Основные вызовы в развитии и совершенствовании коммерческих SOC

Эксперты ведущих компаний делятся своим видением актуальных вызовов в развитии SOC: дефицит квалифицированных кадров, необходимость внутреннего и внешнего обучения персонала, импортозамещение и использованию отечественных решений. 

Эксперты:

• Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART
• Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
• Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
• Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
• Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC
• Артём Савчук, заместитель технического директора АО “ПМ”
• Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского”
• Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE

Артём Савчук, ПМ:

В настоящее время наблюдается острая нехватка квалифицированных кадров и высокая конкуренция за специалистов среди коммерческих SOC, а также импортозамещение, то есть переход и модернизация ИТ-инфраструктуры SOC с использованием отечественных решений. Отмечу и дороговизну ЗИП из-за параллельного импорта.

Сергей Солдатов, Лаборатория Касперского:

1. Для предоставления большей ценности сервисов требуется глубокое погружение в бизнес-процессы заказчика.
2. Люди, процессы, технологии – нет предела совершенству

Андрей Дугин, МТС RED:

Ключевой вызов – масштабирование SOC под нужды новых заказчиков. Эта задача может решаться как наймом сотрудников и увеличением численности SOC, так и средствами автоматизации и обогащением дополнительными средствами защиты – там, где это возможно.

Александр Матвеев, IZ:SOC:

Актуальны классические вызовы, как, например, недостаток специалистов на рынке ИБ в целом. Это привело нас к необходимости выращивания собственных экспертов и аналитиков за счет внутренней стажировки и обучения. Отмечу вызовы, связанные с текущими реалиями и импортозамещением технических средств, используемых в SOC. Есть также вызовы, связанные с постоянным совершенствованием наших процессов и применением технологий машинного обучения для снижения нагрузки аналитиков и прогнозирования угроз на основе аномалий.

Максим Акимов, Innostage CyberART:

Главные вызовы – усиление внимания со стороны хакерских группировок, дефицит квалифицированных кадров на рынке и уход западных вендоров.

Кроме того, мы сами себе бросили вызов на проверку собственной киберустойчивости, запустив программу Bug Bounty. Это стимулирует нас к развитию в среднесрочной перспективе сразу в нескольких векторах:

• автоматизация типовых действий для повышения продуктивности и минимизации человеческого фактора;
• популяризации концепции Purple Team, командная работа "синих" и "красных" команд, проверка актуальных векторов атак, улучшение качества мониторинга;
• повышение экспертности и выстраивание доверительных отношений с заказчиком для расширения полномочий SOC по реагированию на инциденты;
• наращивание контента для российского ПО, АСУ ТП, контейнеризации;
• применение новых классов решений.

Теймур Хеирхабаров, BI.ZONE:

Главные вызовы: существенное увеличение спроса на услуги коммерческих SOC одновременно с нехваткой квалифицированных кадров, а также массовый переход на отечественные ИТ-продукты. С одной стороны, они далеко не всегда имеют зрелую программу управления уязвимостями, а значит, будут создавать большое количество новых угроз для инфраструктур. А с другой, зачастую не имеют качественных логов или возможности их удобного подключения в качестве источника событий в SOC.

Даниил Вылегжанин, RuSIEM:

В качестве ключевого вызова я выделю недостаток на рынке ИБ высококвалифицированных специалистов, обладающих всеми необходимыми знаниями и имеющих соответствующий опыт. Коммерческий SOC должен также быть в состоянии адаптироваться к новым угрозам и техникам атак, постоянно обновлять свои навыки и инструменты, чтобы эффективно защищать своих клиентов. Не менее значимым вызовом становится интеграция в SOC различных систем безопасности и мониторинга, которые уже используются конкретным заказчиком. Это может стать весьма сложным процессом, требующим множества согласований и совместной работы различных команд как со стороны провайдера, так и со стороны заказчика.

Руслан Амиров, Инфосистемы Джет:

На мой взгляд, основными вызовами являются следующие проблемы:

1. Ограниченность технологического стека SOC мотивирует рынок к разработке новых программных продуктов.
2. Появление новых способов кибератак и обнаружение уязвимостей требуют быстрой и корректной реакции от SOC.
3. Высокая степень участия человека сказывается на качестве мониторинга, поэтому все еще актуальны вопросы ускорения подготовки аналитиков SOC, обязательной автоматизации процессов и рутинных действий.
4. Развитие ИТ, параллельно с которым происходит повышение знаний и навыков злоумышленников, еще долгое время будет влиять на темпы развития услуг SOC.