По прогнозам экспертов, к 2030 году классические, работающие в режиме постоянной перегрузки, SOC трансформируются в интеллектуальные центры безопасности, автоматически выявляющие и нейтрализующие атаки.
Сегодня количество детектирующих правил растёт, а ИТ-инфраструктура клиентов меняется — оба фактора требуют приложения огромных усилий к контролю легитимных действий администраторов. Время обнаружения инцидента достигает 200 дней, а полное устранение его последствий может занимать более 70 дней (данные IBM), но основной проблемой по-прежнему является покрытие мониторингом всей поверхности атаки.
В крупных компаниях SIEM ежедневно генерирует сотни подозрений на ИБ-инциденты, которые практически невозможно анализировать вручную, ввиду чего бизнес активно внедряет продукты SOAR и системы поведенческой аналитики (в Gartner считают, что уже к концу года более 40% операций SOC будет выполняться автоматически). Драйвером также выступает применение искусственного интеллекта для подключения быстрой разработки корреляционной логики.
Кроме того, по ожиданиям экспертов, центры безопасности будущего (так называемые smart SOC) будут обеспечивать единую видимость инцидентов в корпоративных системах промсектора. Это особенно важно в условиях конвергенции IT- и OT-сред, когда атаки на офисный сегмент могут становиться точкой входа в производственные сети.
«Современные атаки строятся как хорошо спланированные проекты, а не как набор отдельных активностей. Поэтому использование десятков разрозненных инструментов безопасности становится неэффективным без единой точки принятия решений. Компании требуют от поставщиков услуг SOC не только полной видимости своей ИТ-инфраструктуры, но и мгновенной реакции на угрозы, поэтому современный поставщик SOC становится не только “внешними руками” CISO, но и бизнес-партнёром по обеспечению киберустойчивости своего клиента», — прокомментировал тренд директор центра мониторинга и реагирования «Софтлайн Решения» (ГК Softline) Александр Мосягин.
