четверг, 17 ноября 2016 г.

SOCForum 2.0. Технологии SOC and more.

Событие которого ждали и готовились и искрометно шутили шутками - SOCFоrum 2.0  прошло быстро и безболезненно.  Но тут кому как конечно - организаторы - Авангард и Солар (как максимально вкладывающиеся в мероприятие) выглядели потраченными, проинвестировавшими в это короткое яркое мероприятие все накопившиеся силы.

После запуска этого мероприятия в прошлом году(было хорошо!), несмотря на ворчание нескольких блоггеров-поИБэ , я рассчитывал что второй заход получится ещё лучше - насыщенней, энергичнее, ярче. В целом всё так и получилось. Начиная от подготовки - отличная работа команды BizTV и проморолики, думаю заинтересованность и охват широких слоёв специалистов во многом получился благодаря  и площадки - билеты  кончились даже для всеми любимых заказчиков и регуляторов    было тяжело изыскивать уже за неделю до. Отличная площадка, аудитория - активная как в кулуарах так и в слушании докладов.



Собственно о программе. Для однодневного мероприятия удалось "вписать" довольно много докладов. Открытие было монументальным - видео (много положительных отзывов) и крайне посредственном звуке в зале (много мата и боли сожалений по этому поводу).
Пленарка была весьма пленарной. Скажем так - опасения по поводу возможного переполнения зала не оправдались, хотя посетителей уже к открытию было больше чем зал был способен принять. На этом ритуальная часть закончилась и, собственно, заработали все 4 (считая коридоры) потока.

Оберег от ФСТЭК. Защищает
от уязвимостей
Сессия "Информирование об инцидентах" - думаю многие её ждали, чтобы там не говорили - если SIEM - это компонент SOC, то ГосСОПКА в понимании (часто оправданном) многих - это то что надо SOC, то для чего их, собственно и нужно сделать чтобы отстали внести свой вклад в защищенность ведомства и инфраструктуры государства.

Оценивать манеру выступать и оформлять презентации, хотя как обычно ворчали коллеги по коридорам - дескать он по бумажке, ну так он же хорошо читает, готовился  настоящая Старая Школа живет в этих текстах.  Пересказывать презентации не буду - благо они будут доступны, а на них всё более чем однозначно, как это принято в гос.презентациях зафиксировано. Оценивать манеру выступать и оформлять презентации - также не стану. Здорово что есть динамика - презентации разные, структура стала четче (хотя кое где простыни текста развивались по ветру), информативность сохранилась.

В целом - скорее понравилось. Было полезно - есть над чем подумать в плане развития нормативки и соответствия и основных гос.программ/взаимодействия с регуляторами по ним.



Технологии SOC - заводилы АК и Лев Шумский
О сессии "Технологии SOC" - предрекалась массой негатива - многие утверждали, дескать будет сплошная реклама на канале.  И многие были правы. Но лишь отчасти. 

Я высказывал свою позицию коллегам, нашел понимание, напишу и тут, ежели вы через Интернеты более смелые поспорить - так давайте, думаю можем очертить для таких мероприятий границы дозволенного но если что я вычислю вас по аЙПи. 

Так вот. Для таких секций неминуемы представление аудитории компаний и продуктов(и даже Володя Дрюков всем своим видом призывал на солнечную сторону силы, ЕВПОЧЯ, но держался). 

Плохая сторона рекламы, рекламного доклада - навязчивость (мы лучшие мы лучшие), непогружение в детали, размытость деталей (мы лучшие, а почему - не скажем), манипуляции (наш продукт самый лучший, потому что мы самые умные). 

Так вот этого всего не было в большей части докладов! Да, были громкие заявления, но они в большинстве обосновывались, можно спорить. Да были спорные подходы и неоднозначные заявления, но потом те кто их произносил призывались к ответу. И так далее. 

А главное, я следил за аудиторией - было интересно. То есть. Те кто пришли на секцию с совершенно однозначным содержанием не за ради поругания продающих докладов, а чтобы узнать что-то новое - таки это новое получили. Практически никто из зала не выходил, в телефонах не сидел кроме меня и Льва - но у нас есть оправдание

Другими словами одно дело - навязчивый ролик в ТВ про "я томат" на бесконечном повторе, другое - небольшая экскурсия по заводу с демонстрацией как устроен производственный цикл. Впрочем второе тоже может быть рекламой и довольно занудной. Дело в деталях.
"Хорошая презентация и вопросы интересные" Николай Смирнов,
о докладе 

Собственно по деталям и персоналиям. Так сказать кратко, для истории.
Сомодерировали мы эту вакханалию сессию с Львом Шумксим. И первым делом завели как это сейчас модно в телеграмме чатик для всех любителей SOC. Я пока не знаю что с ним дальше будет - просто оставлю это здесь. Далее доклады:

  • Владимир Дрюков вскрывал SOC. Результаты аутопсии от настолького живущего практикой товарища - всегда интересно. В докладе немного не хватило раскрытия собственно технологического стека, мы немного обсудили это в качестве вопросов. Думаю всем будет интересно послушать "что под капотом" у Солара в плане технологий и как оно взаимоувязано. Всегда есть следующий раз. PHDays например. ;)
  • Владимир Бенгин призывал общественность думать о конечной пользе SIEM для SOC и в быту. Действительно частая проблема, когда внедрение SIEM планируется с прицелом что проект никогда не закончится (три года на внедреж - все три раза поменяется). Был Владимир допрошен и про Коробочный Подход(tm). И как разобрались в результате обсуждений во время и после - эта история она же в большей степени про стремление. Кто-то хочет стремиться к Коробке, кто-то собирает всё из ниток и соломы и обшивает кожей заказчика на месте из опенсорса. Думаю мы услышим продолжение этой дискуссии на всех последующих мероприятиях.
  • Алексей Васильев показывал скриншоты, говорил про "Наш Подход". Что-то там есть, но что именно и зачем и как это можно потребить - получилось нипааняаатна.
  • Алексей Титов рассказывал о визуализации. Получилось не слишком. С точки зрения визуализации (т.е. отображения многомерных данных при помощи параметризуемых графических примитивов) - были некие доазбучные истины. С точки зрения SIEM - до SIEM не дошли. Но в целом думаю тема с визуализацией как статической, так и динамической - большая и важная история, освещается мало, хочется больше. Вот Лица Чернова, например, недостаточно широко используются.
  • Безусловно ярким и фееричным получилось ответочка от Макса Степченкова. Было несколько я бы сказал, неординарных и запоминающихся заявлений. Про комбинаторику защиты пинов телефона от жены от жены, про недоверие, с которым Макс относится к людям читающим логи. Ну и в конце мы вместе с залом выяснили что все у всех могут красть. Не исключая регулятора.
  • Тем самым рекламным в плохом смысле докладом получился доклад про SOC следующего поколения. 
  • А вот идеи про эволюцию threat-intel для SOC от Виктора Ивановского - вполне в русле как технологического развития в целом, так и идеи самой секции, говорилось и про TTP vs IOC и немного про разметку TI-данных (а это отдельная большая тема, вплоть до самой до ГосСОПКИ надо будет прикидывать уровни доверия). 
  • Ну и наконец - кокетливый (мы это никогда не продадим) доклад Кирилла Ермакова - это действительно такой заброс в завтрашний день, анализ пользователей поисковиков, ThreatIntel из ThreatIntel'a с большими данными и нейронными сетями. Осталось блокчейн прикрутить без блокчейна ты нынче не инноватор и всё.
Хотя для большинства последние инновационные идеи - вопрос пока даже не послезавтрашнего дня, секция в целом показала с чего начинать, чем заниматься "здесь и сейчас", где сейчас линия горизонта. Дабы предстоящее внедрение SIEM не смущало например.




Чего мне немного не хватило в SOCForum 2.0: 
- Мало мало мало мало огня в пленарке. Я хочу ещё намного больше. Хотя и в таком формате она имела своего слушателя. С другой стороны - думаю никто не огорчится если дебатов будет больше, а заявления резче.

- Дискуссионных круглых столов. В зале явно были знающие люди - как от вендоров/интеграторов, так и заказчиков. Надо дать им слово.

- Общения с коллегами по орг.комитету/модераторству. Со многими увиделись до и, затем, только после конференции - в процессе были заняты своими секциями.

- Сводки по конференции. Посетить всё по понятным причинам не получится, минус специализированной конференции - интересно практически всё.

Отсюда простая идея - собирать модераторов после завершения программы с обсуждением "произошедшего". Что мы и сделали вечером в караоке. Магнитогорск-стайл! 
Вечерняя сессия возможно (хватило бы сил) или внеочередное заседание SOC-клуба - вполне могло бы решить эти вопросы.

Про добавить: думаю можно и нужно всё же ставить простые и жесткие правила даже для спонсорских докладов. Иначе бить. Думаю реально попробовать.

Ждём следующий год.