Крупные организации внедряют в SOC в среднем пять ИБ-технологий
Таковы данные глобального исследования, которое «Лаборатория Касперского» провела среди организаций со штатом больше 500 человек, где пока нет SOC, но в ближайшем будущем планируется его создать.
SOC — это подразделение, отвечающее за постоянный мониторинг и защиту ИТ-инфраструктуры компании. Его основная задача — проактивное выявление, анализ и реагирование на киберугрозы, как правило, в круглосуточном режиме. Именно такие функции планируют возложить на SOC более половины опрошенных (в мире — 54%, в России — 52%). Это позволит им своевременно выявлять аномалии, предотвращать их эскалацию и поддерживать киберустойчивость в режиме реального времени.
Зачем компании строят SOC. Около 40% опрошенных в мире относят к решающим факторам оптимизацию бюджета на кибербезопасность; необходимость ускорить процесс обнаружения инцидентов и реагирования на них; а также вызовы, связанные с внедрением нового ПО, увеличением числа рабочих устройств и пользователей внутри организации. Столько же респондентов объясняют построение SOC необходимостью безопасно хранить и анализировать конфиденциальную информацию, а также соответствовать нормативным требованиям. Треть ожидают, что SOC станет их конкурентным преимуществом.
Какие защитные решения планируют внедрить в SOC. На глобальном рынке компании собираются включить в SOC в первую очередь продвинутые решения классов Threat Intelligence (TI) для получения качественной аналитики о киберугрозах (48%) и Endpoint Detection and Response для обнаружения и реагирования на конечных устройствах (42%), а также SIEM-системы для мониторинга и управления событиями безопасности (40%). В число решений, которые респонденты хотят внедрить в SOC, входят технологии Extended Detection and Response (XDR) для обеспечения комплексной безопасности всей инфраструктуры организации, Network Detection and Response (NDR) для сетевого обнаружения и реагирования, а также Managed Detection and Response (MDR) для круглосуточной защиты. Крупные предприятия внедряют в SOC в среднем пять-шесть решений, а небольшие — четыре.
При этом респонденты отмечают, что эффективность работы технических решений зависит от квалификации специалистов по безопасности. Именно они предоставляют важную контекстную информацию, интерпретируют сложные выводы и принимают окончательные решения при определении надлежащих мер реагирования.
«При создании SOC важно не только правильно выбирать сочетание технологий, но и уделять должное внимание организации операционной деятельности, ставить ясные и точные цели перед подразделением и эффективно распределять ресурсы — как технические, так и специалистов. Чётко выстроенные рабочие процессы и их постоянное улучшение позволяют аналитикам сосредоточиться на критически важных задачах и делают SOC ядром кибербезопасности», — комментирует Роман Назаров, руководитель Kaspersky SOC Consulting.