Основные вызовы в развитии и совершенствовании коммерческих SOC
Редакция журнала "Информационная безопасность", 14/02/24
Эксперты ведущих компаний делятся своим видением актуальных вызовов в развитии SOC: дефицит квалифицированных кадров, необходимость внутреннего и внешнего обучения персонала, импортозамещение и использованию отечественных решений.
Эксперты:
- Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART
- Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
- Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
- Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
- Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC
- Артём Савчук, заместитель технического директора АО “ПМ”
- Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского”
- Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE
Артём Савчук, ПМ:
В настоящее время наблюдается острая нехватка квалифицированных кадров и высокая конкуренция за специалистов среди коммерческих SOC, а также импортозамещение, то есть переход и модернизация ИТ-инфраструктуры SOC с использованием отечественных решений. Отмечу и дороговизну ЗИП из-за параллельного импорта.
Сергей Солдатов, Лаборатория Касперского:
- Для предоставления большей ценности сервисов требуется глубокое погружение в бизнес-процессы заказчика.
- Люди, процессы, технологии – нет предела совершенству
Андрей Дугин, МТС RED:
Ключевой вызов – масштабирование SOC под нужды новых заказчиков. Эта задача может решаться как наймом сотрудников и увеличением численности SOC, так и средствами автоматизации и обогащением дополнительными средствами защиты – там, где это возможно.
Александр Матвеев, IZ:SOC:
Актуальны классические вызовы, как, например, недостаток специалистов на рынке ИБ в целом. Это привело нас к необходимости выращивания собственных экспертов и аналитиков за счет внутренней стажировки и обучения. Отмечу вызовы, связанные с текущими реалиями и импортозамещением технических средств, используемых в SOC. Есть также вызовы, связанные с постоянным совершенствованием наших процессов и применением технологий машинного обучения для снижения нагрузки аналитиков и прогнозирования угроз на основе аномалий.
Максим Акимов, Innostage CyberART:
Главные вызовы – усиление внимания со стороны хакерских группировок, дефицит квалифицированных кадров на рынке и уход западных вендоров.
Кроме того, мы сами себе бросили вызов на проверку собственной киберустойчивости, запустив программу Bug Bounty. Это стимулирует нас к развитию в среднесрочной перспективе сразу в нескольких векторах:
- автоматизация типовых действий для повышения продуктивности и минимизации человеческого фактора;
- популяризации концепции Purple Team, командная работа "синих" и "красных" команд, проверка актуальных векторов атак, улучшение качества мониторинга;
- повышение экспертности и выстраивание доверительных отношений с заказчиком для расширения полномочий SOC по реагированию на инциденты;
- наращивание контента для российского ПО, АСУ ТП, контейнеризации;
- применение новых классов решений.
Теймур Хеирхабаров, BI.ZONE:
Главные вызовы: существенное увеличение спроса на услуги коммерческих SOC одновременно с нехваткой квалифицированных кадров, а также массовый переход на отечественные ИТ-продукты. С одной стороны, они далеко не всегда имеют зрелую программу управления уязвимостями, а значит, будут создавать большое количество новых угроз для инфраструктур. А с другой, зачастую не имеют качественных логов или возможности их удобного подключения в качестве источника событий в SOC.
Даниил Вылегжанин, RuSIEM:
В качестве ключевого вызова я выделю недостаток на рынке ИБ высококвалифицированных специалистов, обладающих всеми необходимыми знаниями и имеющих соответствующий опыт. Коммерческий SOC должен также быть в состоянии адаптироваться к новым угрозам и техникам атак, постоянно обновлять свои навыки и инструменты, чтобы эффективно защищать своих клиентов. Не менее значимым вызовом становится интеграция в SOC различных систем безопасности и мониторинга, которые уже используются конкретным заказчиком. Это может стать весьма сложным процессом, требующим множества согласований и совместной работы различных команд как со стороны провайдера, так и со стороны заказчика.
Руслан Амиров, Инфосистемы Джет:
На мой взгляд, основными вызовами являются следующие проблемы:
- Ограниченность технологического стека SOC мотивирует рынок к разработке новых программных продуктов.
- Появление новых способов кибератак и обнаружение уязвимостей требуют быстрой и корректной реакции от SOC.
- Высокая степень участия человека сказывается на качестве мониторинга, поэтому все еще актуальны вопросы ускорения подготовки аналитиков SOC, обязательной автоматизации процессов и рутинных действий.
- Развитие ИТ, параллельно с которым происходит повышение знаний и навыков злоумышленников, еще долгое время будет влиять на темпы развития услуг SOC.