Центр киберустойчивости нового типа, который будет призван решать не только задачи мониторинга, как происходит сейчас, но и фокусироваться на реагировании, бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий предложил назвать SOC 2.0. Об этом он заявил на Всероссийском форуме «ИнфоБЕРЕГ-2022».
Успех процесса построения киберзащиты зиждется на нескольких составляющих. Вначале нужно определить, какие события являются критичными для бизнеса. Далее – создать центр киберустойчивости, который эксперт Positive Technologies предложил назвать, например, SOC 2.0. Его отличие от SOC в традиционном понимании заключается в задачах, которые он будет решать. Такой центр должен взять на себя не только мониторинг, но и реагирование на инциденты.
По словам Лукацкого, не так важно, где он будет реализован – внутри или снаружи компании, будет ли это корпоративный или ведомственный центр ГосСОПКА.
В идеале решение этих задач должно быть полностью автоматизировано, считает эксперт. Сейчас это пока недостижимо, только по отдельным направлениям можно с помощью машинного обучения, прослеживания цепочки действия блокировать злоумышленников, не давая им дойти до ключевой системы и реализовать недопустимое событие.
Исходя из опыта Positive Technologies, где этот механизм реализован, система блокирует в автоматическом режиме более 70% такого рода действий, 30% остается на человеческий фактор. «Но 70% – это уже отличнейший показатель, – считает Лукацкий. – А в условии нехватки кадров (до 50 тысяч человек в ИБ не хватает ежегодно) эта цифра начинает играть новыми красками».
Наконец, последнее, что нужно сделать, это подтвердить, что этот центр работает, а не просто «съедает ресурсы компании». Для этого можно нанять внешних хакеров, которые в рамках пентеста или программы Bug Bounty попытаются взломать систему и реализовать недопустимое событие, заключил эксперт.
