Журнал "Information Security/ Информационная безопасность" #5, 2021

Александр Носарев, Angara: Каждый вариант имеет свои преиму- щества. Свой SOC – это полная согла- сованность с инфраструктурой, бизнес- процессами и высокая скорость реаги- рования на их изменения. Минусы реше- ния in-house заключаются в том, что для обеспечения квалифицированного мони- торинга 24 х 7 необходимы такие вло- жения (CAPEX и OPEX) во внедрение систем, поиск, развитие и удержание персонала, что направление может ока- заться нецелесообразным. Есть и третий, гибридный, вариант с признаками каж- дого из первых двух. Руслан Рахметов, Security Vision: Вопрос имеет заметный управленче- ский оттенок, и ответ зависит от выбора модели бизнеса компании, от того, как компания работает с рисками. В случае своего SOC все понятно: своя инфра- структура, свои СЗИ, свой персонал и свои риски. В случае внешнего SOC компания должна довериться и факти- чески переложить риски ИБ на внешний SOC. Каждый делает выбор, исходя из целей бизнеса и бюджета. Свой SOC – это больше CAPEX, внешний SOC – это больше OPEX Всеслав Соленик, R-Vision: Выбор внешнего или внутреннего SOC сводится к потребностям, опыту и контексту того, кто отвечает на этот вопрос. На практике внутренний SOC требует компетенций, времени и ресур- сов. Если чего-то из этого нет, можно начать с внешнего сервиса и со време- нем перейти к гибридной модели либо построить свой. Гибридность может подразумевать получение извне части сервисов, компетенций, систем или пер- сонала. Алексей Горелкин, Phishman: Выбор зависит от специфики бизнеса. Тут нет "лучше" или "хуже", все зависит от того, какие задачи решаются. Если важен вопрос соотношения цены и каче- ства, то внешний SOC выглядит более привлекательным. Если в бизнесе много специфических особенностей, а также нет сложностей с бюджетом, то собст- венный SOC будет более качественно и оперативно обрабатывать события. Промежуточный вариант – импланты для SOC внутри организации. Александр Ковалев, Zecurion: Если речь о полноценном SOC, то для небольших и средних организаций опти- мальным видится сторонний SOС – это в общем случае дешевле, проще и эффективнее. Для крупных организа- ций эффективны как собственные, так и гибридные модели по аналогии с боль- шинством других бизнес-функций: ключевая компетенция сохраняется внут- ри, но регулярно привлекаются внешние "мозги" и "руки". Валерий Горбачев, ДиалогНаука: Нужно реалистично подходить к оцен- ке возможностей ИИ. Как и в любой другой сфере, в ИБ действует принцип приемлемой точности. То есть ИИ нико- гда не сможет обработать все инциденты самостоятельно, и в любом случае часть действий придется выполнять человеку, включая работу с неочевидными False Positive, доработку правил корреляции и т.д. Практика показывает, что планка приемлемой точности неизменно сдви- гается в сторону увеличения трудозатрат персонала. Михаил Савин, КИТ.Р: Технологии ИИ – уже реальность, и они шире, чем просто машинное обуче- ние. Например, мы разработали техно- логию автоматизированного (в перспек- тиве – полностью автоматического) рас- следования атак для ряда популярных техник из матрицы MITRE ATT&CK на основе компьютерной онтологии MITRE D3FEND, связывающей техники защиты и нападения. Алексей Горелкин, Phishman: Все, что имеет закономерности (даже если человек с первого раза их не видит), может быть автоматизировано на базе машинного обучения. Сначала, конечно, это будут рекомендации для оператора, который сам станет выби- рать, как поступить, но впоследствии многие повторяющиеся действия будут автоматизированы. Единственная проблема, которую я вижу, – это составление датасета для обучения. Руслан Рахметов, Security Vision: Система реагирования на основе ИИ Security Vision IRP/SOAR используется в банках из топ-10 и структурах госу- дарственной власти. Модуль анализа содержит модели машинного обучения с возможностью автоматического опре- деления и выполнения команд реагиро- вания на инциденты кибербезопасности. Сервис используется в качестве инстру- мента обогащения данных при получении инцидентов ИБ от других источников с целью выстраивания полной инфор- мации об атаке или нарушениях ИБ, предложения лучших решений и выявле- ния аномалий с использованием ИИ. Александр Носарев, Angara: Многие производители уже сейчас пытаются добавить своим потребителям ценность за счет использования ИИ. Но правда заключается в том, что только незначительный процент организаций достиг того уровня, когда исчерпаны более простые методы выявления, расследова- ния и реагирования на инциденты ИБ. Илья Петров, Innostage: Направления, где технологии ИИ наи- более востребованы: частичная автома- тизация анализа инцидента на предмет его ложности, обучение IRP в части авто- матической классификации инцидентов, внедрение инструментов прогнозирова- ния развития сложных компьютерных атак и инцидентов. Общая цель данных технологий – повышение автоматизации работы аналитиков и специалистов, обес- печивающих противодействие компью- терным атакам. Применение технологий ИИ в этой части будет находить все более широкое применение. Всеслав Соленик, R-Vision: Несмотря на скепсис многих коллег, технологии ИИ неизбежно проникают во все процессы, в том числе в сфере ИБ. Есть задачи в недетерминированной логике, которые ИИ решает лучше дру- гих подходов. Наша компания, например, использует машинное обучение в своих продуктах для выявления инцидентов, адаптации и параметризации правил даже для аналитики по Threat Intelligence. Однако автоматическое реагирование в инфраструктуре или управление инци- дентами большинство коллег пока не готовы отдать в руки ИИ. Александр Ковалев, Zecurion: В широком понимании ИИ в управ- лении инцидентами навряд ли скоро заменит человека в части расследова- ний, но в плане автоматизации посто- янно делаются большие шаги, одной из точек приложения которых является SOAR. l Реальна ли возможность внедрения технологий искусственного интеллекта в управление инцидентами ИБ? 34 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru