Angara Professional Assistance | SOC – это технологии, процессы и люди

SOC – это технологии, процессы и люди

Редакция CISO CLUB в преддверии одного из самых ожидаемых мероприятий в области информационной безопасности, SOC-Форум 2021 «Практика противодействия кибератакам и построения центров мониторинга ИБ», которое состоится 7–8 декабря в Москве, решила пообщаться с экспертами на тему SOC.

«SOC – это технологии, процессы и люди», – заявил Максим Павлунин, руководитель Центра мониторинга Angara SOC. По его словам, для оценки эффективности SOC необходимо рассматривать каждый компонент. 

Для работы с инцидентами ИБ используется множество инструментов и технологий, направленных на сбор, обогащение, обработку, выявление и реагирование. Все используемые инструменты должны быть в «боевом» состоянии для противодействия современным атакам, отметил эксперт.

Одну из важнейших ролей в SOC играют люди, от квалификации которых напрямую зависит успешность выявления инцидентов ИБ. С каждым годом активно развивается как ИТ-технологии, так и техники злоумышленников для осуществления атак. 

Все эти факторы постоянно повышают требования к персоналу SOC.  Выстраивание процессов в SOC – одна из сложнейших задач для взаимодействия между людьми и технологиями, направленная на повышение эффективности подразделения. 

«Как же проверить эффективность SOC? Я считаю, что единственным критерием является успешность выявления и реагирования на атаки», – подчеркнул Максим Павлунин. 

Выбор модели SOC зависит от потребности конкретного заказчика, продолжил эксперт. Модель Cloud позволяет обрабатывать и хранить события ИБ в инфраструктуре исполнителя. Благодаря этому способу размещения заказчик может забыть о проблемах технической поддержки ИТ-инфраструктуры. К таким проблемам относятся замена различных компонентов оборудования, организация сетевой связанности, резервное копирование, обслуживание ЦОД, сопровождение закупочных процедур, мониторинг технического состояния и многое другое. При этом способе размещения заказчик экономит на содержании технических компонентов и обслуживающем персонале. К минусам можно отнести высокие требования к каналам между площадками заказчика и исполнителя, так как для обработки передается большой поток данных, объяснил Максим Павлунин. 

При выборе решения On-Premise часть работ по обслуживанию неизбежно ложится на специалистов заказчика. При этом данные хранятся и обрабатываются внутри периметра согласно всем внутренним требованиям организации. 

Исходя из практики, на данный момент наибольшей популярностью пользуется On-Premise, поскольку услуги SOC востребованы в первую очередь крупными организациями, имеющими достаточно квалифицированных специалистов для сопровождения ИТ-инфраструктуры. 

«К тому же у нас принято «все свое» держать при себе, особенно данные. В ближайшие годы данная ситуация будет постепенно меняться в пользу Cloud-решений, так как темпы развития информационных технологий с каждым годом растут, вместе с ними повышаются и требования к персоналу, дефицит которого увеличит спрос на услуги профильных компаний», – заключил Максим Павлунин. 


С мнением других экспертов можно ознакомиться на сайте CISO CLUB.