Журнал "Information Security/ Информационная безопасность" #4, 2025

28 • СПЕЦПРОЕКТ Илья Одинцов, NGR Softlab Надо разделять команды. Для неболь- ших команд и компаний с низкой зре- лостью ИБ – ИИ может помогать, но не стоит забывать о передаче информации третьим лицам. Для зрелых команд встроенный ИИ скорее мешает, для кон- сультации можно использовать сторон- ние более новые решения, например: описать логику детектирования. Екатерина Едемская, "Газинформсервис" Искусственный интеллект в SIEM имеет реальный потенциал для сокра- щения времени реакции на инциденты. Алгоритмы ИИ могут эффективно ана- лизировать огромные объемы данных и выявлять паттерны, которые человеку было бы сложно заметить. Но важно понимать, что ИИ пока не заменяет пол- ностью человеческий интеллект и не может гарантировать идеальную точ- ность. Поэтому он должен использо- ваться в качестве инструмента для уси- ления рабочих процессов, а не как един- ственная опора в реагировании на инци- денты. Екатерина Едемская, "Газинформсервис" Для повышения эффективности SOC в ближайшие годы правильным под- ходом будет сбалансированное инве- стирование как в подготовку аналити- ков, так и в автоматизацию процессов расследования и реагирования. Обуче- ние аналитиков критически важно, поскольку человеческий опыт и интуи- ция остаются необходимыми для адек- ватного понимания контекста инци- дента. В то же время автоматизация в SIEM позволяет ускорить и улучшить точность реагирования, снизить нагрузку на специалистов и обеспечить быстрые действия в рутинных ситуа- циях. Комбинированный подход поз- волит эффективно использовать как человеческие, так и технологические ресурсы. Максим Тумаков, BI.ZONE Сегодня нет решений, которые могут работать полностью автономно и при этом обеспечивать высокий уровень защиты. От команды кибербезопасности и ее квалификации зависят коррект- ность эксплуатации и правильность настройки СЗИ, а также скорость обра- ботки алертов. Оптимальным для орга- низации будет соблюдать баланс между инвестициями в новые СЗИ, повышени- ем квалификации команды и выстраи- ванием процессов внутри SOC. В пер- спективе мы закладываем в продукты возможность создания автономной системы выявления и реагирования на инциденты, работающей под контролем человека. Александр Дорофеев, "Эшелон Технологии" Имеет смысл вкладываться и в разви- тие экспертов, и в используемые техно- логии. Роман Овчинников, Security Vision Правильное вложение – в команду. Если собрать грамотную команду с необходимым набором компетенций, она сможет организовать эффективный про- цесс реагирования и расследования инцидентов ИБ, в том числе его автома- тизацию при наличии гибких современ- ных инструментов на базе Low Code/No Code. Илья Одинцов, NGR Softlab Люди, процессы, технологии – тако- ва формула SOC, именно в таком порядке. Поэтому подготовка кадров важнее. Даниил Вылегжанин, RuSIEM В большинстве случаев оптимальным вариантом будет использование сба- лансированного подхода при развитии SOC, когда с повышением собственной экспертизы одновременно повышается уровень и объемы автоматизации. Если же SOC только создается, то однозначно приоритет следует отдать развитию собственной экспертизы, а уже потом идти в автоматизацию, чтобы снизить нагрузку на аналитиков. Виктор Никуличев, R-Vision Придется соблюдать баланс. Только на одной из этой составляющих далеко не уедешь. Аналитики необходимы для здоровой работы SOC. Обстановка и набор задач постоянно меняется, рас- тет. Хорошо проверенные механизмы – переносятся на автоматизированные сценарии и процессы, снимая рутину. А аналитики погружаются и растут, решая новые более сложные и ком- плексные задачи, тем самым развивая SOC. Дмитрий Чеботарев, UserGate SIEM Истина находится между двумя этими утверждениями. Необходимо развивать собственную аналитику, но важно пони- мать, что чем больше нагрузка на экс- пертов, тем больше вероятность пропу- стить инцидент. По статистике внимания аналитика хватает примерно на два- дцать минут. И тут как раз поможет автоматизация. Чем больше компания инвестирует в автоматизацию, в том числе в реагирование на уровне SIEM, тем эффективнее будут работать ана- литики. Алексей Павлов, Positive Technologies Уже лет десять компании в России говорят о дефиците кадров в кибербе- зопасности. Стажировки, обучение, повышение квалификации – все эти меры применяются, но ситуация прин- ципиально не меняется: специалистов по-прежнему не хватает, а дефицит только растет. Решить проблему помо- жет внедрение новых технологий в про- дукты, использование AI/ML в качестве помощников и снижение порога входа для операторов СЗИ путем упрощения интерфейса с одновременным сохра- нением гибкости продуктов. ML-изация технологий ИБ, автоматизация рутин- ных операций способны сократить Что правильнее в ближай- шие годы для повышения эффективности SOC: инвестировать в подго- товку аналитиков или вло- житься в максимальную автоматизацию расследо- ваний и реагирования в SIEM? Рисунки: ГРОТЕК