Эффективность направления SecOps будет снижаться без развития всех ресурсов и процессов SOC, рассказал директор Центра киберустойчивости группы компаний Angara Тимур Зиннятуллин в интервью BIS Journal.
«Без организации цикличного и непрерывного процесса развития всех ресурсов и процессов коммерческого или внутреннего SOC эффективность направления SecOps будет снижаться. Это обусловлено хорошо известными профессиональному сообществу факторами: интенсивно растущей инфраструктурой ИТ-решений и сервисов, меняющейся архитектурой типовых решений, в том числе контейнеризации, сокращающимися по требованиям бизнеса RTO и RPO. Скорость упаковки эксплойтов под публикуемые уязвимости в профили сканирования также растет», — сказал Тимур Зиннятуллин.
Он также отметил, что в ответ на современные вызовы группа компаний Angara продолжает движение по выбранному ранее курсу наращивания операционных и технологический мощностей в своем коммерческом SOC. На ближайшие годы запланированы разработка и внедрение автоматизированных сценариев реагирования на базе внедренного IRP, а также проекты по подключению сторонних SIEM, по внедрению полноценного EDR и Data Lake.
Кроме того, по мнению эксперта, создание SOC на программных компонентах с открытым исходным кодом возможно. И критерием успеха, помимо ПМИ, будет оказание требуемых бизнесу услуг и сервисов в полном объеме с определенным уровнем предоставления услуг (SLA). Также он отметил, что вне зависимости от используемых инструментов ключевым показателем успешности проекта будет его эффективность с точки зрения бизнеса, если речь идет только про коммерческие организации. «Сейчас на практике значительных изменений по направлению измерения этой самой эффективности пока еще не произошло. Это стандартные, хорошо известные рынку SLA, указываемые в соглашениях об оказании услуг, за которые партнер несет финансовую ответственность. Но они не всегда позволяют экспертам ИБ показать и доказать свою эффективность бизнесу даже в ситуациях, когда подразделения работали настолько хорошо, что никаких нарушений целостности, конфиденциальности или доступности не происходило», — сказал Тимур Зиннятуллин.
Поэтому, чтобы способствовать этим изменениям, в Центре Киберустойчивости группы компаний Angara функционирует и развивается направление Security Intelligence, в рамках которого их эксперты разрабатывают решения для оценки эффективности как средств защиты информации, так и различных процессов информационной безопасности.
Обсудить тему SOC-ов, их задач на будущее и возможные пути развития, а также поделиться своим экспертным мнением и услышать другие вы можете на предстоящем крупнейшем ИБ-мероприятии года — SOC-Форум 2021, который пройдет 7-8 декабря в Москве.
Вместе с тем Тимур Зиннятуллин из группы компаний Angara и Артём Сычёв из АльфаСтрахование выступят на Форуме с докладом «Практика построения гибридного SOC: внешний SOCaaS и собственный Open Source». В рамках выступления будет представлен практический пример реализации полного жизненного цикла модели гибридных SecOps посредством использования внешнего SOCaaS, дополненного в части IR внутренними ресурсами заказчика и собственным технологическим стеком на базе Open Source.
Второй доклад от группы компаний Angara — «Emulate & Detect: Windows Persistence» — также представит Тимур Зиннятуллин, но уже в техническом треке по обнаружению инцидентов ИБ, поскольку без практики теория не работает, как, пожалуй, и наоборот. В рамках доклада будет рассмотрена часть техник, относящихся к Persistence.
Источник: BIS Journal