🎙 SOC.talks | ужин с SOCом

Вчера прошла первая встреча рабочей группы руководителей SOC, организованная VolgaBlob совместно с Кибердом.

Формат сочных диалогов инициировал Сергей Бнятов, руководитель SOC в ecom.tech.  Подводя итоги встречи, единогласно признали, что первый блин не комом. Сергею послышалось ecom-ом )) 

Встреча была закрытая и не писалась. Вообще в ламповом кабинете Кибердом в этот вечер царила действительно ламповая доверительная атмосфера, позволившая участникам откровенно делиться своим сочным опытом. 

Несмотря на камерность встречи, часть выводов по ней считаю возможным и нужным опубликовать. Уверен, что эти пункты будут интересны представителям SOC индустрии.

🔸 Примечание: обсуждение проходило в  кругу руководителей корпоративных SOC Enterprise-уровня. У SOC-лидеров со стороны провайдеров мнение может быть сильно иным. Доберемся и до него, уверен.

  
1️⃣ Пока аналитики SOC могут спать работать спокойно. Заместить их ИИ-агентами, способными самостоятельно принимать решения без участия кожаных мешков, в 2026 году не планируется. Почему? См. п. 2.

2️⃣ Применение ИИ для кибер-нападения развивается быстрее, чем для защиты. Это обусловлено низким порогом входа для ИИ-хакеров, тогда как внутрикорпоративное применение ИИ требует крайне высокого уровня развития ИТ-инфраструктуры, автоматизации бизнес-процессов и тотальной+актуальной задокументированности всего этого добра. Это долгий путь, и только в его конце ИИ-помогаторы получат шанс реально проанализировать контекст кибер-атак и дать для SOC существенную пользу в интеллектуальной обработке инцидентов. Не надо путать это с машинным обучением и автоматизированными реакциями, которые были и до ИИ-пузыря.

3️⃣ Из SOCов выжимают все соки. Буквально. Каждый первый SOC испытывает в 2025 сильное давление и повышенную нагрузку: растет число атак, развитие SOC требует расширения вычислительной и лицензионной мощности, дополнительные квалификационные ресурсы, адаптацию процессов в SOC. При этом бизнес давит с точки зрения потребности финансовой оптимизации затрат. Управление SOC в этих условиях - это наука, искусство и высший пилотаж. Пилоты высшей категории продолжат в 2026 году выполнение сочных трюков на высоких скоростях. Менее виртуозные SOC-пилоты в крутые виражи могут не вписаться. 

4️⃣ Информационный обмен: и хочется и колется. В стране есть ГосСОПКА и ФинЦЕРТ, как минимум. А основной информационный обмен про то кого и как ломанули остается в разных отраслевых чатиках или "группировках" (хотя это слово забронировано за плохими ребятами). И тут дело не только в применяемом сейчас методе весьма ощутимого "кнута", слабо сбалансированного черствым "пряником". Тут в целом про принципы доверия, позволяющие участникам системы обмена информацией о компрометации и извлеченных из инцидентов уроках, включить механизм осознанной мотивированной передачи таких чувствительных данных.  Т.е. из потребителя отчетов об инцидентах и угрозах (недовольного) стать соавтором этого полезного информационного обмена (довольным). Выглядит как утопия, которой мешает профессиональная деформация, сложившиеся правила игры и регуляторика, а может частично и наш менталитет. Но тянет на отдельную тему обсуждения. И несмотря ни на что, задача кажется решаемой, интересной. 

Для меня большая честь модерировать такого уровня экспертное сообщество такого уровня!

Низкий поклон за оказанное доверие

!

Планку задрали высоко, будем соответствовать 🚀
🔸подбор участников:❤️❤️❤️❤️❤️
🔸вовлеченность: 👍👍👍👍👍 🔸непустозвонность: 🔥🔥🔥🔥🔥

За продолжение банкета сочного диалога высказались 100% участников.

Значит будем продолжать!

Александр Скакунов🔸#CyberBiz