Мифы и правда о SOC: кому подходит и можно ли заменить его автоматикой

Рынок SOC стремительно развивается, поэтому о нем сложилось множество мифов. Разберем их в ближайших публикациях. В этой статье архитектор «Кросс технолоджис» Олег Игумнов расскажет, правда ли, что центр мониторинга ИБ — это только для крупного бизнеса, а также ответит на вопрос, могут ли автоматизированные инструменты заменить суточные смены аналитиков.

1. SOC — это только для крупного бизнеса

Приведу несколько фактов.

Сервисная модель делает технологии доступнее: решения класса MDR (Managed Detection and Response) и облачные SIEM-платформы позволяют даже небольшой компании «арендовать» возможности SOC, существенно сократив объем инвестиций в инфраструктуру и штат.

Масштабируемость: современные SOC-услуги гибки. Можно начать с мониторинга критически важных активов и постепенно расширять покрытие.

Экономическая целесообразность: один успешный инцидент ИБ (производственный простой, штрафы от регуляторов, урон репутации) может нанести ущерб, который для малого бизнеса окажется непоправимым. Инвестиции в SOC — это страховка.

➜ Вердикт: приведенное убеждение — ✗ скорее миф чем правда. SOC — это не про размер компании, а про подход к безопасности, всё зависит от подхода.

Создать свой SOC для компании среднего или малого бизнеса не всегда экономически целесообразно, в качестве альтернативы можно выбрать гибридный формат или полностью отдать защиту на аутсорс (SOCaaS). Учитывая небольшой размер инфраструктуры и количество событий, SOCaaS позволит компании обеспечить защиту, сэкономив как на внедрении аппаратной части — SIEM, IRP, SOAR, средств поведенческого анализа, так и на расширении штата.

2. Круглосуточные смены не нужны, их может заменить автоматизированный Incident Response

Автоматизированным инструментам сложно выйти за рамки: они отлично справляются с известными, шаблонными атаками, но современные угрозы (Targeted Attacks, APT) часто используют новые техники, которые требуют анализа контекста и расследования.

Автоматика генерирует ложные срабатывания: например, «машина» может распознать как опасное событие вход в систему ночью и заблокирует процессы, а потом окажется, что это был топ-менеджер, который срочно искал данные для клиента. Робот с трудом отличит легитимную активность системного администратора от действий злоумышленника. Только аналитик может провести расследование и принять решение.

Возникает вопрос об ответственности: кто будет отвечать за убытки от ложных срабатываний и остановки бизнес-процессов?

Необходимо качественное реагирование в нерабочее время: злоумышленники часто атакуют ночью, в выходные и праздники. Автоматика может заблокировать IP, но только люди могут управлять кризисом: общаться с командой, принимать стратегические решения и эскалировать инцидент, справляться с последствиями и восстанавливать после сбоя.

➜ Вердикт: на мой взгляд, отказ от смен — это ⚠опасное заблуждение.

Автоматизация — это мощный инструмент, но он не заменяет человеческую экспертизу и принятие решений в реальном времени. Кроме того, внедрение автоматизированного Incident Response — долгий процесс, актуальный для компаний с высоким уровнем зрелости ИБ.

Идеальная формула: если компания работает 24/7, то и ИБ должно быть круглосуточным. Автоматизацию должен контролировать человек, который может проанализировать срабатывание и принять корректное решение.

В следующей статье обсудим, может ли внешний SOC полностью заменить команду реагирования внутри компании, правда ли, что эффективность центра оценивается по количеству пресеченных инцидентов и можно совмещать работу в SOC с другими задачами ИБ.