Журнал "Information Security/ Информационная безопасность" #5, 2025

SOC, как известно, декомпозируется на три классических составляющих: людей (аналитиков, инженеров, руково- дителей), технологии (инструменты, включая SIEM, SOAR, VM, TIP, EDR и др.) и процессы (регламенты, методики расследования и реагирования). Сла- женная работа этих трех компонентов позволяет обеспечивать киберустойчи- вость, но на практике нередко возникают проблемы. Повышенная нагрузка на аналитиков Согласно глобальному исследованию Global Security Operations Center Study 1 , проведенному IBM и Morning Consult, команды SOC успевают проверять лишь 49% всех получаемых оповещений, оставляя более половины потенциальных угроз без анализа. Количество еже- дневных алертов огромно и постоянно растет, причем значительная часть из них нерелевантны или представляют собой ложные срабатывания. Поэтому необходимо быстро отфильтровать опо- вещения, чтобы выявить и обработать реальные угрозы, и при этом избежать сверхнагрузки и последующего выгора- ния специалистов SOC. Нехватка экспертизы Большинству организаций нужна помощь в понимании обычного поведе- ния пользователей, субъектов и групп, что отражает растущую сложность кибе- ругроз. Компании все чаще сталкивают- ся со сложностью в написании сценариев реагирования на инциденты и превен- тивной защиты. Насущной проблемой является необходимость улучшения навыков расследования и дефицит экс- пертов с необходимым уровнем знаний. В ответ на новые инструменты и так- тики киберпреступников в инфраструк- туре компаний появляется все больше новых сервисов и компонентов, объем данных стремительно растет, а анализ событий и инцидентов должен выпол- няться практически на лету. Аналитик должен обладать способностью изучить и встроить в свою работу новое решение в минимальные сроки. Переключение между различными инструментами Аналитики SOC тратят значительное время на то, чтобы переключаться между всеми инструментами, панелями мони- торинга и реагирования в процессе поиска необходимой информации для принятия решений и расследования. Этот процесс не только утомителен и трудоемок, но с учетом повышенной нагрузки и ручного выполнения, приво- дит к ошибкам. Отсутствие полной видимости инфраструктуры Прозрачность ИТ-ландшафта – еще один важный аспект, на который стоит обратить внимание. Ряд особенностей и специфика компании, например сложная распределенная структура, разные ответ- ственные лица по системам, теневые устройства, создают проблему – органи- зация не имеет полного представления о своей ИТ-инфраструктуре. Такое поло- жение вещей создает пробелы в опера- циях по обеспечению безопасности. Для корректного триажа событий и рассле- дования инцидентов необходимы улуч- шенные возможности инвентаризации, мониторинга и наблюдения. Особенности архитектурных решений Все вышеуказанное требует от техно- логического стека инструментов SOC таких особенностей, которые далеко не каждое решение может обеспечить: l высокую скорость обработки большого объема данных; l простоту и оперативность масштаби- рования; l гибкость и скорость настройки кросс- интеграций всех компонентов SOC; l переконфигурирование на лету, без остановки процессов компании. Отсутствие методологии Сегодня далеко не каждая компания обладает зрелостью, необходимой для выстраивания комплексной методологии кибербезопасности -- от понимания угроз до разработки устойчивых мер их смяг- чения. Речь идет о создании непрерыв- ного цикла обнаружения, реагирования и улучшения с опорой на автоматизацию. Помним про золотое правило -- не стоит автоматизировать хаос Платформенный подход к решению проблем Работа в едином окне платформенного решения, объединяющего SOAR и SIEM, позволяет решить ряд обозначенных сложностей: l бесшовно объединить экспертизу команды SOC и создать оптимальную среду для работы аналитиков; 16 • СПЕЦПРОЕКТ Формула действенного мониторинга и реагирования: SOAR и SIEM на единой платформе авайте посмотрим на ключевые проблемы, связанные с техно- логиями, процессами и людьми в SOC, а также на то, как их можно решить, используя платформенный подход к обнару- жению и реагированию на инциденты. Д Анастасия Федоренко, менеджер по развитию бизнеса R-Vision Максим Ежов, продакт-менеджер R-Vison SOAR Фото: R-Vision Фото: R-Vision 1 https://www.ibm.com/downloads/documents/us-en/10c31775a05401a5