Даниил Белицкий принял участие в эфире АМ Live «Технологии и продукты оснащения SOC»
Ведущий аналитик SOC Даниил Белицкий принял участие в эфире АМ Live по теме «Технологии и продукты оснащения SOC», на котором эксперты обсудили практику реализации и проектирования корпоративного SOC.
Даниил Белицкий, о сроках построения SOC: «Обычное пилотирование занимает от двух месяцев до полугода для построения базовых процессов SOC. В первую очередь, мы подключаем СЗИ. С их помощью мы видим прямые события, которые влияют на безопасность. Далее команда идет от потребностей: если есть критичные бизнес-системы с делегированным доступом, то собираем данные с них, если организован удаленный доступ, то ставим на контроль подключение к инфраструктуре. Другими словами, мы подключаем источники событий, которые напрямую влияют на кибербезопасность компании, и только потом переходим к обогащению, сбору дополнительной информации через другие системы».
Об эффективных решениях в SOC: «Я бы выбрал неочевидное решение — платформу для управления уязвимостями или сканер VMS. Платформа экономит время аналитиков, поскольку позволяет автоматизированно сканировать систему, выявлять слабые места и оперативно закрывать уязвимые точки. Решение эффективно, поэтому рынок сейчас заполняется молодыми продуктами и сервисами по этому направлению».
Об использовании ИИ: «ML уже частично используется, например, в антифрод-решениях, в рамках поведенческого анализа или исследования транзакций. Полноценное использовании ИИ в SOC можно встретить в работе сотрудников при написании и тестировании корреляционных правил. ИИ сейчас — это мощный помощник, который экономит силы при поиске информации, формировании рекомендаций, при написании базовых правил».
О сроках написания детектирующей логики: «Если брать только базовые моменты, то уходит от двух недель до месяца на написание правил, выявление „фолзов“, оценку возможности масштабироваться. Дальнейшее развитие детектирующей логики — это непрерывный и бесконечный процесс, как и само построение SOC, когда с каждым новым инцидентом появляется новое правило».
Смотреть эфир.