Руководитель GSOC компании «Газинформсервис» Александр Михайлов обозначил ключевые вызовы для центров мониторинга и реагирования безопасности (SOC). «Это проблема большого багажа знаний, который необходим аналитику для эффективной работы. Кроме того, этот багаж нужно постоянно пополнять и актуализировать, так как часть знаний из него достаточно быстро устаревает», — заявил Александр Михайлов. Среди главных опасностей он выделил высокий уровень стресса, выгорание, нехватку квалифицированных кадров и рутину на первой линии, приводящую к «слепоте» к инцидентам.
Александр Михайлов, руководитель GSOC компании «Газинформсервис»
Фото: Газинформсервис
В качестве решения эксперты предложили пересмотреть традиционные представления о карьере. «Не всем надо становиться директорами. Помимо вертикального роста, есть ещё горизонтальные перемещения. Устал на своей позиции — можно заниматься экспертизой продуктов, идти в форензику, киберразведку или стать пентестером», — отметил директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE Теймур Хеирхабаров.
Он также отметил необходимость автоматизации рутинных операций и создания «учебного полигона» для разработки и проверки контента обнаружения атак. «Ни один хоть сколько-нибудь зрелый SOC не может работать без этого. Еще хорошо бы проводить пилоты новых решений, обкатывать инструмент для расследований, не говоря о масштабных учениях», — подвёл итог Александр Михайлов.
Итогом сессии стала общая установка на расширение пулов высококлассных специалистов через создание атмосферы развития, готовности руководства слушать сотрудников и давать им право на эксперимент и ошибку.
