SOC Tech: PAM на службе SOC

«АйТи Бастион» выступил партнером первой конференции о технологиях мониторинга инцидентов ИБ в формате киберзаставы. 

30 ноября в Москве в Кибердоме прошла масштабная конференция «SOC Tech. Технологии SOC», организованная Медиа Группой «Авангард». Руководители и сотрудники ИБ-подразделений, аналитики, заказчики, а также специалисты мониторинга собрались в неформальной обстановке, чтобы обменяться профессиональным опытом, отраслевой экспертизой и рассказать о лучших практиках.

Цель мероприятия – предоставить полную информацию о технологиях SOС, рассказать об анализе уязвимостей и особенностях функционирования центра в условиях непрекращающихся атак сегодня. Это важно и актуально, ведь именно команды SOC ответственны за обеспечение киберустойчивости организаций.

Работа на стенде, выступления с докладами, дискуссии и 5-минутные питчинги, где необходимо было кратко рассказать про свою компанию, – из этого состояла программа конференции. Команда «АйТи Бастион» приняла участие почти в каждой активности.

«Инструменты прямого и косвенного анализа инфраструктуры привилегированного доступа» - так звучала тема доклада Константина Родина, руководителя отдела развития продуктов «АйТи Бастион», который выступил в рамках технического трека наряду с другими представителями вендоров. Он описал архитектуру СКДПУ НТ и роль решения в расследовании, детектировании и реагировании на инциденты доступа – от данных, характерных для PAM-систем, до косвенных событий, свидетельствующих об изменении пользовательской активности. После выступления участники конференции задали спикеру вопросы о том, как внедрять СКДПУ НТ в филиальных сетях, какие сертификаты есть у решения и какие данные ему можно собирать, а какие – нельзя.

Позже Константин выступил в секции «Обнаружение и реагирование» с докладом «PAM на службе SOC», сделав упор на совместную и взаимодополняемую работу центра аналитики и решения по контролю привилегированных пользователей. Он рассказал о месте систем контроля привилегированного и просто доступа в инфраструктуру в общем понимании SOC и о том, какие возможности для анализа и реагирования дают такие системы сегодня. Также Константин описал, чем они могут быть полезны и какой дополнительный эффект могут дать (собственные или коммерческие, как услуга SOC). В конце спикер рассмотрел практические возможности PAM-систем на примере платформы СКДПУ НТ. Он рассказал про три самых очевидных сценария, где описывается, почему PAM необходим SOC. Один из них – сценарий «второго мнения». «SOC, конечно, обладает всеми информационными системами, которые проводят анализ трафика и событий для выявления инцидентов. Однако модуль Мониторинга и аналитики PAM-системы СКДПУ НТ так же позволяет проводить профилирование и анализ аномалий, то есть может выступать «вторым мнением» для принятия вердикта по инциденту. А SOC важно получать и профильную информацию, чтобы на основе большего количества данных принимать более взвешенные и правильные решения», - подробно рассказал о кейсе Константин.