СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Солар
19 ноября
#Новости #Dev#ИБ#ИИ#Инфра

SOC Forum в цитатах. День 2

SOC Forum в цитатах. День 2

Обсуждение актуальных вопросов кибербезопасности и смежных тем продолжилось на SOC Forum 2025, ключевом отраслевом форуме по информационной безопасности. Уже более 7 000 гостей встретились на площадке, чтобы посетить панельные дискуссии, доклады, стенды игроков рынка кибербезопасности и информационных технологий, а также представить свой взгляд на ИБ для государства, бизнеса и практикующих специалистов. Программа форума и дополнительный контент доступен онлайн в формате «Кибербез ТВ» — онлайн присоединилось за два дня более 15 000 зрителей!

Продолжаем делиться с вами ключевыми событиями форума и интересными высказываниями спикеров.

Второй день SOC Forum 2025 открылся панельной дискуссией «Как информационная безопасность становится частью корпоративной ДНК». Участники обсудили, какой вклад вносит государство, ИТ-отрасль и бизнес в общее дело достижения технологического суверенитета. Взгляд на роль кибербезопасности в создании защищенной на всех уровнях экосистемы представил Владимир Дрюков, директор Центра противодействия кибератакам Solar JSOC, ГК «Солар». Он рассказал, как архитектору комплексной кибербезопасности удается переиспользовать лучшие практики, при этом сохраняя конфиденциальность заказчиков и учитывая уникальность каждой ситуации.

«Мы многогранная компания: мы и вендор, и интегратор, и провайдер, у нас большая насмотренность. Как коммерческий сервис-провайдер мы защищаем больше 1 000 клиентов, и есть перекрестное опыление. У одного заказчика что-то случилось, у другого ты уже понимаешь, какой был инцидент, забираешь индикатор, сценарий работы, то есть, следующего клиента защищает уже быстрее от аналогичной атаки. Действительно, с одной стороны, важно не нарушить NDA и не переиспользовать знание, которое для заказчика является уникальным. Но когда возникает боевой инцидент, особенно «у соседа», всем очень интересно и хочется, чтобы индикаторами быстрее поделились, и есть регулятор, НКЦКИ, который этим процессом управляет. Это тонкий баланс: есть нормативная база, есть юридические риски и есть желание как можно быстрее помочь клиенту.

Насмотренность позволяет этот баланс держать и, в том числе, инвестировать ее в свою вендорскую часть. Мы для себя сформулировали, что наши продукты делают ИБ-специалисты для ИБ-специалистов. У нас разработчик может подняться на этаж выше, где сидит инженер внедрения, или на этаж ниже, к аналитику SOC, и спросить: «Тебе какая галочка будет удобнее, как удобнее писать сценарии?». Этот симбиоз дает хороший эффект, чтобы успешно решать задачи клиентов».

На полях SOC Forum «Солар» и Московский институт электроники и математики (МИЭМ) Национального исследовательского университета «Высшая школа экономики» (НИУ ВШЭ) заключили соглашение о стратегическом сотрудничестве. Основная цель — решение кадрового дефицита в сфере ИБ через создание практико-ориентированных образовательных программ и совместную научно-исследовательскую деятельность.

Это сотрудничество особо актуально на фоне растущей напряженности в киберпространстве, когда бизнес и госсектор остро нуждаются в сильных специалистах по ИБ, но полученные студентами во время обучения знания быстро устаревают.

Необычную для SOC Forum, но остроактуальную сегодня тему затронули на сессии «От кликбейта до утечки данных: как манипулируют нашим вниманием и безопасностью». Участники обсудили проблемы распространения информации о киберпреступлениях в условиях неконтролируемого новостного потока и широкого доступа к медиаканалам с разных точек зрения: традиционных и интернет-СМИ, когнитивной психологии и кибербезопасности. Были затронуты вопросы взаимодействия между журналистами и представителями компаний, подверженных атакам, а также влияние негативных и тревожных новостей на читателей.

Модератор Сергей Курьян, основатель АО «НЕЙРОСЕТИ», напомнил: «Мы живем в эпоху постправды, когда в течение пяти минут после события оно представляется с пяти–шести разных точек зрения. А мозгу надо мало: хлеба и зрелищ. Этим пользуются те, кто манипулирует нашим вниманием и безопасностью. Волна киберфейков — от фальшивых новостей о взломах до фиктивных утечек данных — создает атмосферу паники и недоверия». Модератор предложил экспертам рассказать о том, как можно этому противостоять, и задал вопрос: «Как вы сами себя чувствуете в потоке тревожных новостей и как справляетесь?»

Александр Вураско, директор по развитию центра мониторинга внешних цифровых угроз Solar AURA, ГК «Солар»: «Прежде всего в современном мире надо не торопиться, а все перепроверять. Мы живем в эпоху, когда поток информации большой, и даже авторитетные источники не всегда выдают достоверные факты.

Почему компании в случае атаки не спешат заявить о ней и предупредить, а предпочитают сначала разобраться? Потому что если даже в каком-то паблике написали об атаке, может быть много объяснений: опубликовали данные, связанные с инцидентом пятилетней давности, или это просто дезинформация, в том числе от самих хакеров. Прежде чем давать внешнюю коммуникацию, нужно внутри разобраться. В компании должен быть чек-лист, как действовать в такой ситуации: понять, был ли инцидент, оценить его серьезность, время на восстановление, принять меры против эскалации и только потом перейти к коммуникации. Кроме того, надо диверсифицировать информацию, которую вы выдаете партнерам и во внешние СМИ, потому что там ее будут читать в том числе и злоумышленники».

Анатолий Сулейманов, основатель tg канала Baza, отметил, что недостаток коммуникации — тоже ошибка: «В случае с коммерческим СМИ, наш бизнес — это интерес аудитории, поэтому не дать информацию, которая касается многих людей, мы не можем. Возникает дилемма между тем, чтобы выдать информацию быстрее всех или перепроверить, потому что если выдаешь информацию, которая оказывается ложной, то это рубец на сердце. Таких случаев было немного, но я каждый помню очень хорошо. Поэтому, если, например, произошел взлом компании, и первоисточник этой информации хакерская группировка, которая взяла на себя ответственность, мы дожидаемся комментария и уже тогда ссылаемся на первоисточник. Но часто от компании вообще не происходит никакой коммуникации, потому что не договорились, не согласовали, и упустили возможность повлиять на инфополе».

Александр Митяев, главный редактор медиа «Киберболоид», предположил, что компаниям необходима платформа, чтобы транслировать свою точку зрения, и ей могут стать профессиональные медиасообщества: «Я вижу, что последствия самого киберинцидента зачастую даже мягче чем то, что происходит в инфополе. И создается впечатление, что хакеры иногда и не преследуют финансовую выгоду, а просто хотят раздуть сенсацию, чтобы компания пострадала репутационно. Авторитетное СМИ за подтверждением информации пойдут в отраслевые каналы, где собрана узкоспециальная экспертиза, а экспертиза, сколько бы сейчас не хвалили ИИ, на стороне специалистов, в профессиональных медиа. Кибербезопасники, например, очень надежные спикеры, они умеют перепроверять и иногда даже сами себе не верят».

Кирилл Сидоров, директор по цифровому развитию ТАСС, рассказал о подходе агентства к публикациям о киберпреступлениях:

«Все СМИ борятся за кликабельные заголовки, а первое, что людям интересно, это негатив. Некоторые издания грешат тем, что публикуют новость, а через неделю она оказывается недостоверной, и ее убирают: набрали просмотры, собрали деньги за рекламу и могут теперь извиниться и признать, что это был фейк. ТАСС, конечно, себе это позволить не может. Есть новостные ленты, которыми обмениваются все информагентства в мире, до 3 500 новостей в день не видит никто, кроме наших партнеров. Это один из источников верификации, помимо работы с первоисточником, как и наша широкая сеть корреспондентов. Прежде, чем выдать сенсационную новость, мы ее перепроверяем, а часть новостей мы принципиально не публикуем».

Элиана Монахова, когнитивный нейроученый; научный работник Института когнитивных нейронаук НИУ ВШЭ; автор научно-популярного канала «Нейроны и стрелки», участница проекта «Мультивселенная ученых» при поддержке Минобрнауки РФ в рамках Десятилетия науки и технологий, прокомментировала тезис о большем интересе к негативу: «Да, это действительно так работает. В целом, когда мы говорим про фейковые новости, они более эмоционально окрашенные, яркие, сенсационные. А у людей есть запрос на то, чтобы обладать уникальной информацией — этим частично объясняется и феномен конспирологических убеждений, если приводить животрепещущие примеры. Есть такое когнитивное искажение как предвзятость к негативу: отрицательная информация воспринимается как более ценная, мы стремимся ей поделиться. И наоборот, мы ощущаем себя некомфортно, когда другие люди знают что-то, чего не знаем мы».

Дискуссия прошла в рамках SOC Forum при поддержке «Киберболоида», нового СМИ о кибербезопасности от практиков отрасли. А тем временем на сессии «CISO в новой реальности: ответственность, полномочия и эволюция роли» участники SOC Forum 2025 поговорили о взаимодействии специалистов ИТ и ИБ.

«20 лет назад, когда я приходил в кибербез, ключевой задачей было выполнить требования и не получить штраф от регулятора: чтобы все документы, гостайна, персональные данные были в порядке. Это и сейчас, безусловно, важно, однако далее кибербез стал более сложным и осознанным, фокус сместился на задачу собрать грамотную команду. А сегодня наметился новый уровень взаимодействия между ИТ и ИБ, что обычно выражается термином patch management», — начал дискуссию директор центра противодействия кибератакам Solar JSOC ГК «Солар» Владимир Дрюков.

«Почта России» совместно с ГК «Солар» (генеральным архитектором проекта), «Лабораторией Касперского», Positive Technologies и «Инфосистемы Джет» подвела итоги первой фазы трехлетнего проекта по построению киберустойчивой инфраструктуры. Об этом представители Почты России и участники проекта рассказали на пресс-конференции в рамках SOC Forum 2025.

Участники рассказали, что внедрили более 30 подсистем кибербезопасности, реализовали ключевые механизмы защиты, провели киберучения, чтобы по итогам корректировать защитные меры. Над проектом работает свыше 250 экспертов по кибербезопасности из 22 ИБ-компаний, а общие трудозатраты по проекту уже составили около 100 человеко-лет. «Солар» как генеральный архитектор программы проектов разработал единую процессную модель, чтобы интегрировать все подсистемы защиты и достичь киберустойчивости.

На сессии «Как подготовить компанию к разрушительной кибератаке» эксперты SOC Forum 2025 обсудили важнейший вопрос, заявленный в ее же названии. Сегодня киберпреступники так или иначе взламывают до половины российских компаний, свидетельствуют данные «Инфосистем Джет». В этой связи дискуссия пришла к важности подготовки к ИБ-инцидентам.

«Понять и прочувствовать историю можно только погрузившись в гущу событий. Например, во время эвакуации упереться в закрытую дверь, вдобавок с большим количеством людей за спиной. Хорошо, если это учебная тревога. Поэтому важно достигать автоматизма действий во время киберучений. Мы на практике видим огромную разницу между компаниями, которые уделяют время киберучениям, и теми, которые нет. Градус паники в команде тоже очень отличается в зависимости от подготовки: более тренированные команды ей меньше поддаются», — отметил операционный директор центра мониторинга и противодействия кибератакам Solar JSOC ГК «Солар» Антон Юдаков.

На сессии «Архитектура безопасности: как построить систему, которая защищает сегодня и адаптируется завтра» участники обсудили практические подходы к проектированию архитектуры, в которой безопасность — не барьер, а встроенное свойство системы. Модератор сессии Антон Ефимов, директор департамента архитектуры стратегических проектов ГК «Солар», пояснил цель дискуссии: «Сегодня все строят системы по устоявшимся шаблонам и best practices, а некоторые из них уже три года как перестали работать. Постоянно меняющийся ИТ-ландшафт и ландшафт угроз требуют, чтобы система могла адаптироваться каждый день, и ее не приходилось переделывать под меняющиеся условия. Давайте обсудим, с какими проблемами вы сталкиваетесь при построении такой системы. Как сделать так, чтобы была настоящая, а не «бумажная» безопасность?».

Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC, ГК «Солар», также принял участие в сессии «Рынок ИБ глазами заказчиков: как управлять рисками цепочки поставок в промышленности». Эксперты обсудили опасность «эффекта домино», когда уязвимость одного подрядчика может привести к коллапсу безопасности всей цепочки и высказались, как создать систему управления рисками, которая охватывает всех участников процесса.

«Инцидентов с подрядчиками стало больше и, как реакция, большие системные игроки начали системно заниматься кибербезом, это плюс. Заказчики тоже в конце концов начали что-то делать: наконец-то пересчитали количество админов у своего подрядчика, а не как раньше позволяют пользоваться одной общей учеткой, появилась двухфакторная аутентификация. И большие, и малые компании выстроили первый редут защиты в отношении атак через цепь поставок. Мы как компания в отрасли кибербезопасности никак не можем допускать риск подвести своих заказчиков и стать вектором проникновения в их инфраструктуру. У нас это в максимальном фокусе внимания, мы в это инвестируем, когда выбираем подрядчика. Если вы обращаетесь, например, за разработкой к небольшому подрядчику, надо понимать, что для него вы, скорее всего, единственный клиент. В такой ситуации все расходы на кибербезопасность он погрузит в ваш контракт. И это уже решение вашего бизнеса: готовы ли вы платить в три раза больше за безопасного подрядчика или выберете дешевого?».

В условиях тотальной цифровизации ИТ-компании стали основой функционирования бизнеса и госорганов. Всего одна успешная атака на разработчика ПО или провайдера услуг открывает злоумышленникам доступ к сотням клиентов и критически важным производственным системам. На SOC Forum 2025 эта мысль легла в основу сессии «Информационная безопасность в сфере ИТ: большая сила — большая ответственность». Сегодня заказчик понимает требования к киберзащите: у многих компаний есть заранее продуманные главные стратегии защиты и сценарии «Б» на разные случаи.

«При этом около половины заказчиков до сих пор не имеют автоматических систем управления доступом, а примерно 40% — не удаляют старые учетные записи. Поэтому главный вызов со стороны вендора сегодня — дать участникам рынка качественный продукт для всех сегментов (и крупным, и средним, и небольшим заказчикам) и покрыть все сценарии, которые к 2025 году уже понятны всему рынку», — подчеркнул руководитель центра технологий кибербезопасности ГК «Солар» Иван Вассунов.

Обсуждение вопросов кадров в ИБ, образования и внутреннего резерва кадров, начатое в первый день SOC Forum, продолжилось на сессии «SOC как центр компетенций: развитие и обучение талантов». Никита Обидин, директор по развитию образовательной деятельности ГК «Солар», рассказал об образовательной платформе Solar Method.

«Мы стартовали примерно 1,5 года назад, потому что наша компания, которая более 10 лет защищает все главные магниты для хакеров, созрела для того, чтобы делиться своей экспертизой. А образование — хороший способ это делать. Мы научились нашу экспертизу, в том числе Solar JSOC, крупнейшего в России коммерческого SOC-центра, подтягивать и упаковывать в образовательные программы для разный ролей и разных форматов».

Спикер отметил необходимость индивидуального подхода к карьерным трекам в команде:

«Во главу угла встает желание самого человека. Нет необходимости каждому сотруднику идти в управление, на руководящую роль. Кому-то интересно развиваться глубь, кому-то расти вертикально, кому-то зарабатывать больше денег. Атмосфера внутри коллектива — драйвер к развитию, самопознанию, росту экспертности, когда зарождается некое сообщество экспертов. Если вовремя замечать эту инициативу, это может быть ключом к развитию команды».

Участники сессии поспорили о реальной эффективности киберучений для получения новых навыков. Никита Обидин выразил уверенность, что киберучения — базовый минимум. «ИБ как отрасль очень быстро развивается, образование за ней должно успевать. Киберучения, на мой взгляд, достаточно хороший инструмент — при правильном формате использования. Мы его нащупали. На старте в рамках учений видны пробелы команды защиты в тех или иных компетенциях, и мы из отчета это видим. Под эти компетенции мы предлагаем персонализированный трек, а на выходе делаем еще одни учения. Рост компетенции — порядка 30%, для бизнеса это очень ощутимая разница».

Завтра состоится третий, заключительный день SOC Forum продолжится, который традиционно в первую очередь посвящен технологиям и практике. Также итоги своей работы подведет зона «Киберстарт», где выберут и наградят лучшие технологические проекты в ходе Open Advisory Board.

Солар
Автор: Солар
«Солар» — эксперт в кибербезопасности российского бизнеса. Здесь о технологиях, инструментах и людях, которые защищают компании от кибератак.
Комментарии: