Основой в развитии темы SOC является оценка их возможности «гарантированно» выявлять и противостоять атаке злоумышленников соответствующего уровня квалификации.
Такое мнение высказал операционный директор центра мониторинга и реагирования на киберугрозы Solar JSOC компании «Ростелеком-Солар» Антон Юдаков в беседе с BIS Journal в преддверии SOC-Форум Live, который состоится 1 декабря в режиме онлайн.
«Растут и квалификация злоумышленников, и скорость эксплуатации ими новых уязвимостей, и в целом количество атак. Для адекватного противостояния соответствующим угрозам требуется осознанное и при этом не менее быстрое развитие ИБ в части задействованных технологий и средств защиты, а также связанных с ними возможностей по выявлению и реагированию на кибератаки. Для нас основой в развитии темы SOC является оценка их возможности «гарантированно» выявлять и противостоять атаке злоумышленников соответствующего уровня квалификации. Другими словами, для конкретной организации выбор модели SOC или поставщика должен начинаться с ответа на вопрос: «От кого мы защищаемся — боимся ли мы спонсируемых государствами кибергруппировок или только хулиганов». В зависимости от этого необходимо выбирать совершенно разные модели и инструменты SOC», — рассказал Антон Юдаков.
Вместе с тем он отметил, что для разных компаний тренды в теме SOC разные, потому что для них актуальными становятся только те вопросы, темы и тренды, с которыми они сталкиваются «лбом» в реальной жизни. «Для кого-то это переход от базового уровня обеспечения ИБ к более продвинутому и насыщение соответствующими технологиями и процессами (EDR, UEBA и др., охват мониторингом бизнес-приложений, АСУ ТП и т.д.). Для кого-то — развитие и автоматизация уже существующих процессов и технологий — в частности, для многих всё большую роль играет проработка и автоматизация вопросов оркестрации и реагирования на инциденты ИБ. Для кого-то остаётся актуальным вопрос построения базового операционного уровня ИБ в изменяющихся условиях», — пояснил Антон Юдаков.
Стоит так же отметить, что по словам спикера, чем менее зрелым является текущий уровень обеспечения ИБ в организации, тем более хайповой или, наоборот, «отвлеченной» является для неё тема SOC. Однако чем выше уровень зрелости ИБ, тем актуальнее для компании постоянный операционный режим обеспечения безопасности и тем понятнее векторы развития их конкретного SOC.
Однако далеко не всем компаниям на самом деле нужен свой собственный SOC. «На практике целый ряд наших клиентов, небольших по размеру компаний, в т. ч. подпадающих под действие №187-ФЗ, закрывают стоящие перед ними задачи без увеличения штата путем подключения к сервису регистрации и анализа событий ИБ MSS ERA (Event registration and analysis). При этом вопрос обеспечения базовой операционной безопасности может быть решен и без подключения к внешнему сервису, однако, действительно, он зачастую упирается в кадровые и бюджетные ограничения», — рассказал Антон Юдаков.
В то же время, по словам эксперта, если мы говорим о крупных компаниях различных отраслей нашей экономики, объектах КИИ с высоким уровнем возможных последствий от инцидента, ключевых органах гос.власти, — им приходится противостоять квалифицированным, подготовленным и зачастую нацеленным именно на их инфраструктуру злоумышленникам, для чего становится фактически необходимым наличие продвинутого SOC.
Чтобы узнать больше о трендах и развитии SOC за последнее время, пообщаться с единомышленниками, поучаствовать в розыгрышах и получить ценные призы, приходите на крупнейшее мероприятие по ИБ SOC-Форум Live 1 декабря и окунитесь в мир информационной безопасности с головой.
«Ростелеком-Солар» — генеральный партнёр SOC-Форум Live.