Центры мониторинга киберугроз (SOC) в ближайшие годы могут кардинально измениться. Эксперты прогнозируют, что к 2030 г. классические SOC трансформируются в интеллектуальные центры безопасности, способные автоматически выявить и нейтрализовать атаки.
Сегодня многие дежурные смены подразделений SOC работают в режиме постоянной перегрузки. Количество детектирующих правил постоянно увеличивается, ИТ-инфраструктура клиентов меняется, поэтому огромные усилия направляются на контроль легитимных действий администраторов. По данным IBM Security, среднее время обнаружения кибератаки в компаниях составляет около 200 дней, а устранение инцидента может занимать более 70 дней.
Трудности мониторинга
Основная проблема – охват мониторингом всей поверхности атаки. В крупных компаниях SIEM ежедневно генерирует десятки и сотни подозрений на инциденты, анализировать их вручную практически невозможно. Для решения этой проблемы компании начинают внедрять продукты SOAR (Security Orchestration, Automation and Response) и системы поведенческой аналитики. По прогнозу Gartner, к 2027 г. более 40% операций SOC будут выполняться автоматически.
Одним из ключевых направлений развития станет использование искусственного интеллекта для автоматического подключения новых источников в SIEM и быстрой разработки корреляционной логики. Такие системы смогут выявлять угрозы еще до того, как они приведут к значительным инцидентам.
Кроме того, SOC будущего будут обеспечивать единую видимость инцидентов в корпоративных ИТ-системах и промышленной инфраструктуре. Это особенно важно в условиях конвергенции ИТ и OT-сред, когда атаки на офисные системы могут становиться точкой входа в производственные сети.
Аналитика, реагирование, прогноз
По мнению экспертов, уже в ближайшие годы компании начнут внедрять так называемые smart SOC – интеллектуальные центры безопасности, объединяющие аналитику угроз, автоматическое реагирование и прогнозирование атак.
«Современные атаки строятся как хорошо спланированные проекты, а не как набор отдельных активностей. Поэтому использование десятков разрозненных инструментов безопасности становится неэффективным без единой точки принятия решений. Компании требуют от поставщиков услуг SOC не только полной видимости своей ИТ-инфраструктуры, но и мгновенной реакции на угрозы, поэтому современный поставщик SOC становится не только “внешними руками” CISO, но и бизнес-партнером по обеспечению киберустойчивости своего клиента», – пояснил Александр Мосягин, директор центра мониторинга и реагирования «Софтлайн Решения» (ГК Softline).
источник: Группа компаний Softline (ПАО «Софтлайн»)
