Контакты
Подписка 2025

Основные вызовы в развитии и совершенствовании коммерческих SOC

Редакция журнала "Информационная безопасность", 14/02/24

Эксперты ведущих компаний делятся своим видением актуальных вызовов в развитии SOC: дефицит квалифицированных кадров, необходимость внутреннего и внешнего обучения персонала, импортозамещение и использованию отечественных решений. 

ris54

Эксперты:

  • Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART
  • Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
  • Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
  • Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
  • Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC
  • Артём Савчук, заместитель технического директора АО “ПМ”
  • Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского”
  • Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE

Артём Савчук, ПМ:

В настоящее время наблюдается острая нехватка квалифицированных кадров и высокая конкуренция за специалистов среди коммерческих SOC, а также импортозамещение, то есть переход и модернизация ИТ-инфраструктуры SOC с использованием отечественных решений. Отмечу и дороговизну ЗИП из-за параллельного импорта.

Сергей Солдатов, Лаборатория Касперского:

  1. Для предоставления большей ценности сервисов требуется глубокое погружение в бизнес-процессы заказчика.
  2. Люди, процессы, технологии – нет предела совершенству

Андрей Дугин, МТС RED:

Ключевой вызов – масштабирование SOC под нужды новых заказчиков. Эта задача может решаться как наймом сотрудников и увеличением численности SOC, так и средствами автоматизации и обогащением дополнительными средствами защиты – там, где это возможно.

Александр Матвеев, IZ:SOC:

Актуальны классические вызовы, как, например, недостаток специалистов на рынке ИБ в целом. Это привело нас к необходимости выращивания собственных экспертов и аналитиков за счет внутренней стажировки и обучения. Отмечу вызовы, связанные с текущими реалиями и импортозамещением технических средств, используемых в SOC. Есть также вызовы, связанные с постоянным совершенствованием наших процессов и применением технологий машинного обучения для снижения нагрузки аналитиков и прогнозирования угроз на основе аномалий.

Максим Акимов, Innostage CyberART:

Главные вызовы – усиление внимания со стороны хакерских группировок, дефицит квалифицированных кадров на рынке и уход западных вендоров.

Кроме того, мы сами себе бросили вызов на проверку собственной киберустойчивости, запустив программу Bug Bounty. Это стимулирует нас к развитию в среднесрочной перспективе сразу в нескольких векторах:

  • автоматизация типовых действий для повышения продуктивности и минимизации человеческого фактора;
  • популяризации концепции Purple Team, командная работа "синих" и "красных" команд, проверка актуальных векторов атак, улучшение качества мониторинга;
  • повышение экспертности и выстраивание доверительных отношений с заказчиком для расширения полномочий SOC по реагированию на инциденты;
  • наращивание контента для российского ПО, АСУ ТП, контейнеризации;
  • применение новых классов решений.

Теймур Хеирхабаров, BI.ZONE:

Главные вызовы: существенное увеличение спроса на услуги коммерческих SOC одновременно с нехваткой квалифицированных кадров, а также массовый переход на отечественные ИТ-продукты. С одной стороны, они далеко не всегда имеют зрелую программу управления уязвимостями, а значит, будут создавать большое количество новых угроз для инфраструктур. А с другой, зачастую не имеют качественных логов или возможности их удобного подключения в качестве источника событий в SOC.

Даниил Вылегжанин, RuSIEM:

В качестве ключевого вызова я выделю недостаток на рынке ИБ высококвалифицированных специалистов, обладающих всеми необходимыми знаниями и имеющих соответствующий опыт. Коммерческий SOC должен также быть в состоянии адаптироваться к новым угрозам и техникам атак, постоянно обновлять свои навыки и инструменты, чтобы эффективно защищать своих клиентов. Не менее значимым вызовом становится интеграция в SOC различных систем безопасности и мониторинга, которые уже используются конкретным заказчиком. Это может стать весьма сложным процессом, требующим множества согласований и совместной работы различных команд как со стороны провайдера, так и со стороны заказчика.

Руслан Амиров, Инфосистемы Джет:

На мой взгляд, основными вызовами являются следующие проблемы:

  1. Ограниченность технологического стека SOC мотивирует рынок к разработке новых программных продуктов.
  2. Появление новых способов кибератак и обнаружение уязвимостей требуют быстрой и корректной реакции от SOC.
  3. Высокая степень участия человека сказывается на качестве мониторинга, поэтому все еще актуальны вопросы ускорения подготовки аналитиков SOC, обязательной автоматизации процессов и рутинных действий.
  4. Развитие ИТ, параллельно с которым происходит повышение знаний и навыков злоумышленников, еще долгое время будет влиять на темпы развития услуг SOC.
Темы:Круглый столSOCЖурнал "Информационная безопасность" №5, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах
    Для успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ>решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • Прошло ли время TeamViewer и AnyDesk в России?
    Иностранные решения для удаленного администрирования и техподдержки рабочих мест вроде TeamViewer или AnyDesk почти безраздельно царили в своем сегменте российского рынка. Однако с начала 2022 г. ситуация заметно поменялась.
  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.
  • Потеряет ли актуальность Vulnerability Management с повсеместным внедрением процессов безопасной разработки?
    C распространением процессов безопасной разработки (РБПО) встает вопрос: не потеряет ли актуальность традиционные способы управления уязвимостями? Редакция журнала "Информационная безопасность" поинтересовалась мнением экспертов.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...