Мальнев: «SOC в будущем должен стать настоящим аналитическим центром»

SOC в будущем должен стать настоящим аналитическим центром. Такое мнение высказал руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев в интервью BIS Journal.

По его словам, сейчас, как и ранее, ключевой задачей SOC является снижение рисков ИБ для бизнеса до приемлемого уровня. «И общая статистика по рынку говорит о том, что в среднем SOC справляется с этой задачей плохо или очень плохо. А текущие тренды (рост количества угроз, рост объема данных, рост количества устройств Интернет и IoT, развитие промышленного Интернета, DevOps, Cloud-технологии, Big Data и т.д.) формируют очень серьезные и сложные вызовы на будущие годы», — отметил спикер.

Вместе с тем перспективы развития SOC он видит в повышении уровня автоматизации SOC, в применении технологий машинного обучения, в более эффективной координации с CERT и регуляторами, в обязательном выстраивании процессов Threat Intelligence и Threat Hunting, в сфокусированном на суперкритичные системы глубоким мониторингом MDR (Managed Detection and Response).

«Иными словами, SOC в будущем должен стать не просто процессом Incident Response поверх технологий SIEM и IRP, а настоящим аналитическим центром, где всё строится вокруг команды исследователей, вооруженных современными технологиями и перманентно учитывающих тот факт, что атакующие всегда имеют фору и уже активно осваивают технологии автоматизации», — сказал Алексей Мальнев.

Вместе с тем, на вопрос о возможном построении SOC целиком на open sourse-компонентах спикер ответил, что это возможно, но «практика показывает, что такой подход снижает уровень специализации команды и повышает OPEX за счет повышенных затрат на персонал, который занимается поддержкой и развитием Open Source». «Но в относительно статичных гомогенных инфраструктурах такие подходы могут сработать — такие примеры действительно встречаются», — добавил он.

Если вы хотите обсудить эти темы, узнать мнения коллег и поделиться своим опытом, приходите на одно из крупнейших ИБ-мероприятий года — SOC-Форум 2021, который состоится 7-8 декабря в гибридном формате: онлайн и оффлайн в Центре международной торговли в Москве.

В Форуме примут участие и представители компании «Инфосистемы Джет», у которой большой опыт строительства SOC и оказания услуг в этой области в большинстве отраслей: в финансовой, в промышленности, в государственных информационных системах, в системах управления транспортом, в ритейле и т.д.

«Мы работали с большим количеством конфигураций с применением различных технологий и большого количества разнообразных инструментов от разных производителей. Этим опытом мы и готовы делиться с сообществом. Если говорить конкретно: мы расскажем о том, как сформировать Workflow по обработке инцидентов и реагированию на них для различных SIEM и SOAR, под разные конфигурации и отрасли; о том, как реализовать связку между Threat Intelligence и услугами защиты бренда с процессами и технологиями SOC посредством процесса Threat Hunting; как выстроить концепт и методологию оптимального обогащения инцидентов фидами Threat Intelligence; как сформировать, обучить и развивать команду SOC в условиях острого дефицита кадров в стране», — поделился Алексей Мальнев.

Чтобы увидеть все это, послушать выступления и окунуться в мир ИБ, приходите на SOC-Форум 2021 — проект программы уже на сайте, также открыта регистрация! А для тех, кто не сможет посетить мероприятие лично, на сайте есть возможность зарегистрироваться на онлайн-трансляцию. 

20 октября, 2021