Колонка эксперта

Много лет назад на российском небосклоне ИБ вдруг возникла тема борьбы с утечками информации и средствами, ее реализующими (DLP). За этим победоносным шествием было очень странно наблюдать со стороны, так как утечки не были чем-то новым и ранее неизвестным специалистам по кибербезопасности. Однако с непонятным упорством эта тема занимала умы многих и на российский рынок на этой волне вышли не только почти все мировые игроки данного сегмента, но и появилось большое количество российских производителей DLP-решений.

Сейчас то же самое я наблюдаю с темой центров мониторинга ИБ (Security Operations Center), которые вдруг все ринулись строить в своих организациях. Неужели у нас раньше не надо было мониторить множество средств защиты информации? А реагировать на инциденты? А проводить расследования? Чем раньше занимались службы ИБ, если только сейчас они вдруг "прозрели" и стали требовать у своего руководства десятки и сотни миллионов на строительство SOC? Особенно забавно наблюдать, когда SOC создается там, где нет даже минимума средств защиты, которые необходимо мониторить, – решений класса NTA (Network, Traffic Analysis, мониторинг сетевого трафика), EDR (Endpoint Detection & Response, реагирование на угрозы на ПК), UEBA (User Entity Behavior Analytics, анализ поведения пользователей), CASB (Cloud Access Security Broker, средство контроля доступа в облаках). И это только базовый минимум – за рамками остаются множество других технологий, отдающих в SOC информацию для анализа. А ведь даже внедрив их, это не означает, что сразу пора задумываться о SOC? Сначала нужна их «боевая» эксплуатация, в результате которой станут понятны все их плюсы и минусы. И только потом уже можно говорить о едином центре мониторинга всего, который, кстати, и это сюрприз для многих, требует еще и большого количества высококвалифицированных людей для круглосуточной работы. Они у вас есть? Вы можете их нанять? Если нет, то о каком SOC может идти речь? И я уже не говорю о тупике, который возникает у специалистов, которым их руководство задает банальный вопрос: "А что нам даст SOC? Почему мы раньше без него обходились?" И это самый главный вопрос, на который сначала нужно ответить самому себе, прежде чем идти просить инвестиции у руководства. Возможно, честный ответ позволит сэкономить деньги компании.