SANS Institute опубликовал ежегодный отчет о состоянии центров безопасности операций (SOC), основанный на опросе более 400 специалистов по кибербезопасности.

SANS-2024-SOC-Survey Скачать

Ключевые выводы:

Облачные SOC набирают популярность: Впервые облачная архитектура превзошла по распространенности единый централизованный SOC.
“Сливаем всё в SIEM”: Все больше компаний отказываются от фильтрации данных и пересылают всю информацию в SIEM.
Охота на угрозы автоматизируется: Растет использование сторонних инструментов для автоматизации поиска угроз.
AI/ML разочаровывает: Уровень удовлетворенности технологиями искусственного интеллекта и машинного обучения остается низким.
Проблемы с видимостью: Снижается использование TLS-инспекции, что затрудняет анализ сетевого трафика.
Удержание персонала: Средняя продолжительность работы сотрудников SOC увеличивается, при этом карьерный рост становится важнее денег.

Основные вызовы:

Нехватка автоматизации: Главным препятствием для SOC остается нехватка автоматизации и оркестрации.
Дефицит квалифицированных кадров: В числе главных проблем – высокие требования к квалификации персонала и нехватка опытных специалистов.
Ограниченная видимость: SOC сталкиваются с трудностями в обеспечении полной видимости ИТ-инфраструктуры.

Интересные факты:

Большинство SOC работают круглосуточно, а около половины используют модель “следуй за солнцем”.
Наиболее распространенный размер команды SOC – от 2 до 10 человек.
EDR/XDR – наиболее частый источник обнаружения инцидентов.
Наиболее часто передаются на аутсорсинг пентесты, услуги цифровых криминалистов, исследования угроз и первичная сортировка оповещений.

Рекомендации:

Инвестируйте в автоматизацию и оркестрацию процессов SOC.
Развивайте навыки персонала и создавайте программы удержания сотрудников.
Обеспечьте полную видимость ИТ-инфраструктуры и контекст для анализа данных.
Пересмотрите подход к использованию AI/ML, сфокусируйтесь на практических задачах.

Полный отчет SANS 2024 SOC Survey доступен на сайте SANS Institute.