Автоматизация управления и реагирования на инциденты (IRP/SOAR&SGRC)

Когда нет возможности использовать средства защиты, блокирующие угрозу в автоматическом режиме, в дело вступает аналитик SOC. Чтобы исключить пропуск возможного инцидента, ему приходится изучать множество неоднозначных подозрений, большинство из которых оказываются ложной тревогой. В таком объеме информации и решений велик риск погрязнуть в рутине, растерять компетенции за решением однотипных кейсов или пропустить что-то важное.

Для поддержки аналитика существуют системы автоматизации управления и реагирования на инциденты. Они помогут минимизировать рутину с помощью агрегации однотипных подозрений, обогащения данных, запросов информации у пользователей; ускорить реагирование на инцидент на тех шагах, где подтверждение человека не требуется; не пропустить важные этапы расследования и т.д. А для руководства SOC — это отличный способ уменьшения кадрового голода, экономии фонда оплаты труда, отслеживания SLA и автоматизации формализованных процессов взаимодействия внутри подразделения.

Возможно, в управлении ИБ стоит пойти дальше. SGRC-системы позволяют не только управлять стандартами и регламентами, опер- и киберрисками, формировать отчётность для регуляторов и аудиторов, но и организовывать процесс управления уязвимостями, безопасностью третьих сторон или исключениями из общего хода всех этих процессов. Т.е. комплексно управлять процессами информационной безопасности организации в целом.