Пора изучать автономные SOC.
Согласно опросу SANS основными сложностями SOC продолжают оставаться ложноположительные срабатывания (63,8%), большой объем данных (62,5%), недостаток квалификации специалистов (58,8%), сложность атак (44,7%) и неподходящие инструменты (35,6%). Чтобы помочь людям, есть идея обучить ML алгоритмы и дать им на анализ те же входные данные, что и человеку.
Автономность - это когда система понимает ситуацию и принимает решения сама без участия человека.
Еще ни в какой индустрии не достигли полной автономности: автопилот в самолете всегда с пилотом, автопилот в машине всегда с водителем.
Автономный SOC аналогично - человек остается в роли контролера, который присматривает за системой и принимает решения в нестандартных ситуациях.
К нашей радости AI автоматизирует рутину, при этом задачи, требующие контекста, творческого мышления и критических решений, остаются за человеком.
Полная автономность сегодня - это утопия, к которой стремятся 😎 При этом человечество уже может себе позволить глубокую автоматизацию с элементами автономности в четко заданных сценариях.
ВАЖНО: Есть проблема с совместимостью форматов данных в разных data lake при работе с AI. Сейчас разные системы хранят данные по разному: ArcSight, МаxPatrol, Splunk, Kaspersky, UserGate. И за рубежом эту проблему решили, создав Open Cybersecurity Schema Framework (OCSF). Фреймворк представляет собой набор типов данных, словарь атрибутов и таксономию, описанные в JSON-формате. Нам в России тоже не надо изобретать велосипед и использовать его. Также как и OpenIOC и OpenConfig. Я не вижу пока обсуждения этого на будущем SOC Forum - напишу организаторам.
У меня получилась серия заметок про автономный SOC:
1. Автономный SOC в 2025: что работает, что нет и сколько это стоит
2. Экономика автономного SOC: мифы vs реальность
3. Скрытые затраты автономного SOC
4. Реалистичная оценка зрелости автономных SOC: где мы сейчас
PS: Самая читаемая статья у меня в блоге про основы создания SOC.
#SOC #АвтономныйSOC #OCSF
