Автономные SOC: как устроены, почему не требуют постоянного участия аналитика и с помощью каких технологий работают 🦾

В эфире AM Live эксперты обсуждали:

✔️ как устроен автономный SOC и какие технологии его формируют;

✔️ чем SOC на ML отличается от SOC на GenAI;

✔️ каковы сценарии автоматизации расследования и реагирования;

✔️ что эксперты думают об архитектуре, управлении моделями и подходах к «AI patch management»;

✔️ почему автономность — это не отсутствие человека, а его новая роль.

Полезно для архитекторов SOC, специалистов по ИБ, инженеров автоматизации, CISO 🙌🏿

Юрий Наместников, Yandex Cloud, руководитель Security Operations:

С моей точки зрения, автономность и в целом автоматизированность SOC — это не какое-то бинарное состояние, когда включил и «О, у тебя все автономно».

Это все-таки шкала, в которой у тебя на одной границе спектра полностью ручное управление инцидентами — когда аналитик приходит, все разбирает. В общем, все как было на заре зарождения всех SOC-ов.

Потом появляется какая-то автоматизация. Сейчас, с появлением AI, у нас есть возможность склеить все ее шаги и отдать принятие решение по тому, инцидент это или нет, на сторону AI-агента.

Здесь основная загвоздка — а какие данные нужно отдать AI-агенту, чтобы он правильно принял решение. И это значительно меняет роль аналитиков первой линии.

AI SOC не делает SOC умным — он освобождает умных людей от рутины.

Все спикеры:
✓Владимир Зуев, RED Security
✓Демид Балашов, МегаФон ПроБизнес
✓Николай Гончаров, Security Vision
✓Александр Кузнецов, ГК Солар
✓Алексей Леднев, Positive Technologies
✓Теймур Хеирхабаров, BI.ZОNE
✓Юрий Наместников, Yandex Cloud

А на скрине — результаты голосования слушателей эфира: насколько автономен их действующий SOC.

Смотрите запись полную эфира, где удобнее:
📺 VK Видео ▶️ YouTube 📺 RuTube

О чем говорят CISO

Завершился наш первый киберланч в Кибердоме, где собирались CISO, руководители кибербез-направлений, Chief Data Officer и комплаенс-руководители.

В том числе обсудили:
▪️ Какие новые угрозы и сценарии утечек данных видят участники рынка и что мешает организациям эффективно защищать данные.

▪️ Комплаенс и аудит данных — например, как разные компании выстраивают взаимодействие между безопасностью, юридическим/комплаенс и внутренним аудитом, как часто проводят аудит и как измеряют эффективность их защиты.

▪️Инструменты и подходы — переход от DLP к DSPM: какие функции наиболее востребованы и как построить roadmap внедрения, чтобы была управляемость, отчётность, метрики успеха.

Также эксперты Yandex Cloud показали, как построить безопасную экосистему, где доступы и информация под контролем — используя сервисы Yandex Identity Hub и модуль DSPM в составе Yandex Security Deck.

С Yandex Identity Hub — централизованно управлять пользователями, развернуть SSO со встроенной MFA буквально за день и снять с бизнеса нагрузку по администрированию. А SaaS-модель обеспечит устойчивость и безопасность без сложного и долгого внедрения.

С модулем DSPM — видеть, где и какие данные хранятся, кто к ним имеет доступ и где могут появиться риски.

⭐️ Участники решали и практический кейс

Задача — запуск комплаинс программы в российской организации с 10 000 сотрудников, с гибридной инфраструктурой и множеством SaaS-приложений, где требуется соответствие требованиям регуляторов, в том числе 152-ФЗ, хотя бизнес требует гибкости.

Решить — какие шаги вы предпримете, чтобы:

1. Определить и классифицировать данные, которые требуют защиты.

2. Установить процессы доступа и мониторинга.

3. Подготовиться к аудиту по защите данных и комплаенс-проверке.

4. Выбрать существующие DLP решения с дополнениями или использовать платформенный подход CNAPP платформы и Data Security Posture Management

5. Установить метрики успеха

6. Предположить, какие препятствия вы ожидаете и как их преодолеть.

7. Как распределить ответственность между ИБ, комплаенс, аудит, бизнес-единицами, и как обеспечить коммуникацию между ними.

8. Какие отчёты и артефакты полезны для аудита и руководства.

Как ответили бы вы?