Ядро Security operations center (SOC) — это Security information and event management (SIEM). SIEM-система собирает весь поток событий, поступающий из инфраструктуры компании и выявляет инциденты, сопоставляя события из накопленной информации.
Для повышения точности и результативности работы к SIEM дополнительно подключают смежные решения, например, системы анализа угроз (TI), анализа поведения пользователей (UBA/UEBA) или другие ML-инструменты, после чего данные либо с помощью системы реагирования на инциденты (IRP\SOAR), либо напрямую из SIEM направляются в отраслевые центры мониторинга. Казалось бы, понятная и эффективная схема.
Однако в последнее время традиционные SIEM-системы часто критикуют. Говорят, они выдают слишком много ложных срабатываний, требуют постоянной и сложной ручной настройки, потребляют много вычислительных ресурсов и не справляются с ростом объемов данных.
Эксперты Gartner в своем исследовании
Gartner Magic Quadrant For SIEM за 2024 год пишут, что рынок SIEM разрушен внешними факторами, которые заставляют клиентов переосмысливать роль SIEM. Среди причин:
· все больше компаний переходят на облачные сервисы;
· для защиты данных требуется все больше и больше ресурсов;
· необходимо, чтобы инструменты для обнаружения угроз были проще в использовании и понимании.
Выводы аналитиков Gartner дополняют специалисты из российской компании Positive Technologies. Отвечая на вопрос, почему традиционные SOC неэффективны, они
указывают на такие проблемы:
· Трудно понять, что происходит в ИТ-системе и где есть уязвимые места, через которые могут атаковать хакеры, потому что система постоянно меняется. Когда происходит что-то подозрительное, сложно понять, что это значит на самом деле, потому что нет полной картины происходящего — не хватает информации, чтобы понять серьезность угрозы и ее причины.
· Защита зависит от того, насколько быстро мы получим или создадим новые инструменты для обнаружения угроз.
· Есть много разных средств и источников телеметрии, которые собирают информацию о безопасности, но не работают вместе.
· Менеджерам трудно договориться и согласовать действия с другими командами внутри ИТ-отдела.
· Необходимо вести подробные журналы всех действий и событий в ИТ-системе для расследования инцидентов.