SOC в нынешнем виде – это хайп
Участникам сессии «АнтиПленарка», которая прошла 20 ноября - во второй день SOC Форума «Практика противодействия компьютерным атакам и построения центров мониторинга ИБ» - не раз предлагались для обсуждения весьма провокационные и неоднозначные вопросы. Например, каждому предложили обосновать, почему SOC не нужен, как сделать так, чтобы и так все нормально работало.
Дмитрий Гадарь, вице-президент, директор департамента информационной безопасности Тинькофф Банка считает, что это вопрос наподобие вопроса – нужна ли вообще информационная безопасность: «Это зависит от типа организации и видов ее деятельности. SOC будет не нужен, когда будут идеально описаны процессы, они будут структурированы и установлены средства замкнутой программной среды, замкнутого процесса, замкнутого бизнес-процесса, это будет самодостаточная среда. Тогда, наверное, реагировать не на что, если у нас понятно описанные правила и последовательность работы информационных систем. Т.е. не всегда нужен SOC, если мы взяли физически изолировали кусок инфраструктуры и каким-то правильным способом общаемся с внешним миром».
Любой запущенный SOC начинает переживать непонимания со стороны руководства, когда требуется объяснять, зачем он необходим, считает Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC, компании «Ростелеком-Солар». «Если SOC работает нормально, то и хвастаться нечем, атаки ловятся на первом или втором шаге, - подчеркивает эксперт. - И объяснить, почему вы этим занимаетесь и зачем нужно платить за работуSOC – не такая простая история. SOC не нужен, когда на определенном этапе невозможно объяснить руководителю его целесообразность».
Эксперты говорят, что среднее время жизни SOC, который был построен в организации, в среднем 2-3 года, после этого, согласно статистике, руководство утрачивает интерес к этой «игрушке», которая, кстати, когда хорошо работает, ее незаметно.
«SOC не нужен, потому что это дорого, - высказывает свою точку зрения Алексей Лукацкий бизнес-консультант по информационной безопасности Cisco Systems. Понятно, что мы не хотим тратить деньги на то, что не приносит некой отдачи в перспективе для бизнеса. Поэтому как честные люди мы должны признать, что тратить деньги без очевидной отдачи неправильно. Поэтому тему SOC надо закрывать и заниматься реальной работой и как минимум начать с понимания того, что может нанести ущерб и приостановить процессы внутри компании. Как только это произойдет, дальше все выстроится автоматически, можно это назвать как угодно – хоть матрешка или чебурашка. Главное, что оно будет работать по выстроенным процессам и оперативно реагировать на те или иные проблемы. А SOC в том виде, в котором он сегодня преподносится – это во многом хайп и в таком виде, действительно, особо не нужен».
.jpg)
.jpg)
.gif)
.gif)
