Сегодня многие дежурные смены подразделений SOC работают в режиме постоянной перегрузки. Количество детектирующих правил постоянно растет, ИТ-инфраструктура клиентов тоже меняется, поэтому приходится тратить огромные усилия на контроль легитимных действий администраторов. По данным IBM Security, среднее время обнаружения кибератаки в компаниях составляет около 200 дней, а полное устранение инцидента может занимать более 70 дней.
Основной проблемой остается покрытие мониторингом всей поверхности атаки. В крупных компаниях SIEM ежедневно генерирует десятки и сотни подозрений на инциденты, анализировать их вручную практически невозможным. Для решения этой проблемы компании начинают внедрять продукты SOAR (Security Orchestration, Automation and Response) и системы поведенческой аналитики. По прогнозу Gartner, уже к 2027 году более 40% операций SOC будут выполняться автоматически.
Одним из ключевых направлений развития станет использование искусственного интеллекта для автоматического подключения новых источников в SIEM и быстрой разработки корреляционной логики. Такие системы смогут выявлять угрозы еще до того, как они приведут к значительным инцидентам.
Кроме того, SOC будущего будут обеспечивать единую видимость инцидентов в корпоративных IT-системах и промышленной инфраструктуре. Это особенно важно в условиях конвергенции IT и OT-сред, когда атаки на офисные системы могут становиться точкой входа в производственные сети.
По мнению экспертов, уже в ближайшие годы компании начнут внедрять так называемые smart SOC — интеллектуальные центры безопасности, объединяющие аналитику угроз, автоматическое реагирование и прогнозирование атак.
«Современные атаки строятся как хорошо спланированные проекты, а не как набор отдельных активностей. Поэтому использование десятков разрозненных инструментов безопасности становится неэффективным без единой точки принятия решений. Компании требуют от поставщиков услуг SOC не только полной видимости своей ИТ-инфраструктуры, но и мгновенной реакции на угрозы, поэтому современный поставщик SOC становится не только “внешними руками” CISO, но и бизнес-партнером по обеспечению киберустойчивости своего клиента», — прокомментировал директор центра мониторинга и реагирования «Софтлайн Решения» (ГК Softline) Александр Мосягин.
