В настоящее время наблюдается острая нехватка квалифицированных кадров и высокая конкуренция за специалистов среди коммерческих SOC, а также импортозамещение, то есть переход и модернизация ИТ-инфраструктуры SOC с использованием отечественных решений. Отмечу и дороговизну ЗИП из-за параллельного импорта.
Ключевой вызов – масштабирование SOC под нужды новых заказчиков. Эта задача может решаться как наймом сотрудников и увеличением численности SOC, так и средствами автоматизации и обогащением дополнительными средствами защиты – там, где это возможно.
Актуальны классические вызовы, как, например, недостаток специалистов на рынке ИБ в целом. Это привело нас к необходимости выращивания собственных экспертов и аналитиков за счет внутренней стажировки и обучения. Отмечу вызовы, связанные с текущими реалиями и импортозамещением технических средств, используемых в SOC. Есть также вызовы, связанные с постоянным совершенствованием наших процессов и применением технологий машинного обучения для снижения нагрузки аналитиков и прогнозирования угроз на основе аномалий.
Главные вызовы – усиление внимания со стороны хакерских группировок, дефицит квалифицированных кадров на рынке и уход западных вендоров.
Кроме того, мы сами себе бросили вызов на проверку собственной киберустойчивости, запустив программу Bug Bounty. Это стимулирует нас к развитию в среднесрочной перспективе сразу в нескольких векторах:
Главные вызовы: существенное увеличение спроса на услуги коммерческих SOC одновременно с нехваткой квалифицированных кадров, а также массовый переход на отечественные ИТ-продукты. С одной стороны, они далеко не всегда имеют зрелую программу управления уязвимостями, а значит, будут создавать большое количество новых угроз для инфраструктур. А с другой, зачастую не имеют качественных логов или возможности их удобного подключения в качестве источника событий в SOC.
В качестве ключевого вызова я выделю недостаток на рынке ИБ высококвалифицированных специалистов, обладающих всеми необходимыми знаниями и имеющих соответствующий опыт. Коммерческий SOC должен также быть в состоянии адаптироваться к новым угрозам и техникам атак, постоянно обновлять свои навыки и инструменты, чтобы эффективно защищать своих клиентов. Не менее значимым вызовом становится интеграция в SOC различных систем безопасности и мониторинга, которые уже используются конкретным заказчиком. Это может стать весьма сложным процессом, требующим множества согласований и совместной работы различных команд как со стороны провайдера, так и со стороны заказчика.
На мой взгляд, основными вызовами являются следующие проблемы: