Журнал "Information Security/ Информационная безопасность" #6, 2025

Ловушка 1. Наличие SOC гарантирует реальную защиту Компании все чаще сталкиваются с киберинцидентами, если не в собственной инфраструктуре, то через взломы у парт- неров или конкурентов. Постепенно к ним приходит осознание, что SOC – не просто модный элемент ИТ-инфраструктуры, а критически важная часть бизнеса, ведь риск финансового ущерба, утечки данных или даже полной остановки деятельности заметно возрастает, когда в организации нет центра мониторинга и реагирования. Многие уже пришли к выводу, что SOC – это инвестиции в сохранение устойчивости и непрерывности бизнеса. Но сам факт наличия SOC в компании не гарантирует его эффективности. Центр может быть дорогостоящим, пере- груженным операционными задачами и формально работающим, но не обес- печивающим реальной защиты. Как и любые другие процессы, система мони- торинга и реагирования со временем может утратить результативность из-за роста инфраструктуры, изменения ланд- шафта угроз, устаревших методик или организационных ошибок. Важно регу- лярно оценивать эффективность SOC, тогда он действительно будет выполнять свою ключевую задачу – поддерживать киберустойчивость компании и защи- щать ее бизнес-процессы. Ловушка 2. Эффективность SOC можно оценить по чек-листам Лучший способ определить, выполняет ли SOC свою функцию, – провести аудит. Наиболее объективные резуль- таты дают внешние аудиторы. Во-пер- вых, они не зависят от внутренних про- цессов компании и ее управленческих решений. Во-вторых, обладая опытом работы с разными организациями, они смотрят шире, видят типовые проблемы и знают, какие подходы работают на практике. Формальный аудит, сводящийся к про- верке на соответствие стандартам и заполнению опросных листов, редко приносит пользу. Он может лишь под- твердить, что процессы задокументиро- ваны, роли назначены и регламенты существуют, но это не значит, что SOC действительно способен своевременно обнаруживать и отражать угрозы. Чтобы аудит приносил пользу, он должен содер- жать практическую часть. В зрелом SOC насчитывается около тридцати взаимосвязанных процессов, каждый из которых требует индивиду- ального внимания и специализированных компетенций для анализа. Аудитор дол- жен оценить в действии архитектуру сбора и доставки событий, конфигурацию источников событий и агентов сбора теле- метрии с конечных точек, архитектуру пайплайнов обработки событий, алгорит- мы рабочего процесса аналитика, архи- тектуру правил корреляции и их реле- вантности ландшафту угроз, готовность SOC к реагированию на крупномасштаб- ные инциденты и многое другое. Качественно выполнить аудит способ- ны специалисты из зрелых внутренних или коммерческих SOC, сталкивавшиеся с реальными инцидентами, кризисами и сложными архитектурами. Такой ауди- тор не только выявит слабые места, но и даст конкретные рекомендации, понят- ные и реализуемые на практике: что оптимизировать, какие процессы пере- строить, где усилить автоматизацию и как сократить время реакции. Результат оценки позволит подразделению кибер- безопасности разговаривать с руковод- ством на языке ценности, а не затрат: вместо "нам нужен больший бюджет" – "это вложение принесет наибольший эффект и снизит риск для бизнеса". Ловушка 3. Аудит воспринимается как инструмент наказания Компании проводят аудит нередко без правильной подготовки команды к нему, поэтому сотрудники могут воспринимать проверку как механизм поиска винова- тых или инструмент давления. В этом случае аудит, как правило, теряет цен- ность. При таком подходе сотрудники предпочитают скрывать проблемы, а не решать их, процессы выглядят правиль- ными на бумаге, а реальная эффектив- ность снижается. Главная задача аудитора перед стар- том: сформировать у сотрудников всех уровней правильное отношение к про- верке – возможность улучшить процессы и упростить работу. Такой аудит прине- сет пользу всем: бизнес будет понимать риски и целесообразность инвестиций в безопасность, CISO будет знать стра- тегию SOC, а команда центра монито- ринга сможет улучшить процессы и раз- вить профессиональных навыки. Заключение В цикле статей мы рассмотрели все основные аспекты работы SOC: от покрытия ИТ-инфраструктуры до конт- роля эффективности. Качество работы центра мониторинга определяется не только набором инструментов или коли- чеством анализируемых событий, но и зрелостью процессов, экспертным уровнем команды и способностью адап- тироваться к меняющемуся ландшафту угроз. Инвестиции в SOC окупаются не цифрами в отчетах, а реальным сниже- нием рисков для компании. Благодаря этому топ-менеджмент начинает вос- принимать центр мониторинга не только как статью расходов, но и как стратеги- ческий актив, который повышает конку- рентоспособность бизнеса. l • 37 SOC www.itsec.ru Три ловушки, которые вам готовит ваш SOC авершаем серию публикаций о ключевых аспектах деятельно- сти SOC. Описанные в предыдущих материалах направления формируют замкнутый цикл, превращая SOC из операционно- го центра в ключевой элемент киберустойчивости организации и ее стратегический актив. В финальной статье расскажем, какие типичные ловушки подстерегают компании, развиваю- щие собственный SOC, почему они возникают и что сделать, чтобы в них не попасть. З Марсель Айсин, руководитель BI.ZONE SOC Consulting Фото: BI.ZONE Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjeQVzmV Видео и другие статьи цикла: