20 дек. 2013 г.

Кто как считает свои zero day?

Многие безопасные компании меряются таким параметром - качество работы их исследовательской лаборатории. Качество работы вещь измеримая и это два параметра (напоминаю, что весь этот блог это мое личное мнение):
  1. Скорость написания фильтров для имеющихся в мире уже известных уязвимостей.
  2. Производительность новых исследований и вовремя найденная уязвимость до атаки хакеров (каждая новая атака это zero day).
Первый параметр я не знаю как измерять. На практике, как правило, ты берешь конкретный CVE и смотришь - есть он в базе IPS данного вендора или нет. Есть заказчики которые так делают, но их единицы. Остальные обычно смотрят в отчет NSS Labs. NSS Labs как раз берет и присылает в IPS уже известные миру дырки и несколько неизвестных. Для этого NSS Labs сама покупает с рынка несколько новых zero day плюс где-то еще закупает уже известные эксплойты. Самая засада, что в отчете NSS Labs непонятно какие же конкретно дырки они проверяли и какие конкретно дырки конкретный IPS пропустил. Загадочный тест, но единственный в индустрии. Так что, дорогие заказчики, делайте тесты сами: берите любимую в NSS программу Tomahawk и берите pcap атак и пропускайте в тестовый IPS. Либо какой-то сканер безопасности. У меня есть PCAP если что.

Второй параметр измеряют по числу найденных zero-day. И тут все пишут у кого сколько за год. В принципе, мне приятно что я работаю в компании которая находит 200-300 уязвимостей в год благодаря проекту Zero Day Initiative (ZDI), что больше чем другие коммерческие компании, все вместе взятые. И я "с высоты полета" просматриваю кто еще чем занимается. 

Сегодня меня заинтересовало PR сообщение FireEye о том, что они нашли за 2013 год 11 уязвимостей zero-day. Улыбнуло конечно :) HP ZDI где-то 270 с лишним уже нашли в 2013 году.

Из исследовательских побуждений, я решил проанализировать первую из описанных _победных_ уязвимостей, найденных FireEye: CVE-2013-3893

Если заглянуть в Technet Microsoft, то там в MS13-080 есть благодарности нам (HP ZDI) за то что мы нашли эту уязвимость и рассказали Микрософту, но ни одной благодарности в сторону FireEye.

Если заглянуть в блог FireEye, то там есть лишь анализ этой уязвимости. И да, они обнаружили что этой уязвимостью кого-то атаковали в Японии. Ну молодцы, че.

Возник вопрос: а Вы ли в FireEye нашли эту уязвимость? Доказательств того, что это именно их zero day я не нашел. И как они считают свои и не свои?

В HP TippingPoint сделали просто: написали приложение на php, которое проходит по всему Microsoft Technet и считает сколько раз Microsoft упоминало в комментариях компанию и говорило ей спасибо за помощь в поиске. Вот, например, статистика по найденным zero day для продуктов Microsoft от различных компаний.


28 нояб. 2013 г.

Роскомнадзор, Ростелеком, Group-IB

Введение

Прочитав, статью на Хабре про то, что Роскомнадзор приказал Ростелекому заблокировать IP адрес сайта Group-IB, хочу прокомментировать.
Да ситуация абсурдная. Давайте разберемся.

Текущая ситуация на 28.11.2013
  1. Один явно неглупый человек в Роскомнадзоре принимает заявки-жалобы на "плохие сайты" и затем, вместо URL сайта, вписывает в "черный список" его IP адрес. Почему он так делает? Выполняет указ депутатов. Понимает ли он, что за одним IP адресом чаще всего скрывается много доменов? Да, поскольку это написано во всех новостях.
  2. Другой явно неглупый человек в Ростелекоме ставит где-то там список доступа на роутере или на межсетевом экране на блокирование этого адреса. Почему он так делает? Приказ руководства. 
  3. Плохие люди, а также целая группа хороших людей, обнаруживает что их сайты больше нельзя посетить, потому что Ростелеком блокирует к их сайтам доступ. Они все сразу меняют IP адрес, в DNS это занимает максимум сутки и продолжают работать дальше.
  4. Есть и продолжение: если сайт хороший и известный и его блокировка отражается в новостях, тогда есть еще офигенная забава: перетереть это в новостях. Ну тут уж много неглупых людей собирается, особенно в комментах. Собственно и я не удержался. Перетру.
В итоге, вся эта система работает вхолостую, лишь создавая негативные информационные поводы. Моего ребенка она как не защищала, так и не защищает, так и не будет защищать. А вот это уже обидно.

Основная идея

К чему это все. Будучи в здравом уме и светлой памяти я вижу несколько вариантов.

  1. Отменить это все. Ну тут мне одному не справиться. Нужны еще другие люди в здравом уме и светлой памяти. Живя лично в России уже 38 лет и читая труды классиков, догадываюсь, что этот вариант отпадает.
  2. Начать блокировать все-таки по URL. Здесь как раз начинается то, о чем я хотел поговорить.


Фильтрация по URL

В упомянутой статье был приведен диалог между Group-IB и Ростелекомом, с мыслью о том, что для реализации идеи фильтрации URL нужен DPI и мало того почему-то дешевый.
Выжимка:
»Известия": Для снятия блокировки сайта компании Group-IB, «Ростелеком» рекомендовал сменить IP-адрес
«Group-IB»: пусть наркоторговцы меняют IP
«Ростелеком»: IP в реестре eais.rkn.gov.ru, можете обжаловать решение ФСКН и Роскомнадзора в установленном порядке
«Group-IB»: судебный процес научит Ростелеком в 21м веке блокировать ресурсы по url
«Ростелеком»: Мы готовы выслушать ваши предложения по бюджетному внедрению DPI в масштабах всей страны.
 Без дешевого DPI никак! (Троллю богатую компанию.) Как у технаря у меня возникает вопрос почему DPI?
  1. Фильтрацию URL легко можно сделать на собственных DNS серверах любого провайдера. Клиент обращается получить IP адрес сервера по DNS имени, а ему DNS дает адрес другой, который показывает страничку: извините, сайт по закону такому-то заблокирован. Красиво! Отмазки, что типа пользователь может использовать чужой DNS не проходят, ведь он может использовать еще кучу способов: анонимайзер, TOR, IPSEC и другие способы обхода блокировок сайтов. И что?
  2. Фильтрацию URL можно сделать на IPS. Для этого не нужно покупать DPI. Обычный IPS легко заблокирует вам необходимый URL. В том числе и бесплатный IPS! 
  3. Но это не все. DPI движок, который так часто упоминается, чтобы прекратить спор, реально дорог, потому что он знает огромное количество протоколов, кроме HTTP. Так зачем покупать DPI ради одного HTTP? Из пушки по воробьям у нас принято, я понимаю. Но задача для программиста: поймать трафик HTTP и заблокировать соединение или перенаправить - достаточно легко реализуема. Я готов реализовать сам, причем буду просить дешевле, чем за тендер на DPI. ;-) 
  4. Кстати, DPI не сам режет URL, а он лишь обнаруживает и передает HTTP трафик на другой продукт, который уже режет URL, так что идея transparent proxy + SQUID с фильтрацией URL вообще тоже быть реализована провайдером. Я как-то делал у себя в сети - отлично работает. Но это верно только для мелких провайдеров.


В итоге если кто не понял - я за то, чтобы абсурд отменить. Всем проще ведь, да?

Обновление от 29.11.2013: Оказалось мои опасения разделяют в самом РКН :) Существует документ, который об этом и говорит. Приятно почитать: http://rkn.gov.ru/docs/Analysys_and_recommendations_comments_fin.pdf

27 окт. 2013 г.

Управа на управу

Управа на Управу

Сложно сказать зачем мне судьба поставила напротив балкона фонарь размером с чемодан, светящий мне в комнату. Это случилось 28 сентября 2013 года. Мне не понравилось однозначно. Теперь вот изучаю как бороться с хулиганами, которые освещают мне комнату всю ночь.
Самые полезные инструменты были найдены достаточно быстро.

  • Написал в правительство Москвы и там даже как-то ответили. Но результата не дали - отписка пришла.
  • Потом оказалось, что если вам что-то не нравится в Москве, то есть сайт http://gorod.mos.ru/ где Вы можете это рассказать и в 10 дней там обещают ответить, хотя правила работы с обращениями говорят о 30 днях. В принципе я там и написал просьбу поправить фонарь и мне даже звонили из управы, спрашивали пожелания, но пока результата нет. Плюс вот так загадочно ответили (отписка типа мы ни при чем, виноваты они): «Уважаемый пользователь!В соответствии с существующей программой Правительства Москвы «Светлый двор» на территории Тверского р-на были определены адреса установки опор наружного освещения. Заказчик-Департамент Топливно-энергетического хозяйства, подрядчик ООО «Каскад-Энерго».Места установки опор наружного освещения определены проектной организацией и согласованы в установленном порядке.В адрес Департамента топливно-энергетического хозяйства направлена копия Вашего обращения для рассмотрения и принятия мер по существу поставленного вопроса.»
  • Если посмотреть сайт управы, то там есть больше информации http://tveruprava.mos.ru/tver-inform/where-to-go/
  • Сайт светотехнической инспекции http://oati.mos.ru/ немного кривоват, поскольку электронное обращение там отправить не получилось ни из Chrome ни из Explorer - скрипты сайта глючат видимо.
  • Еще мне понравился сайт для обращений в Прокуратуру Москвы. Но думаю это в крайнем случае http://www.mosproc.ru/ipriem/
  • Еще есть отличный портал от Навального http://roszkh.ru/ Но им пока не пользовался. 

Обновление от 28 ноября.
От правительства Москвы получил письмо, что запрос передали в Управу. От Управы уже кто-то звонил и спрашивал как направить фонарь. Но вот уже 3 недели с звонка прошло - фонарь там же.
От gorod.mos.ru пришло сообщение что запрос передали установщику фонаря, но опять же больше ничего.
Написал запрос в светотехническую инспекцию: http://oati.mos.ru/contacts/reception/Y/306154d8b8756a6d6035b9be2a2eb662/

14 июл. 2013 г.

Почему я купил Nikon AW110

Что искал
Целью моего поиска было выбрать фотоаппарат для отпуска, имеющий крепкий корпус, чтобы его можно было безболезненно ронять + водонепроницаемый, чтобы можно было снимать под водой. Такие критерии были установлены по результатам эксплуатации других фотоаппаратов: один Canon IXUS был весь в соленой воде внутри, после того как мы покатались на катамаране в Турции и его обдало брызгами, второй Canon IXUS был сломан о твердый асфальт пятой авеню Нью Йорка. Причиной падения фотоаппарата стало наличие сенсорного экрана. Экран был на всю заднюю поверхность и нажимать и трогать его нельзя, иначе фотоаппарат начинает думать что я что-то там выбираю или настраиваю. В результате держать фотоаппарат с сенсорным экраном очень неудобно при съемке и я держал его за край, а это очень рискованно. Поэтому еще одним требованием моим к фотоаппаратам: никаких сенсорных экранов!

Что важнее процесс или результат?
По результатам многочасового анализа обзоров, и сравнений были выделены лидеры Panasonic Lumix DMC-TS5, Olympus Tough TG-2, ну и под конец Nikon Coolpix AW110. Был найден еще в обзоре на Ferra.ru интересный фотоаппарат Pentax WG-3, но я его сразу исключил, потому что качество фото и видео меня не устроило с ходу. Самый длинный обзор найти можно тут: Какую камеру взять в отпуск. Вот варианты фотоаппаратов которые стоит посмотреть (учесть, что у Sony сенсорный экран)


Выбор объектива 
Во-первых, нужно отметить, что у меня был уже два года фотоаппарат Panasonis Lumix DMC-TS3. У меня к нему претензий не было и было бы верно купить без раздумий более новую версию TS5, но поскольку любовь к аналитике у меня с детства, я решил узнать что еще есть в мире.
Поскольку недостатком TS3 я считал маленькую светосилу объектива, что означает что шумит матрица при малой освещенности, я сначала выбирал по критерию светосила, где лидером явным является Olympus TG-2, поскольку у него аж 2.0 линза стоит. Но при анализе фотографий я обнаружил, что светосила не много дает этому фотоаппарату в качестве фотографий. Поэтому я понял,  что и объектив 3.9 тоже ничего, тем более при наличии оптического стабилизатора.

Выбор оптического стабилизатора
Во-вторых, я очень большой фанат оптических стабилизаторов на подвижных матрицах, и очень не люблю сдвиг матрицы электронный. (Впрочем как и электронное увеличение, которое всегда у всех фотоаппаратов выключаю.)

Просмотр обзоров и комментарии
По результатам просмотра обзоров в мой список попал Nikon Coolpix AW110.
Что было просмотрено:
технические характеристики: объективов, аккумуляторов, функционал. Здесь лидирует TG-2.
мои личные предпочтения: мне с виду сразу запал в душу TG-2, поскольку он смотрится стильно и явно крепко собранным.
качество фотографий: здесь я пользовался сайтом DPReview.com и youtube.com где лежат разные видео, записанные камерами. И этот параметр был определяющим, хотя и тоже субъективным.
качество видео: реально лучше всех видео у Panasomic с его классным оптическим стабилизатором, у остальных ужасно портится изображение при сдвиге картинки влево или вправо. Это чувствуется при записи видео из движущегося транспорта. Вот например:
Нужно заметить, что камеры которые я анализировал все новые и видео в Интернет лежат от предыдущих моделей, которые отличаются программным обеспечением.

Чтобы не затягивать
По результатам качества картинки победил Nikon AW110, потому что я был потрясен четкостью и малым количеством шумов только на нем, глядя на эту страницу где можно сравнивать результаты одной и той же фотографии с разных фотоаппаратов, просто кликая на разные части фотки. Вот сравните например кусок фотографии с надписи на бутылке:

После того как я понял что реально выбрать почти получилось, но я еще сомневался брать Nikon, Olympus или Panasonic, я зашел на Яндекс.Маркет, где узнал что цена на Nikon AW110 9500 рублей с доставкой, а на Panasonic TS5 15000 рублей. Это чисто российская фича - за границей эти фотоаппараты стоят одинаково почти. Доплачивать 5000 рублей за более лучшее качество видео, я не стал и поэтому остановился окончательно на Nikon Coolpix AW110.

В подарок к нему я купил 8Гб SDHC карту Sandisk Extreme Pro с самым быстрым временем чтения и записи (опять же выбирал по тестам), что реализовано технологией . И реально доволен - 100 мегабайтный файл падает на SDHC карту за секунду!




29 мая 2013 г.

Впечатление от PHDays 2013

Впечатление от PHDays III

В первый день Positive Hack Days количество лиц из различных областей безопасности зашкаливало. Ни одна конференция не может похвалиться таким представительным количеством участников и выступающих. В коридорах были замечены как «завсегдатаи» , так и редкие представители андеграунда и даже политические деятели такие как руководитель ЛДПР Владимир Жириновский и представитель Софета Федерации Руслан Гаттаров. Естественно участниками были также ФСТЭК, ФСБ, СК, МВД и другие. Даже просто прийти и поздороваться со всеми было уникальной возможностью. За что спасибо организаторам, а именно Борису Симису, пригласившим и меня, обычного сотрудника из HP Enterprise Security.
Что меня радовало – большинство сессий были сугубо техническими и это давало возможность глубже разобраться с ситуации в безопасности. Одновременно я радовался вообще за страну, потому что на выступлениях было огромное количество молодежи, которая благодарно впитывала информацию, несмотря на достаточно серьезные технические вопросы, которые рассматривались. Были и необычные для конференций мероприятия: «закрытая» сессия про инспекционные проверки регуляторов, куда меня не пустили, и выступление-коучинг из серии «как стать успешным» от Марка Хойзе.  На одной из сессий, фразой дня для меня стала «не все пользователи компьютеров инженеры» - на слайде было написано «usersidiots». Был уникальный доклад китайского хакера про китайских хакеров. Алексей Синцов собрал зал – негде было стоять - он рассказал как они обнаруживали тех, кто ломает через WiFi пришедших на конференцию. Я к сожалению не успел сам послушать – смотрел выступление Жириновского в другом зале, который повеселил зал и даже раза три сказал "работать надо в Позитиве". Похоже Жириновского просветили в тему эксплойтов и как они работают, поскольку он про них даже высказывался, правда, называл их вирусами. Очень интересная практическая презентация от самого PT Security была по аудиту SCADA, ребята под руководством Сергея Гордейчика продемонстрировали основные проблемы в SCADA, которые они обнаруживают в ходе pentestов. Вообще, обещающих выступлений был так много, что хотелось пойти на все сразу, но они шли в параллельных 4 сессиях. Так что теперь желательно посмотреть те выступления, куда не успел, в видеозаписи.
Были и плохие выступления: самым загадочным для меня выступающим был министр связи Италии – он просто зачитал текст по бумажке якобы про безопасность в Италии. Я ушел сразу как он начал.
Из выставочных стендов поразил больше всего участок «детской» железной дороги, построенной на настоящей «взрослой» SCADA от Siemens. Всем желающим была предоставлена возможность потренироваться в поиске уязвимостей этой системы, что очень актуально, поскольку разговоры о StuxNet еще продолжаются и тема защиты SCADA (АСУТП) очень актуальна среди безопасников в последний год. Причем справлялись с этим ребята достаточно быстро: взламывали протокол управдения ModBus и имели возможность сталкивать поезда, управлять башенным краном удаленно и т.д.
Конкурс Capture The Flag как обычно был для меня загадкой, как и в прошлые годы:  сидят что-то делают команды и ничего непонятно почему у той или иной команды столько очков: я бы добавил журналирование их действий в вывод на табло. Чтобы понимать, нужно хоть один раз сыграть самому, а я как-то пропустил этот этап в жизни.
Во второй день людей было поменьше, впрочем это правило всех конференций J Остались самые заинтересованные, было много технических выступлений и обучалок. В этот день больше всего порадовала сессия про обход DLP систем: реально больно, что так просто обходятся популярные DLP системы.

В очередной раз понимаю что это лучшая конференция в году, как по контенту, так и по составу участников. Если в этом году были депутаты и СФ, то кто же придет в следующем? J

5 мая 2013 г.

TED: Кто такие Интроверты

Иногда нужно изменять мнение о людях. Для этого надо их, наконец, понять. Вот например хороший пример из TED: почему инроверты реально помогли бы обществу, если бы их начали понимать:


1 мая 2013 г.

Фильм "Легенда №17"

Только что вернулся с этого фильма. Давно не испытывал столько эмоций на фильмах. Совершено еще одно чудо режиссером, оператором и всеми кто участвовал в съемках. Потрясающий фильм, с потрясающим смыслом и идеей. Я вообще не фанат хоккея, но показаны в фильме в основном характеры и чувства. И характеры как раз те, которых не хватает в современной жизни современным людям. Было очень приятно смотреть и осознавать что были такие люди в нашей стране как Харламов и Тарасов. Ну и конечно было неприятно смотреть на функционера компартии в исполнении Малышева, который снял Тарасова с должности тренера за то, что тот выгнал его сына из команды. Совершенно понятно теперь почему везде в руководстве страны сидят непрофессионалы и почему играют в хоккей и футбол у нас не самые лучшие игроки: посадили на руководящие и сытые должности своих сынков, которые не справляются с обязанностями, а снять их нельзя - папочка обидится. Ну да ладно. Самое главное, что были люди которые понимали что такое команда, выстроили систему и умели находить спортсменов для достижения наивысших результатов. Я сейчас перечитал в википедии биографию Валерия Харламова и понял что фильм очень автобиографичен, что канадцы и правда очень грязно играли, ничего не стестяясь для выигрыша. Но понял что наши люди даже в таких условиях выигрывали. И это непередаваемое ощущение восторга за страну. Огромное спасибо тем, кто снял этот исторически важный для России фильм и тем кто посоветовал на него сходить.

Интернет в Италии

Наконец-то доехал до Рима, как давно мечтал. Одной из особенностей, причем, не очень приятной стало то, что бесплатный Интернет через WiFi доступен в редких кафешках. По городу есть хотспоты, но они требуют регистрации через мобильный телефон, причем именно через номер итальянский. Похоже в Италии хотят знать кто выходит в Интернет, привязываясь по номеру телефона ну и имени и фамилии. А те кафешки, где есть доступ, видимо просто удача для таких как я, кто анонимно попал в Интернет Италии. Так что у нас еще пока просто попасть в Интернет, но такое скоро может ждать и нас в России.

19 февр. 2013 г.

Упражнения для голоса


Несколько простых советов от Филиппа-Николя Мело (Philippe-Nicolas Melot), французского профессора вокала, автора курса «Обрести свой голос». Он обучает пению любителей и профессионалов; его упражнения рассчитаны на разрешение основных проблем, которые могут возникнуть у человека с собственным голосом.

1. Ваш голос… на вас не похож

  • Сделайте из левой ладони «ракушку» и приложите ее к левому уху – это будет наушник. Правую поднесите ко рту – она станет микрофоном.
  • Сделайте пробу, как звукорежиссер: громко считайте, произносите разные слова, играя со звуком.
  • Ежедневно выполняйте это упражнение по 5–10 минут в течение 9 дней.
Поняв, как именно окружающие слышат ваш голос, вы сможете улучшить его звучание.

2. … “застревает” в горле

  • Делайте зарядку для лица. Цель – освободить горло, передав основную работу губам и диафрагме. Произносите слоги «кью-икс»: на «кью» губы округляются, а «икс» произносится с широкой улыбкой.
  • Повторите упражнение 30 раз, а потом произнесите небольшую речь, чтобы убедиться в его пользе.
При выступлениях голосовые связки будут меньше утомляться, а мышцы рта – легче выполнять посылаемые мозгом команды.

3. …не звучит

  • 5–10 минут в день громко читайте какой-нибудь текст, но без согласных звуков. Так, фраза «Пять упражнений, чтобы полюбить свой голос» будет звучать как «я-у-а-е-и-о-ы-о-ю-и-о-о-о». Согласные действуют как трамплин, заставляя гласные звуки вибрировать.
  • Перечитайте тот же отрывок текста, на этот раз чеканя согласные.
Голос обретет интенсивность вибрации и звучания, при этом вы не будете утомляться, а понимать вас станут лучше.

4. …слишком тихий

  • Положите руки на солнечное сплетение. Вспомните что-то, что очень вас рассердило. Произнесите любой текст, прижимая руки к животу и стараясь, чтобы звуки исходили именно из области пупка.
  • Выпустите гнев, четко произнося согласные и широко открывая рот.
Старайтесь чаще выражать таким образом свои эмоции – грусть, гнев, радость. Голос станет насыщенным, менее официальным, более искренним.

5. …обезличенный

  • Стоя босиком, спокойно дышите, надувая живот при каждом вдохе.
  • Медленно переносите упор стопы с пятки на носок и обратно.
Продолжите с закрытыми глазами. Если ваша энергия слишком сконцентрирована в области головы, вы потеряете равновесие. Перестаньте контролировать себя и сосредоточьтесь на стопах. Это упражнение поможет вам лучше распределять энергию.
Вы лучше «обживетесь» в своем теле, и тембр голоса станет богаче.

1 февр. 2013 г.

Про работу


Сегодня прочитал серию очень занимательных статей

8 причин уволиться с работы в 2013 году
Поскольку поработал в гос. структурах, в маленькой компании, в IBM, HP и Nokia Siemens, то считаю, что каждому свое. Кому что понравилось. Самое главное найти собственную мотивацию и жить свою жизнь, а не плыть по течению. 




22 янв. 2013 г.

Как создать государственную систему обнаружения, предупреждения и ликвидации последствий  компьютерных атак в масштабах России.

Посвящается выходу Указа Президента РФ №31с "О СОЗДАНИИ ГОСУДАРСТВЕННОЙ СИСТЕМЫ ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ КОМПЬЮТЕРНЫХ АТАК НА ИНФОРМАЦИОННЫЕ РЕСУРСЫ РОССИЙСКОЙ ФЕДЕРАЦИИ", который мне очень понравился.

Давайте рассмотрим, что нужно сделать, чтобы создать такую систему.

Такая система называется на английском языке Security Operation Center (далее SOC). Такие системы уже много лет эксплуатируются во многих крупных компаниях и государственных организациях и Президент своим Указом №31с ничего экстраординарного не потребовал. Основу таких систем составляют 1. люди 2. продукты 3. процессы. Рассмотрим эти компоненты.

Продукты для создания системы

Основой любого SOC является система сбора и корреляции событий или по-английски Security Information and Event Management (далее SIEM). Ошибочно считать, что Президент имел в виду системы обнаружения и предотвращения атак, которые по-английски мы привыкли называть Intrusion Detection and Prevention Systems (далее IDS и IPS). На самом деле системы IDS и IPS будут использоваться, но они являются лишь частью SOC и рассматриваются как источники событий для анализа ситуации с безопасностью. Источниками событий для SIEM являются все системы информационной безопасности, которые уже установлены или будут постепенно устанавливаться в защищаемых сегментах сети: межсетевые экраны, VPN, DLP, DAM, антивирусы, honeypot, сканеры безопасности, антиспам, веб фильтры и т.д. Также источниками событий являются обычные информационные системы: журналы рабочих станций, серверов, сетевого оборудования, WEB приложения, базы данных и т.д. (Полный список тут) Также источниками событий являются события которые создает сам SIEM - это так называемые скоррелированные события. SIEM сам может создавать активные таблицы состояний и другие специальные наборы данных, на основе которых делаются глубокие выводы.
Есть ошибочное представление о системах SIEM как только о сборщиках журналов. На самом деле за долгие годы их развития в продвинутых SIEM есть целые аналитические модули, использующие многолетние наработки и выявляющие в реальном времени различные виды мошеннических действий людей (например, работающие в банках); корреляции поведения различных систем по анализу поведения: моделирование ролей сотрудников; использование мощных языков анализа записей журналов. Основой современных SIEM являются набор готовых правил, выявляющих, предупреждающих и ликвидирующих последствия компьютерных атак. Как раз то, что "доктор прописал".

Люди, управляющие системой

Очевидно, что любая система не работает без людей. Нужные на работу в SOC люди тоже уже существуют. Надо сказать, что это очень высококвалифицированные кадры, которые должны понимать в совершенно различных ИТ технологиях: сетях, операционных системах, протоколах различных приложений. Поскольку таких людей нужно готовить достаточно долго, то их мало на рынке труда. Проблема состоит в том, что ИТ безопасник в первую очередь должен стать хорошим ИТ специалистом и лишь только потом он может стать хорошим ИТ безопасником. Многие этого не понимают. Если вы заняты поиском таких кадров, то можно начать с поиска людей у которых есть сертификаты GCIA или GCIH - именно такие люди работают в SOC. Либо вы можете находить обычных ИТ специалистов и обучать их тонкостям безопасности.

Процессы

Для наилучшего результата в SOC должны быть выстроены различные процессы. По опыту создания SOC мне известно, что этих процессов во "взрослом" SOC порядка 170. Это и методы анализа событий, и обучение сотрудников и даже план по их карьерному росту - тоже один из процессов.
После того как все процессы будут реализованы поочередно в таком SOC в нашей стране появится национальная система защиты.

Продолжение.. 

Однако не все так просто. SOC надо строить в организациях в которых хотя бы один раз был какой-нибудь ИТ безопасник. Весь SOC глобальный будет бессмыслен, если в организации, которую SOC контролирует, нет системы управления информационной безопасностью (СУИБ). В этом случае непонятно как сейчас вообще выглядит защита, не разработан или не реализован дизайн защиты, не отслеживается актуальность защитных мер, не обучаются сотрудники, соответственно нет зонирования, не установлены зоны ответственности, не введены какие-либо процессы связанные с безопасностью и т.д и т.п.

Продолжение...

Все гораздо хуже. Открою секрет. В некоторых структурах на сегодняшний день нет не только безопасников, но нет даже... ИТшников. Представляете? То есть в некоторых организациях надо начать просто с того, что взять в штат ИТшника.

Итог

Вот так вкратце я прошелся от сложного к простому, от SOC к единственному ИТшнику. То есть над чем работать понятно. План уже составлен: осталось лишь.. захотеть его реализовать.