Трансформация SOC скорее является ответом на два ключевых мировых тренда — это изменение инфраструктур и развитие киберпреступности. Такого мнения придерживается директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков.
«Перед SOC всегда стоит одна задача — своевременно выявить атаку и действия злоумышленника, чтобы иметь возможность прореагировать и ликвидировать последствия возможного инцидента. Поэтому изменения в работе SOC скорее являются следствием двух ключевых изменений, происходящих в мире», — сказал Владимир Дрюков в интервью BIS Journal.
По словам спикера, первое изменение связано с корпоративными инфраструктурами. Компании становятся все более цифровыми, заказчики все чаще переходят в облака, также существенное влияние оказывают удаленный доступ и удаленная работа, связанные с пандемией.
Второе изменение — это развитие киберпреступного сообщества. Как отметил эксперт, злоумышленники становятся хитрее, изобретательнее, развивают собственные более сложные методы атак.
«Поэтому задача SOC — с одной стороны, не отставать от трендов в инфраструктуре, а с другой – быть готовым принять новые кибервызовы. Это необходимо, чтобы в каждый момент времени быть во всеоружии — вовремя выявить атаку и прореагировать на нее», — подытожил Владимир Дрюков.
Вместе с тем он пояснил, что развитие SOC происходит по нескольким направлениям. Одно из них — технологических стек. «Если какое-то время назад почти все говорили, что для SOC достаточно SIEM, людей и процессов, то сейчас картина существенно изменилась. Набор технологий, необходимых сегодня для эффективной работы SOC, существенно расширился: анализ сетевого трафика системой NTA, анализ конечных станций EDR, автоматизация процессов реагирования, сбор Threat Intelligence и так далее. Вероятно, технологический стек будет меняться и дальше по мере развития инфраструктуры злоумышленников», — сказал эксперт.
Еще один вектор развития — потребность в экспертизе. По словам спикера, несколько лет назад атаки были достаточно понятными и поверхностными, но теперь противодействие им — «это все больше изучение «хлебных крошек», оставленных злоумышленниками, и поиск аномалий при помощи правил Threat Hunting».
«Чтобы увидеть настоящую хакерскую атаку и корректно ее разобрать, необходимы крутые эксперты, глубоко понимающие инфраструктуру, а также методы и подходы злоумышленников. Это, безусловно, является вызовом с точки зрения кадрового потенциала Security Operation Center», – заключил Владимир Дрюков.
Обсудить тему SOC-ов, их задач на будущее и возможные пути развития, а также поделиться своим экспертным мнением и услышать другие вы можете на предстоящем крупнейшем ИБ-мероприятии года — SOC-Форум 2021, который пройдет 7-8 декабря в Москве.
В свою очередь эксперты «Ростелеком-Солар» готовы в рамках Форума не только делиться своим опытом, но и транслировать опыт других участников рынка. «Наша отдельная задача — организовать открытый диалог с аудиторией через игровые форматы. Для этого мы вернем нашу классическую питч-сессию «Опыт ошибок SOC», в которой я как модератор буду решительно требовать реальных рассказов про ошибки и провалы, которые случались в каждой компании. Повторим полюбившиеся всем секции «Прожарка» и «Антипленарка». Словом, будет много возможностей поговорить без купюр. Будет гарантированно интересно!» — отметил Владимир Дрюков.
Не пропустите SOC-Форум 2021, следите за новостями на сайте мероприятия — проект программы уже опубликован, а также отрыта регистрация для участия оффлайн и онлайн