Тренды в развитии SOC

В рамках второго круглого стола проекта Global Digital Space и Cyber Media эксперты обсудили тренды в развитии SOC-центров: рост автоматизации, гибридные модели и интеграцию ИИ.

Специалисты поделились практическим опытом построения и работы центров мониторинга информационной безопасности. В обсуждении приняли участие:

Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервисам, «Лаборатория Касперского»;
Константин Мушовец, директор USSC-SOC, УЦСБ;
Лидия Виткова, начальник Аналитического центра Кибербезопасности Газинформсервис;
Дмитрий Шулинин, руководитель SOC UserGate.

Эксперты рассказали порталу Cyber Media, как автоматизация меняет реагирование на угрозы, почему первая линия анализа остается незаменимой и какие вызовы ждут отрасль в условиях нехватки кадров и роста облачных решений.

Посмотреть видеоверсию интервью можно в Rutube, VK, YouTube.

Cyber Media: Новые тенденции и продукты в построении SOC-центров, что изменилось за последние годы?

Лидия Виткова, Газинформсервис: За последний год можно выделить несколько основных изменений. Главное, что происходит не столько внедрение абсолютно новых технологий, сколько улучшение и стабилизация уже существующих решений. Старые подходы и бизнес-процессы становятся более эффективными, к ним постепенно добавляются новые технологии, которые раньше были менее стабильными и зрелыми.

Одним из явных трендов является интеграция ассистентов и нейросетей в SOC-центры. Однако здесь важен не просто переход на новые технологии, а постепенное улучшение качества уже внедренных систем и функционала. В результате этого возникает стабильный рост возможностей SOC, а новые инновационные решения обеспечивают дополнительный прирост функциональности и гибкости.

Константин Мушовец, УЦСБ: За последние годы в области SOC и управления инцидентами информационной безопасности можно выделить несколько ключевых трендов:

Рост зрелости процессов управления инцидентами. У многих компаний уже появился опыт выстраивания процессов управления инцидентами информационной безопасности. Хотя он не всегда положительный, это способствует росту зрелости в подходах к информационной безопасности и работе с инцидентами, что в итоге улучшает уровень защиты.
Расширение кругов пользователей SOC. Растущий объем и сложность атак, а также успешность этих атак, приводят к тому, что теперь вопросы SOC касаются не только крупных корпоративных клиентов, но и среднего и малого бизнеса. Это является положительным трендом, поскольку расширяет использование SOC-решений на новые сегменты рынка.
Аутсорсинг в области информационной безопасности. В последние годы наблюдается тренд постепенного снижения недоверия к аутсорсингу в области информационной безопасности. Если раньше многие компании предпочитали строить свои внутренние SOC, то теперь, с учетом роста атак и нехватки кадров, все больше компаний обращаются за помощью к внешним интеграторам. Хотя успешные случаи с supply chain атаками несколько сдерживают этот процесс, доверие к аутсорсинговым компаниям постепенно растет.
Инструменты для мониторинга и реагирования. В части инструментов стоит отметить рост интереса к таким решениям, как ASM, DRP. Если раньше они воспринимались как дополнительные фишки для уже полностью построенной инфраструктуры, то теперь они стали практическими инструментами для мониторинга безопасности. Важными становятся вопросы отслеживания утечек учетных записей сотрудников, а также мониторинга в контексте darknet. В то же время классические инструменты, такие как SIEM, SOAR, EDR, XDR по-прежнему актуальны и широко используются.
Продолжение использования старых методов атак. Не изменился и подход к методам первичного доступа для злоумышленников. Такие инструменты, как эксплуатация уязвимостей, использование ВПО и социальная инженерия, продолжают оставаться эффективными. Это важно учитывать при формировании новых сервисов и услуг для SOC-центров.

Полную текстовую версию вы сможете прочитать здесь