20 ноября, 2019

SOC, технологии и люди

Одна из двух сессий первого дня SOC форума формально именовалась «Технологии SOC».

Однако т.н. «ключевой доклад» одного из модераторов сессии, Владимира Дрюкова (Ростелеком-Солар) был озаглавлен «SOC – вера в технологии, вера в людей, поиск баланса».

То, что технологии важны для успешной работы SOC, который может анализировать миллионы «событий» ИБ в день (как это происходит, например, в Сбербанке), никем не оспаривалось. Но характерно, что о роли людей в SOC вспомнил не только Владимир Дрюков в своём предваряющем докладе, но и ряд гостей форума, принявших участие в заключительном «аккорде» сессии о технологиях, в питч-сессии, получившей название «Опыт ошибок SOC: срывая покровы».

Как оказалось, ошибки совершали люди, и люди же ошибки исправляли. Но ни один из выступивших на разборе «полётов» руководителей не упрекнул своих подчинённых, акцентируя внимание слушателей лишь на извлечённых уроках, что поразительным образом коррелировало с мыслью, высказанной парой часов ранее на пленарном заседании заместителем начальника центра ФСБ Игорем Качалиным, о том, что в сфере ИБ ошибка одного может оказаться победой многих.

Что же касается технологий, то SOC – это достаточно дорогое удовольствие.

Для круглосуточного решения его задач в типичных ситуациях может быть задействовано более десятка инструментов. О некоторых из них было рассказано в специальных докладах сессии «Технологии SOC» представителями Positive Technologies, Лаборатории Касперского, ICL Системные Технологии, Пангео Радар и других.

При этом штатно и в теории персонал SOC должен был бы насчитывать несколько десятков человек. Что чаще всего оказывается не реализуемой на практике роскошью, как по формальным причинам (штатное расписание), так и в связи с отсутствием нужного количества людей должной квалификации. Об этом упоминалось на пленарной сессии и сессии, посвящённой опыту выполнения требований 187-ФЗ. Особенно ярко проблема была освещена в докладе Максима Акимова из Самары.

Частично выход находится в автоматизации работы, а сегодня и за счёт получения услуг SOC от стороннего поставщика. На форуме этот вариант представили Ростелеком-Солар и Angara Technologies Group.

Но независимо от способа реализации SOC максимальный успех этой структуры может быть достигнут только за счёт синергии работы всех таких подразделений на основе обмена информацией (ГосСОПКА), благодаря чему может в полной мере реализоваться принцип конверсии единичной ошибки в победу многих.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

12.11.2024
Правкомиссия одобрила проект поправок о налогообложении криптотранзакций
12.11.2024
Хакер сёрфит на утечке. Волновой эффект инцидента MOVEit Transfer всё ещё силён
12.11.2024
Иранские хакеры DDoS-ят израильскую финансовую инфраструктуру
12.11.2024
До трети фейкового мобильного ПО — сервисы телеком-компаний
11.11.2024
Расходы на российские софт и хард зачтут с двойным коэффициентом
11.11.2024
Минцифры (не) меняет правила. Как поправки играют сразу в обе стороны
11.11.2024
RED Security: ИБ стала обязательным элементом устойчивого развития бизнеса
11.11.2024
Консорциум для исследований безопасности ИИ-технологий принял сразу четыре новые организации
11.11.2024
Русы и персы. Первая стадия интеграции «Мир» и Shetab запущена
11.11.2024
Этика vs. деньги. Должны ли «белые шляпы» выбирать

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных