Что такое Fusion Center и чем он отличается от SOC? #socforum

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(1)
()
На прошлой неделе, в Питере, на конференции Secure It World, мне довелось модерировать секцию по безопасности ИТ-инфраструктуры, где выступал представитель Ростелекома с рассказом о том, как у них выстроен SOC. Очень интересный был доклад, но меня в нем, помимо прочего, заинтересовала вот эта иллюстрация:


Меня заинтересовала нижная часть слайда, в которой упоминается Fusion Center. Это второй раз, когда я вижу упоминание этого термина в контексте информационной безопасности. Первым был Сбербанк, который последний год упоминает (и еще тут) этот термин в контексте стратегии развития своего центра мониторинга ИБ.

 SOC Сбербанка
Вообще, мне кажется, что произошла некоторая подмена понятий у тех, кто стал применять этот термин. Допускаю, что моду задал, как обычно, Герман Оскарович, увидевший где-то работающий Fusion Center и вбросивший этот термин журналистам, которые за него ухватились. А потом пошло поехало - термин прочно прилип к информационной безопасности и его сейчас стал применять Ростелеком (не исключая, что скоро подтянутся и другие). Но все-таки, Fusion Center имеет очень опосредованное отношение к мониторингу ИБ в привычном понимании. Да и в отдельно взятой организации Fusion Center построить трудновато. Почему?

Дело в том, что в США, а именно туда пошла концепция Fusion Center в 2003-м году, это центры обмена информацией, а не круглосуточного мониторинга ИБ. Более того, первоначально, да и сейчас, эти центры не имели ничего общего с кибербезопасностью. Они создавались под эгидой Министерства национальной безопасности (DHS) или Минюста (а позже и на уровне отдельных госорганов или муниципалитетов) и позволяли обмениваться стратегической информацией между ЦРУ, ФБР, МинОбороны, МЧС, а также локальными администрациями и т.д. В первые годы Fusion Center, а их насчитывалось только в США несколько десятков, были достаточно бестолковы - они обменивалсь плохо структурированной информацией, которую сложно было анализировать, искать в ней взаимозависимости и строить на ее основе какие-то выводы и принимать решения. Например, в 2011-м году Fusion Center в Иллинойсе сообщил о взломе насосной станции системы водоснабжения в Иллинойсе. Позже агенты ФБР опровергли данное заявление, доказав, что речь шла о легальном удаленном доступе администратора насосной станции.

Если вы введете в Google поиск по картинкам с ключевой фразой "fusion center", то вы увидите кучу фотографий больших залов, напичканных кучей мониторов, за которыми сидят люди и пялятся в экраны. Это не fusion center, хотя его именно так многие и представляют. Отсюда и попытка применить этот термин в ИБ, в которой есть свои SOCи c кучей плазм и больших мониторов. Fusion center - это и не центр реагирования на инциденты, хотя иногда такая функция в нем и встречается, но она не основная. Fusion center не выполняет никаких оперативных функций - это центр поддержки, базирующийся на анализе разрозненных данных. Наиболее близки к концепции Fusion Center CDC (Cyber Defence Center) или ISAC (Information Sharing and Analysis Center), но и они все-таки работают преимущественно со структурированной информацией, в то время как Fusion Center работает с обоими типами данных - структурированными и не очень (особенно с последней). Это позволяет, за счет различных алгоритм и матмоделей, предсказывать многие инциденты и купировать их в зародыше.

При этом речь идет не об инцидентах ИБ, а обо всех типах событий, которые могут привести к эпидемиям, пожарам, народным волнения, забастовкам, землетрясениям, наводнениям и т.п. природным и искусственным стихийным бедствиям. У нас же почему-то идею Fusion Center выхолостили до одной киберсоставляющей, по сутя говоря о Security Intelligence Center (SIC). Это пока нечасто упоминаемая концепция, которая как раз и описывает центр мониторинга, предсказывающий угрозы на базе продвинутой аналитики (про него я еще напишу).


ЗЫ. Кстати, на модерируемой мной секции Future SOC на SOC Forum будет выступление Алексея Качалина из Сбербанка, который будет рассказывать о своем видении будущего SOC через 8 лет. Не видя еще презентации, могу предположить, что во-многом она будет базироваться на том, каким видит свой Fusion Center Сбербанк в 2025-м году. А Эльман Бейбутов на той же секции будет рассказывать как раз про продвинутую аналитику в деле ИБ. Приходите, будет интересно.

ЗЗЫ. На сайте DHS много полезных руководств по созданию и эксплуатации Fusion Center. Есть там и руководства по интеграции в Fusion Center тематики кибербезопасности.
Оцените материал:
Total votes: 0
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

1. То, что у Ростелекома по теме ИБ каша в головах - факт общеизвестный. Приведенная картинка - отличное подтвеждение этоиу.

2. Алексей, слава Всевышнему, что, может на примере искривления понятий по Центрам удастся задуматься и разглядеть кривизну в подходе к ИБ в принципе (на понятийном уроанве)?

3. СОКи через 8 лет - интересно, какой "кусочек" пирога ребята для себя "оттяпать" намеряют? Центр локальный (камерный, местечковый, автономный и прочее) - это понятно, и будет вечно. Но, Центры как системообразующее решение - тупик. Интересно, куда они предложат двинуться и кто будет поводырем? Сбер - понятно, они сами для себя это смогут выстроить (построить ИБ в отдельно взятой отрасли (банки) - это дело не особо хитрое).  Но РФ это не только Сбер)))), есть еще и другие)))..... А как им быть??? Понятно, что "каждый умирает в одиночку" - но это не весело...

4. А про "аналитику в ИБ" - это забавно. Есть просьба по этой теме. Для тех кому интересно, но, кто не сможет прибыть на SOK  Forum - можешь выложить по этой теме материалы. Сильно подозреваю, что они будут выдавать "продвинутую аналитику по ЗИ" за "продвинутую аналитику по ИБ". Буду рад если ошибусь - действительно любопытоно.

up
0 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.