Изображение: recraft
Рынок SOC стремительно развивается, поэтому о нем сложилось множество мифов. Разберем их в ближайших публикациях. В этой статье архитектор «Кросс технолоджис» Олег Игумнов расскажет, правда ли, что центр мониторинга ИБ — это только для крупного бизнеса, а также ответит на вопрос, могут ли автоматизированные инструменты заменить суточные смены аналитиков.
1. SOC — это только для крупного бизнеса
Приведу несколько фактов.
Сервисная модель делает технологии доступнее: решения класса MDR (Managed Detection and Response) и облачные SIEM-платформы позволяют даже небольшой компании «арендовать» возможности SOC, существенно сократив объем инвестиций в инфраструктуру и штат.
Масштабируемость: современные SOC-услуги гибки. Можно начать с мониторинга критически важных активов и постепенно расширять покрытие.
Экономическая целесообразность: один успешный инцидент ИБ (производственный простой, штрафы от регуляторов, урон репутации) может нанести ущерб, который для малого бизнеса окажется непоправимым. Инвестиции в SOC — это страховка.
➜ Вердикт: приведенное убеждение — ✗ скорее миф чем правда. SOC — это не про размер компании, а про подход к безопасности, всё зависит от подхода.
Создать свой SOC для компании среднего или малого бизнеса не всегда экономически целесообразно, в качестве альтернативы можно выбрать гибридный формат или полностью отдать защиту на аутсорс (SOCaaS). Учитывая небольшой размер инфраструктуры и количество событий, SOCaaS позволит компании обеспечить защиту, сэкономив как на внедрении аппаратной части — SIEM, IRP, SOAR, средств поведенческого анализа, так и на расширении штата.
2. Круглосуточные смены не нужны, их может заменить автоматизированный Incident Response
Автоматизированным инструментам сложно выйти за рамки: они отлично справляются с известными, шаблонными атаками, но современные угрозы (Targeted Attacks, APT) часто используют новые техники, которые требуют анализа контекста и расследования.
Автоматика генерирует ложные срабатывания: например, «машина» может распознать как опасное событие вход в систему ночью и заблокирует процессы, а потом окажется, что это был топ-менеджер, который срочно искал данные для клиента. Робот с трудом отличит легитимную активность системного администратора от действий злоумышленника. Только аналитик может провести расследование и принять решение.
Возникает вопрос об ответственности: кто будет отвечать за убытки от ложных срабатываний и остановки бизнес-процессов?
Необходимо качественное реагирование в нерабочее время: злоумышленники часто атакуют ночью, в выходные и праздники. Автоматика может заблокировать IP, но только люди могут управлять кризисом: общаться с командой, принимать стратегические решения и эскалировать инцидент, справляться с последствиями и восстанавливать после сбоя.
➜ Вердикт: на мой взгляд, отказ от смен — это ⚠опасное заблуждение.
Автоматизация — это мощный инструмент, но он не заменяет человеческую экспертизу и принятие решений в реальном времени. Кроме того, внедрение автоматизированного Incident Response — долгий процесс, актуальный для компаний с высоким уровнем зрелости ИБ.
Идеальная формула: если компания работает 24/7, то и ИБ должно быть круглосуточным. Автоматизацию должен контролировать человек, который может проанализировать срабатывание и принять корректное решение.
В следующей статье обсудим, может ли внешний SOC полностью заменить команду реагирования внутри компании, правда ли, что эффективность центра оценивается по количеству пресеченных инцидентов и можно совмещать работу в SOC с другими задачами ИБ.
Оригинал публикации на сайте CISOCLUB: "Мифы и правда о SOC: кому подходит и можно ли заменить его автоматикой".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.