Автоматическое реагирование на инциденты

С ростом ИТ- и ИБ-инфраструктуры предприятия естественным образом возникает потребность в мониторинге ее защищенности, управлении инцидентами с помощью специализированных систем класса IRP/SOAR, а также развертывании на их базе полноценного SOC. Как понять, что настал момент для системного управления инцидентами? Как сократить расходы на комплексный мониторинг ИБ? Как проактивно защитить всю организацию и снизить вероятности ошибок первого и второго рода? Об этом в рамках круглого стола рассказали эксперты журнала «Информационная безопасность».

«Потребность в SOC возникает при достижении компанией и ее ИБ-службой определенного уровня развития. Его использование в виде услуги не предполагает, в частности, формирования подразделения, внедрения систем», – полагает Александр Носарев, руководитель отдела систем мониторинга и реагирования Angara SOC. По его мнению, к моменту принятия решения о SOC уже должны быть внедрены блокирующие средства (AV, HIPS/NIPS, FW и др.), имеющие приоритет над детектирующими. «Далее следует провести расчет: если стоимость реализации рисков, которые может закрыть SOC, выше стоимости его услуг – надо брать»,  – рекомендует эксперт. 

Для принятия решения при выборе между собственным SOC и внешним, важно учитывать, что каждый вариант имеет свои преимущества, отмечает Александр Носарев. «Свой SOC – это полная согласованность с инфраструктурой, бизнес-процессами и высокая скорость реагирования на их изменения. Минусы решения in-house заключаются в том, что для обеспечения квалифицированного мониторинга 24 х 7 необходимы такие вложения (CAPEX и OPEX) во внедрение систем, поиск, развитие и удержание персонала, что направление может оказаться нецелесообразным», – считает эксперт. Он напоминает, что есть и третий, гибридный, вариант с признаками каждого из первых двух.

С мнением других участников круглого стола можно ознакомиться на сайте журнала «Информационная безопасность».