Алексей Лукацкий: «Новый SOC 2.0 должен фокусироваться не на мониторинге, а на реагировании»

Источник: Bis Journal / Центр киберустойчивости нового типа, который будет призван решать не только задачи мониторинга, как происходит сейчас, но и фокусироваться на реагировании, бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий предложил назвать SOC 2.0. Об этом он заявил на Всероссийском форуме «ИнфоБЕРЕГ-2022».

Успех процесса построения киберзащиты зиждется на нескольких составляющих. Вначале нужно определить, какие события являются критичными для бизнеса. Далее – создать центр киберустойчивости, который эксперт Positive Technologies предложил назвать, например, SOC 2.0. Его отличие от SOC в традиционном понимании заключается в задачах, которые он будет решать. Такой центр должен взять на себя не только мониторинг, но и реагирование на инциденты.

По словам Лукацкого, не так важно, где он будет реализован – внутри или снаружи компании, будет ли это корпоративный или ведомственный центр ГосСОПКА.

В идеале решение этих задач должно быть полностью автоматизировано, считает эксперт. Сейчас это пока недостижимо, только по отдельным направлениям можно с помощью машинного обучения, прослеживания цепочки действия блокировать злоумышленников, не давая им дойти до ключевой системы и реализовать недопустимое событие.

Исходя из опыта Positive Technologies, где этот механизм реализован, система блокирует в автоматическом режиме более 70% такого рода действий, 30% остается на человеческий фактор. «Но 70% – это уже отличнейший показатель, – считает Лукацкий. – А в условии нехватки кадров (до 50 тысяч человек в ИБ не хватает ежегодно) эта цифра начинает играть новыми красками».

Наконец, последнее, что нужно сделать, это подтвердить, что этот центр работает, а не просто «съедает ресурсы компании». Для этого можно нанять внешних хакеров, которые в рамках пентеста или программы Bug Bounty попытаются взломать систему и реализовать недопустимое событие, заключил эксперт.