщенней, энергичнее, ярче. В целом всё так и получилось. Начиная от подготовки - отличная работа команды BizTV и проморолики, думаю заинтересованность и охват широких слоёв специалистов во многом получился благодаря и площадки - билеты
Собственно о программе. Для однодневного мероприятия удалось "вписать" довольно много докладов. Открытие было монументальным - видео (много положительных отзывов) и крайне посредственном звуке в зале (много
Пленарка была весьма пленарной. Скажем так - опасения по поводу возможного переполнения зала не оправдались, хотя посетителей уже к открытию было больше чем зал был способен принять. На этом ритуальная часть закончилась и, собственно, заработали все 4 (считая коридоры) потока.
 |
| Оберег от ФСТЭК. Защищает от уязвимостей |
Оценивать манеру выступать и оформлять презентации, хотя как обычно ворчали коллеги по коридорам - дескать он по бумажке, ну так он же хорошо читает, готовился
В целом - скорее понравилось. Было полезно - есть над чем подумать в плане развития нормативки и соответствия и основных гос.программ/взаимодействия с регуляторами по ним.
 |
| Технологии SOC - заводилы АК и Лев Шумский |
О сессии "Технологии SOC" - предрекалась массой негатива - многие утверждали, дескать будет сплошная реклама на канале. И многие были правы. Но лишь отчасти.
Я высказывал свою позицию коллегам, нашел понимание, напишу и тут, ежели вы через Интернеты более смелые поспорить - так давайте, думаю можем очертить для таких мероприятий границы дозволенного но если что я вычислю вас по аЙПи.
Так вот. Для таких секций неминуемы представление аудитории компаний и продуктов(и даже Володя Дрюков всем своим видом призывал на солнечную сторону силы, ЕВПОЧЯ, но держался).
Плохая сторона рекламы, рекламного доклада - навязчивость (мы лучшие мы лучшие), непогружение в детали, размытость деталей (мы лучшие, а почему - не скажем), манипуляции (наш продукт самый лучший, потому что мы самые умные).
Так вот этого всего не было в большей части докладов! Да, были громкие заявления, но они в большинстве обосновывались, можно спорить. Да были спорные подходы и неоднозначные заявления, но потом те кто их произносил призывались к ответу. И так далее.
А главное, я следил за аудиторией - было интересно. То есть. Те кто пришли на секцию с совершенно однозначным содержанием не за ради поругания продающих докладов, а чтобы узнать что-то новое - таки это новое получили. Практически никто из зала не выходил, в телефонах не сидел кроме меня и Льва - но у нас есть оправдание.
Другими словами одно дело - навязчивый ролик в ТВ про "я томат" на бесконечном повторе, другое - небольшая экскурсия по заводу с демонстрацией как устроен производственный цикл. Впрочем второе тоже может быть рекламой и довольно занудной. Дело в деталях.
 |
| "Хорошая презентация и вопросы интересные" Николай Смирнов, о докладе |
Собственно по деталям и персоналиям. Так сказать кратко, для истории.
Сомодерировали мы эту вакханалию сессию с Львом Шумксим. И первым делом завели как это сейчас модно в телеграмме чатик для всех любителей SOC. Я пока не знаю что с ним дальше будет - просто оставлю это здесь. Далее доклады:
- Владимир Дрюков вскрывал SOC. Результаты аутопсии от настолького живущего практикой товарища - всегда интересно. В докладе немного не хватило раскрытия собственно технологического стека, мы немного обсудили это в качестве вопросов. Думаю всем будет интересно послушать "что под капотом" у Солара в плане технологий и как оно взаимоувязано. Всегда есть следующий раз. PHDays например. ;)
- Владимир Бенгин призывал общественность думать о конечной пользе SIEM для SOC и
в быту. Действительно частая проблема, когда внедрение SIEM планируется с прицелом что проект никогда не закончится (три года на внедреж - все три раза поменяется). Был Владимир допрошен и про Коробочный Подход(tm). И как разобрались в результате обсуждений во время и после - эта история она же в большей степени про стремление. Кто-то хочет стремиться к Коробке, кто-то собираетвсё из ниток и соломы и обшивает кожей заказчикана месте из опенсорса. Думаю мы услышим продолжение этой дискуссии на всех последующих мероприятиях. - Алексей Васильев показывал скриншоты, говорил про "Наш Подход". Что-то там есть, но что именно и зачем и как это можно потребить - получилось нипааняаатна.
- Алексей Титов рассказывал о визуализации. Получилось не слишком. С точки зрения визуализации (т.е. отображения многомерных данных при помощи параметризуемых графических примитивов) - были некие доазбучные истины. С точки зрения SIEM - до SIEM не дошли. Но в целом думаю тема с визуализацией как статической, так и динамической - большая и важная история, освещается мало, хочется больше.
Вот Лица Чернова, например, недостаточно широко используются. - Безусловно ярким и фееричным получилось ответочка от Макса Степченкова. Было несколько я бы сказал, неординарных и запоминающихся заявлений. Про комбинаторику защиты пинов телефона
от женыот жены, про недоверие, с которым Макс относится к людям читающим логи. Ну и в конце мы вместе с залом выяснили что все у всех могут красть.Не исключая регулятора. - Тем самым рекламным в плохом смысле докладом получился доклад про SOC следующего поколения.
- А вот идеи про эволюцию threat-intel для SOC от Виктора Ивановского - вполне в русле как технологического развития в целом, так и идеи самой секции, говорилось и про TTP vs IOC и немного про разметку TI-данных (а это отдельная большая тема, вплоть до самой до ГосСОПКИ надо будет прикидывать уровни доверия).
- Ну и наконец - кокетливый
(мы это никогда не продадим)доклад Кирилла Ермакова - это действительно такой заброс в завтрашний день, анализ пользователей поисковиков, ThreatIntel из ThreatIntel'a с большими данными и нейронными сетями. Осталось блокчейн прикрутитьбез блокчейна ты нынче не инноватори всё.
Хотя для большинства последние инновационные идеи - вопрос пока даже не послезавтрашнего дня, секция в целом показала с чего начинать, чем заниматься "здесь и сейчас", где сейчас линия горизонта. Дабы предстоящее внедрение SIEM не смущало например.
Чего мне немного не хватило в SOCForum 2.0:
- Мало
- Дискуссионных круглых столов. В зале явно были знающие люди - как от вендоров/интеграторов, так и заказчиков. Надо дать им слово.
- Общения с коллегами по орг.комитету/модераторству. Со многими увиделись до и, затем, только после конференции - в процессе были заняты своими секциями.
- Сводки по конференции. Посетить всё по понятным причинам не получится, минус специализированной конференции - интересно практически всё.
Отсюда простая идея - собирать модераторов после завершения программы с обсуждением "произошедшего".
Вечерняя сессия возможно (хватило бы сил) или внеочередное заседание SOC-клуба - вполне могло бы решить эти вопросы.
Про добавить: думаю можно и нужно всё же ставить простые и жесткие правила даже для спонсорских докладов.
Ждём следующий год.
