В идеальной картине мира состав потенциальных возможностей сегодняшних Security Operations (SecOps) должен в достаточной мере обеспечивать как все потребности бизнеса в виде услуг и сервисов, которые оказываются соответствующим подразделением, например SOC, так и принципы эшелонированной обороны для постоянно изменяющихся контролируемых объектов и информационной инфраструктуры в целом. Об этом рассказал Тимур Зиннятуллин, директор Центра киберустойчивости Angara SOC, в статье для журнала BIS Journal.
Для включения в арсенал SOC доступно множество детектирующих и превентивных мер и средств защиты, статических и динамических. Постоянно растёт и уже трудно поддаётся синтаксическому анализу количество фидов и их форматов. Происходит расширение границ и глубины мониторинга (X-СЗИ, Next Generation СЗИ и т. д.), и применяются методы машинного обучения (ML). Правда, я не берусь утверждать, поскольку сам на практике не встречал его полноценную реализацию.
Все эти факторы должны положительно влиять на возможности предотвращения и устранения инцидентов ИБ. И всё-таки, к сожалению, мы продолжаем читать истории о том, как ещё одна компания оказалась не готова к противодействию злоумышленникам.
На этом фоне потребность в квалифицированном выстраивании и повышении надёжности защиты вверенной информационной инфраструктуры постоянно растёт. Вернее, становится всё более актуальной, поскольку изначальный уровень запущенности данных процессов и отсутствия security by design, по сути, значительно не меняется уже десятилетиями.
На решение компании о необходимости создания SOC, помимо всего прочего, часто влияют объективные экономические факторы: как общая структура расходов с превалирующим CAPEX или OPEX, так и стоимость владения соответствующим ФОТ с учётом необходимости его обучения и развития, обеспечения оборудованием, удержания и т. д. В зависимости от зрелости внутренних процессов ИБ и ИТ, в лучшем случае на основании спрогнозированной стоимости защищаемых активов и модели угроз, оценивается допустимая стоимость контрмер, как и их состав и целевое назначение. Затем принимается решение о том, какие функции реализуются самостоятельно, а какие будут отданы внешнему партнёру. В итоге, как правило, для удовлетворения потребностей бизнеса классическое разделение – собственный SOC или внешний – оказывается размытым. А с учётом растущей вариативности и сложности архитектур информационных систем и степени их проникновения в повседневную жизнь общества функции SecOps разделяются между партнёрами в уникальной для каждой компании пропорции, как разделяются и архитектурные, и операционные схемы их взаимодействия. Теперь для формирования, внедрения и развития SecOps компаниям нужен надёжный партнёр с накопленным опытом не только в части реализации SecOps в любом форм-факторе, но и в части обоснования своих предложений перед бизнесом.
Полный текст статьи доступен на сайте BIS Journal.
