Журнал "Information Security/ Информационная безопасность" #5, 2021

рого сейчас нет или к которому нет пол- номочий обратиться, – это проблема. 2. Автоматизация. Не всегда ограниче- ния носят технический характер, иногда бизнес не готов на действия без ручного подтверждения. Нужно договариваться и искать обходные пути. 3. Измерение эффективности процес- са. Многие решения для этого имеют встроенные средства. Илья Петров, Innostage: В первую очередь нужно повышать уровень понимания ИТ-инфраструктуры компании. Речь идет не только о техни- ческом понимании актива, но и описании его роли, наличия в нем сервисов, зна- ния, кто и через какие системы может работать с ним. В таком случае возмож- но в короткие сроки спрогнозировать потенциальные векторы развития атак. Важно также иметь возможность построения связей между инцидентами, объединения связанных инцидентов в одну сущность, что значительно облег- чает жизнь аналитику. Александр Ковалев, Zecurion: При наличии ресурсов желательно изначально проводить правильное внед- рение, чтобы потом меньше тестировать SOAR в боевых условиях. Для совер- шенствования процесса необходимо накопить достаточный опыт и компетен- ции для анализа и оптимизации сраба- тывания сценариев, и это должно стать постоянным процессом. Руслан Рахметов, Security Vision: Для начала необходимо в IRP/SOAR формализовать сценарии as-is и начать с ними работать. Команда сразу увидит, что необходимо улучшать в процессе ана- лиза инцидентов. Дело в том, что процесс обработки сценариев существует в голо- вах, на листочках, в файлах. И когда фор- мализованный процесс начинает работать как система, слабые места обнаружи- ваются и улучшаются автоматически. Кроме того, современные IRP/SOAR имеют базы знаний, справочники, меха- низмы выбора лучших решений и подска- зок, в том числе с использованием ИИ. Дмитрий Поливанов, ДиалогНаука: Нанятый на рынке специалист не будет сразу готов к выполнению задач в рам- ках работы с IRP/SOAR. Как бы ни был высок класс, ему в любом случае пред- стоит процесс погружения в специфику инфраструктуры организации и приме- няемых средств защиты. Зато уже рабо- тающий в организации сотрудник обла- дает необходимой осведомленностью об инфраструктуре и, хотя не имеет навыков работы в новой системе, может получить базовое понимание на этапе внедрения, а более специфичные навы- ки – по мере использования IRP/SOAR. Руслан Рахметов, Security Vision: Подход должен отвечать кадровой политике компании в целом: у одних для этого используется стажировка, у других применяется классическая модель хантинга кадров. Может также применяться переподготовка, она вполне оправданна, если сотрудник работал с различными СЗИ, понимает сетевой и прикладной уровни безопасности, необходимые при обеспечении безопас- ных интеграций. С тематикой IRP/SOAR отлично справляются специалисты, вла- деющие направлениями DLP и SIEM. Александр Ковалев, Zecurion: Это напрямую зависит от бюджета, так как специалистов мало и они доста- точно дороги. Поэтому универсальным ответом будет учить своих сотрудников и мотивировать их остаться в организа- ции в первую очередь интересными задачами. Илья Петров, Innostage: Оптимальным вариантом является использование смешанного подхода, включающего в себя задействование в работе собственных специалистов, знающих ИТ-инфраструктуру компании, а также привлечение сторонней экспер- тизы со стороны SOC. Данное взаимо- действие повысит навыки специалистов компании и позволит на практике пере- нять опыт и навыки для возможности самостоятельного мониторинга и ана- лиза инцидентов ИБ в IRP/SOAR. Всеслав Соленик, R-Vision: Поиск готовых специалистов на рынке не покрывает потребностей в кадрах современных SOC, поэтому все же при- дется растить собственные кадры. Как правило, всегда есть подходящие базо- вые задачи для молодых специалистов, а выстроенная система обучения и наставничества позволит быстро гото- вить из них профессионалов. Хорошее партнерское или вендорское обучение также является важным подспорьем, хотя внедрение IRP на практике и анализ реальных инцидентов ничем не заме- нить. Александр Носарев, Angara: Во-первых, необходимо определить искомые компетенции. Специалиста пер- вой линии найти или обучить проще, чем администратора или специалиста третьей линии. Во-вторых, для большинства компаний направление ИБ не является центром дохода, а значит, бюджета сильно выше рынка для найма или постоянного потока уникальных задач попросту не будет. Поэтому сама ситуация может дикто- вать различные варианты. Оптимальным может быть получе- ние системы как сервиса с возмож- ным постепенным переходом к модели in-house. Михаил Савин, КИТ.Р: Нужно идти в университеты, открывать свои лаборатории, организовывать совместные магистерские программы. Например, я сейчас прохожу обучение по магистерской программе, разрабо- танной совместно с ИРИТ-РТФ УрФУ и компанией УЦСБ. Помимо непосред- ственно процесса обучения, это также отличная возможность для хантинга пер- спективных специалистов. Бакалаврам же можно предлагать оплачиваемые стажировки в SOC. Алексей Горелкин, Phishman: В целом SOC – это набор процессов, и если организация созрела для внед- рения IRP/SOAR, главного инструмента для специалистов центра реагирования, то появление SOC становится лишь вопросом времени. Михаил Савин, КИТ.Р: SOC – это знания, люди, процессы и инструменты. Неважно, используете вы термин SOC или нет, если у вас есть эти компоненты, значит, вы уже строите SOC. Александр Носарев, Angara: Потребность в SOC возникает при достижении компанией и ее ИБ-службой определенного уровня развития. Его использование в виде услуги не предпо- лагает, в частности, формирования под- разделения, внедрения систем. Но при этом к моменту принятия решения о SOC уже должны быть внедрены блокирую- щие средства (AV, HIPS/NIPS, FW и др.), имеющие приоритет над детектирую- щими. Далее следует провести расчет: если стоимость реализации рисков, кото- рые может закрыть SOC, выше стоимо- сти его услуг – надо брать. Илья Петров, Innostage: Если в компании реализован базовый уровень ИБ, установлена SIEM, а также возникают задачи контроля общего состояния ИБ на системной основе, Как организации "куют" кадры для работы и анализа данных в IRP/SOAR – ищут, готовят, переманивают? Как понять, что организация созрела для использования SOC? 32 • СПЕЦПРОЕКТ