Евгений Ляпушкин, МТС RED: SOC выбирают за экспертизу людей, поэтому ИИ никогда не заменит SOC-аналитиков полностью

Евгений Ляпушкин, руководитель портфеля продуктов МТС RED SOC компании МТС RED, рассказал порталу Cyber Media о влиянии ИИ на построение SOC-центров, специфике и уровне спроса на гибридные SOC, а также о пользе Purple Teaming для центров мониторинга.

Cyber Media: Какие тренды в контексте построения и развития SOC Вы считаете наиболее важными?

Евгений Ляпушкин: Сейчас компании делятся на два больших лагеря. Первые, оценивая свои возможности, выбирают облачную модель, вторые строят внутренние центры мониторинга. Но и они сталкиваются с дефицитом кадров, и это порождает главный тренд – спрос на гибридную модель подключения сервисов SOC, который сейчас превышает спрос на другие модели поставки. В последнее время компании часто приходят к подрядчику с просьбой внедрить SIEM-систему, поддерживать ее и осуществлять мониторинг инцидентов. И сами сервис-провайдеры все чаще предлагают заказчикам проекты, в рамках которых применяют накопленную за годы экспертизу для построения и поддержки внутреннего SOC, а не для предоставления сугубо облачных сервисов.

Cyber Media: Насколько велик сейчас спрос на гибридную модель?

Евгений Ляпушкин: Очень высок. Несмотря на стоимость таких проектов, только с начала года число запросов на построение SOC внутри компаний с дальнейшим оказанием сервисов по гибридной модели уже исчисляется десятками.

Cyber Media: С чем это связано? Почему заказчики отходят от облачной модели?

Евгений Ляпушкин: Многие не готовы отдавать конфиденциальные корпоративные данные в чужое облако – например, банки и нефтегазовые компании. То же относится к большинству субъектов КИИ.

При этом компании, которые в 2022 году планировали построение собственного SOC, в связи с геополитической обстановкой и сложностями с серверным оборудованием были вынуждены пойти в облако. Сейчас проблемы с серверными мощностями стоят менее остро, и заказчики снова рассматривают варианты построения внутренних центров мониторинга. Это формирует отложенный спрос, который дополнительно усиливает общий тренд.

Cyber Media: На Ваш взгляд, какие процессы, связанные с мониторингом и реагированием, можно делегировать, а какие лучше оставить специалистам «на местах»?

Евгений Ляпушкин: Функции первой и часть задач второй линии можно смело делегировать. Специалисты первой и второй линии внешнего SOC достаточно глубоко погружаются в особенности инфраструктуры заказчика, и этого достаточно, чтобы эффективно закрывать их задачи, а это наиболее ресурсоемкая работа.

Аналогично – расследование инцидентов лучше отдать на аутсорсинг. Держать форензеров в штате достаточно странно и очень сложно – их мало, они дорогие, и трудно найти специалистов высокой квалификации.

А вот функции третьей линии, как и взаимодействие с различными внутренними службами и пользователями, можно оставить в компании.

Cyber Media: Что будет с рынком SOC дальше? Будет ли он расти и за счет чего?

Евгений Ляпушкин: Помимо спроса на гибридную модель, рынок будет расти за счет дополнительных сервисов SOC – защиты конечных точек сети, технологий класса Deception и других. Рынок будет расти за счет увеличения среднего чека.

Cyber Media: Есть перспектива, что спрос на сервисы SOC будет расти за счет небольших компании, постепенно повышающих свою зрелость в области информационной безопасности?

Евгений Ляпушкин: Думаю, для них более актуальны сервисы MSS по защите от DDoS, атак на веб-приложения и других актуальных для них киберугроз. Кроме того, такие компании активно пользуются инфраструктурой из облака, и технологии кибербезопасности им удобнее потреблять в той же модели.

Cyber Media: В последние годы много говорят об автоматизации SOC. На Ваш взгляд, придем ли мы к тому, что появятся центры мониторинга с высоким уровнем автоматизации, для работы которого нужен один-два оператора?

Евгений Ляпушкин: Искусственный интеллект никогда не заменит инженеров полностью. SOC выбирают за экспертизу людей. И любой инцидент – это всегда большой объем специфических нюансов. Искусственный интеллект не сможет, например, расследовать инцидент от первой линии до третьей.

Много лет сервис-провайдеры говорят о перспективах автоматизации первой линии, но и тут мало кто серьезно продвинулся вперед. На первый взгляд, первая линия – это наиболее стандартизированный труд, ведь существуют плейбуки и другие документы, описывающие процессы ее работы. Но в реальности первая линия всегда берет на себя чуть больше, чем отработка плейбуков. Это, в первую очередь, первичное взаимодействие с заказчиком – информирование об инциденте, детальное описание ситуации, иногда ответы на дополнительные вопросы. Кроме того, это взаимодействие со второй линией для передачи информации об инциденте – полностью переложить это на ИИ нельзя. Первая линия действует не как робот по скрипту, она вносит вклад, который нельзя формализовать и пошагово описать для всех случаев. Поэтому на первой линии автоматизации поддаются только достаточно базовые вещи.

Что касается других процессов SOC, то с ними еще сложнее. Например, подключение источников может казаться типовой задачей, но в реальности у каждого заказчика есть свои нюансы. Разработку и настройку правила корреляции, в том числе, отработку ложноположительных срабатываний, тоже пока невозможно отдать искусственному интеллекту. Здесь есть огромное количество нюансов, которые трудно вложить в голову машине. Чтобы автоматизировать какой-либо процесс, его нужно полностью стандартизировать, а это пока кажется малореальным.

Cyber Media: Как на работу SOC-центра влияет пентест, проведение Red Team-проектов, выход на багбаунти?

Евгений Ляпушкин: Обычно при проведении мероприятий по анализу защищенности заказчики следую одном из трех подходов.

Первый – когда специалистам центра мониторинга не сообщают о пентесте, проверяя таким образом качество его работы.

Второй – когда заказчик сообщает о планируемых работах, но просит SOC информировать его о ходе попыток проникновения и процессах их выявления и реагирования со стороны инженеров центра мониторинга.

Третий – когда заказчик вообще не вмешивается в процесс, но таких меньшинство.

Пентест – это всегда полезная для SOC активность. Можно проверить и показать заказчику свои компетенции в выявлении и реагировании на кибератаки. Можно увидеть новые методы атак и обогатить свою экспертизу.

Но еще интереснее для SOC Purple Teaming, когда команда атакующих дополнительно выдает рекомендации по совершенствованию процессов мониторинга. Мы все чаще участвуем в таких проектах, услуга Purple Teaming набирает популярность. Она дает четкую интерпретацию событий и эффективности процессов мониторинга. Кроме прочего, она полезна еще и тем, что помогает обосновать необходимость внесения определенных изменений в работу SOC.

Нам такие кейсы позволяют развивать услуги SOC, показывать заказчику «слепые зоны» в его инфраструктуре и доказывать важность их покрытия мониторингом. Наконец, это практическая проверка качества работы SOC, которая для заказчика убедительнее всего.