Во время онлайн питч-сессии v. 2.0 «Опыт ошибок SOC: срывая покрывала» нельзя было не затронуть собственно саму тему ошибок SOC. Все эксперты сошлись на том, что об этом можно говорить очень долго. Однако каждый из них всё же смог выделить некие общие и самые главные ошибки.
Начальник отдела обеспечения ИБ Андрей Дугин отметил проблему с возможным пропуском событий. По его словам, это одна из самых частых ошибок, с которой может столкнуться SOC и за которой необходимо внимательно следить на любом этапе развития. «То есть пропуск событий может быть от того, что отваливается источник, от того, что просто событие каким-то образом не долетает, от того, что принимающая сторона не переварила их. Есть вещи, которые возможно мониторить более менее просто, а есть те, которые нужно как-то более изощрённо выявлять. Это одна из наиболее значимых плоскостей работы SOC, из-за которой возможны ошибки более высокого уровня. То есть если у вас SOC уже есть либо вы его только строите, обращайте внимание на сбор событий», — пояснил Андрей Дугин.
Заместитель начальника департамента Газпромбанка Евгений Горбачёв рассказал о другой самой частой ошибке: при внедрении автоматизированной системы или любой другой системы почему-то все считают, что она будет работать сама и нужно меньше людей. Однако когда внедряется та или иная автоматизированная система, потом всё равно нужны человеческие ресурсы, может быть, даже новый компетентный специалист, который (в идеале) уже работал с этой системой, знает как её развивать, наполнять и как с ней взаимодействовать. «Это основное, что встречается: когда мы смотрим на что-то и думаем, что вот волшебная палочка, которая нам всем поможет», — поделился Евгений Горбачёв.
«Второй момент, который в моей практике тоже встречался, недооценка сет менеджмента. Если у нас нет хорошей системы инвентаризации, сбора информации об объектах, что мы защищаем, то наверно нам очень будет сложно в построенном нашем SOC и вообще в целом ориентироваться. И когда ты это тоже начинаешь понимать, ты начинаешь в режиме ошпаренной кошки добегать и доделывать быстро — это тоже вносит свои нюансы и коррективы», — рассказал эксперт.
Директор Solar JSOC «Ростелеком-Солар» Владимир Дрюков подошёл немного с другой стороны к этому вопросу и рассказал, какие технологии в SOC, по его мнению, не оправдали надежд. Он считает, что ИИ — это «величайшая профанация, по крайней мере в части современного ИБ». По его словам, все заказчики, которые пытаются внедрить у себя ИИ на масштабные задачи поиска аномалий, буду жестоко разочарованы и биты о все барьеры, связанные с работой с ИИ. «ИИ, который вы приносите в свою компанию — это как ребёнок, и ребёнок очень плохо вырастет, если вы не начнёте его сами обучать. А чтобы обучать ребёнка, нужно потратить очень много времени. А для того, чтобы ребёнка обучать, вам нужны специалисты по обучению детей. Специалистов по обучению ИИ в России пока не особо много, да и по-моему, они не планируют появляться. Поэтому автоматизация — классная история, но сначала придётся очень много поработать», — пояснил свою точку зрения Владимир Дрюков.
