Контакты
Подписка 2025
Статьи по информационной безопасности

Основные вызовы в развитии и совершенствовании коммерческих SOC

Редакция журнала "Информационная безопасность", 14/02/24

Эксперты ведущих компаний делятся своим видением актуальных вызовов в развитии SOC: дефицит квалифицированных кадров, необходимость внутреннего и внешнего обучения персонала, импортозамещение и использованию отечественных решений. 

ris54

Эксперты:

  • Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART
  • Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
  • Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
  • Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
  • Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC
  • Артём Савчук, заместитель технического директора АО “ПМ”
  • Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского”
  • Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE

Артём Савчук, ПМ:

В настоящее время наблюдается острая нехватка квалифицированных кадров и высокая конкуренция за специалистов среди коммерческих SOC, а также импортозамещение, то есть переход и модернизация ИТ-инфраструктуры SOC с использованием отечественных решений. Отмечу и дороговизну ЗИП из-за параллельного импорта.

Сергей Солдатов, Лаборатория Касперского:

  1. Для предоставления большей ценности сервисов требуется глубокое погружение в бизнес-процессы заказчика.
  2. Люди, процессы, технологии – нет предела совершенству

Андрей Дугин, МТС RED:

Ключевой вызов – масштабирование SOC под нужды новых заказчиков. Эта задача может решаться как наймом сотрудников и увеличением численности SOC, так и средствами автоматизации и обогащением дополнительными средствами защиты – там, где это возможно.

Александр Матвеев, IZ:SOC:

Актуальны классические вызовы, как, например, недостаток специалистов на рынке ИБ в целом. Это привело нас к необходимости выращивания собственных экспертов и аналитиков за счет внутренней стажировки и обучения. Отмечу вызовы, связанные с текущими реалиями и импортозамещением технических средств, используемых в SOC. Есть также вызовы, связанные с постоянным совершенствованием наших процессов и применением технологий машинного обучения для снижения нагрузки аналитиков и прогнозирования угроз на основе аномалий.

Максим Акимов, Innostage CyberART:

Главные вызовы – усиление внимания со стороны хакерских группировок, дефицит квалифицированных кадров на рынке и уход западных вендоров.

Кроме того, мы сами себе бросили вызов на проверку собственной киберустойчивости, запустив программу Bug Bounty. Это стимулирует нас к развитию в среднесрочной перспективе сразу в нескольких векторах:

  • автоматизация типовых действий для повышения продуктивности и минимизации человеческого фактора;
  • популяризации концепции Purple Team, командная работа "синих" и "красных" команд, проверка актуальных векторов атак, улучшение качества мониторинга;
  • повышение экспертности и выстраивание доверительных отношений с заказчиком для расширения полномочий SOC по реагированию на инциденты;
  • наращивание контента для российского ПО, АСУ ТП, контейнеризации;
  • применение новых классов решений.

Теймур Хеирхабаров, BI.ZONE:

Главные вызовы: существенное увеличение спроса на услуги коммерческих SOC одновременно с нехваткой квалифицированных кадров, а также массовый переход на отечественные ИТ-продукты. С одной стороны, они далеко не всегда имеют зрелую программу управления уязвимостями, а значит, будут создавать большое количество новых угроз для инфраструктур. А с другой, зачастую не имеют качественных логов или возможности их удобного подключения в качестве источника событий в SOC.

Даниил Вылегжанин, RuSIEM:

В качестве ключевого вызова я выделю недостаток на рынке ИБ высококвалифицированных специалистов, обладающих всеми необходимыми знаниями и имеющих соответствующий опыт. Коммерческий SOC должен также быть в состоянии адаптироваться к новым угрозам и техникам атак, постоянно обновлять свои навыки и инструменты, чтобы эффективно защищать своих клиентов. Не менее значимым вызовом становится интеграция в SOC различных систем безопасности и мониторинга, которые уже используются конкретным заказчиком. Это может стать весьма сложным процессом, требующим множества согласований и совместной работы различных команд как со стороны провайдера, так и со стороны заказчика.

Руслан Амиров, Инфосистемы Джет:

На мой взгляд, основными вызовами являются следующие проблемы:

  1. Ограниченность технологического стека SOC мотивирует рынок к разработке новых программных продуктов.
  2. Появление новых способов кибератак и обнаружение уязвимостей требуют быстрой и корректной реакции от SOC.
  3. Высокая степень участия человека сказывается на качестве мониторинга, поэтому все еще актуальны вопросы ускорения подготовки аналитиков SOC, обязательной автоматизации процессов и рутинных действий.
  4. Развитие ИТ, параллельно с которым происходит повышение знаний и навыков злоумышленников, еще долгое время будет влиять на темпы развития услуг SOC.
Темы:Круглый столSOCЖурнал "Информационная безопасность" №5, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Корпоративный CA в гибридной инфраструктуре: вызовы и  решения
    Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Aythority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.
  • Готовы ли российские компании к созданию VOC-центров?
    В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.).
  • Три причины, почему не стоит оставлять инфраструктуру под управлением Microsoft CA
    Корпоративный Certificate Authority (CA) – краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон.
  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"