Простое понятие всегда управляло операциями по обеспечению безопасности, которое я называю Треугольником SOC. Это баланс между качеством, согласованностью и экономической эффективностью.
Каждый центр оперативного реагирования (SOC) действует в его рамках. Стремитесь к более качественным расследованиям, более глубокому анализу, более богатому контексту, уменьшению числа пропущенных сигналов — и вы платите за это временем и экспертизой. Стандартизируйте рабочие процессы для обеспечения согласованности по каждому оповещению, и вы часто теряете гибкость, необходимую для работы с реальной сложностью и нюансами. Оптимизируйте экономическую эффективность, и давление быстро скажется как на качестве, так и на согласованности.
Годами Треугольник SOC определял, как строятся команды безопасности и как они работают. Именно поэтому организации увеличивают штат для улучшения результатов, полагаются на жесткие сценарии (playbooks) для снижения вариативности и улучшения масштаба, но все равно с трудом работают на своем теоретическом максимуме и оптимизируют результаты безопасности и качества обслуживания.
Ограничение — это не провал стратегии. Оно структурное. И до недавнего времени его было трудно избежать.
Почему SOC был построен таким образом
Большинство центров оперативного реагирования спроектированы как системы маршрутизации на основе человеческого участия. Оповещения поглощаются, сортируются, эскалируются и разрешаются аналитиками на нескольких уровнях. Каждый значимый шаг, включая сбор доказательств, корреляцию сигналов и принятие решений, зависит от человеческих возможностей.
Эта зависимость вносит вариативность. Два аналитика могут подойти к одному и тому же оповещению по-разному, под влиянием опыта, усталости и нехватки времени. Для повышения согласованности организации внедряют сценарии и рабочие процессы. Но эти средства контроля часто снижают гибкость, особенно в сложных случаях, и не обеспечивают покрытие там, где принятие решений частично зависит от неструктурированного контекста, а рабочие процессы могут быть не полностью детерминированными и требовать рассуждений в реальном времени для определения наилучшего курса действий.
В то же время масштабирование либо качества, либо согласованности обычно требует больше людей, что снижает экономическую эффективность.
Это Треугольник SOC в действии: система, где улучшение одного измерения создает трение в другом.
Это же ограничение объясняет существование рынка управляемого обнаружения и реагирования (MDR). Когда организации не могли решить проблему треугольника собственными силами, они передавали его на аутсорсинг. Но сервисная модель не устраняет компромиссов. Она пересоздает их на уровне провайдера, где та же архитектура маршрутизации на основе человеческого участия, те же сценарии и та же экономика кадрового обеспечения обусловливают те же пределы. Клиенты платят за согласованность и предсказуемость, и они это получают. Чего они часто не получают, так это глубины расследования и кастомизации среды, адаптированной к их бизнес-контексту и оптимизации целей зрелости их программы безопасности, чего они хотели бы, если бы ресурсы не были связывающим ограничением.
Где модель начинает давать сбой
Проблема не просто в наличии компромиссов, а в их растущей интенсивности.
Современные SOC должны обрабатывать большие объемы оповещений из большего числа инструментов и сред. Сама работа — сбор и корреляция доказательств в системах идентификации, конечных точках, облачных платформах и данных об угрозах — является одновременно повторяющейся и когнитивно сложной.
Под этим давлением треугольник сжимается.
Качество снижается, потому что у аналитиков нет времени на полное расследование каждого сигнала, а жесткие сценарии автоматизации часто не улавливают глубину и нюансы, которые ожидают руководители служб безопасности, что приводит к увеличению трения для конечных пользователей. Согласованность страдает, потому что решения принимаются в условиях нехватки времени. Затраты растут, потому что единственный способ компенсировать это — нанять больше людей или смириться с повышенным риском.
Это сильнее всего бьет по организациям, которые передали операции SOC на аутсорсинг. Экономика услуг закрепляет компромиссы. Ценообразование за оповещение ограничивает объем расследования, которому подвергается каждый сигнал. Стандартизированные сценарии ограничивают, насколько сервис может быть адаптирован к конкретной среде. Существуют уровни обслуживания (Tier structures), потому что математика человеческого расследования оповещений требует их наличия. Каждый из этих механизмов является рациональным ответом на треугольник. Ни один из них не меняет его форму и его фундаментальные ограничения.
Годами это принималось как цена ведения бизнеса, независимо от того, ведется ли этот бизнес собственными силами или на аутсорсинге.
Как ИИ меняет ограничение
ИИ часто преподносится как инструмент эффективности. Более значимым сдвигом является то, что он изменяет способ выполнения некоторых рабочих процессов SOC.
Большая часть работы SOC следует шаблону: сбор данных, корреляция сигналов, постановка уточняющих вопросов и формирование вывода. Эти рабочие процессы сложны, но повторяемы. Они требуют согласованности и масштаба в такой же степени, как и экспертизы.
Когда эти рабочие процессы перестают быть ограничены пропускной способностью человека, Треугольник SOC начинает менять форму.
Качество улучшается, поскольку расследования могут включать больше значимых данных, применять следственные рассуждения в реальном времени и учитывать неструктурированную информацию и специфический для бизнеса контекст без упрощений. Согласованность улучшается, поскольку одна и та же логика применяется ко всем оповещениям. Экономическая эффективность улучшается, поскольку масштабирование больше не зависит от линейного увеличения штата.
Я наблюдаю, как это разворачивается в производственных средах сегодня. Расследования, которые раньше занимали большую часть смен аналитиков Уровня 1 и 2, теперь разрешаются за минуты, с более глубоким контекстом, чем мог бы обеспечить человеческий путь в эти сроки. Та же строгость применяется к каждому оповещению, а не только к анекдотическим, привлекающим внимание. То, что раньше было выбором между глубоким погружением в несколько случаев или поверхностным рассмотрением многих, больше не является компромиссом, на который вынуждены идти руководители служб безопасности.
Впервые эти измерения не находятся в строгом противостоянии.
От компромиссов к расширению
Это не устраняет Треугольник SOC. Это расширяет его.
Не каждый рабочий процесс может быть автоматизирован, и не каждое решение может быть сведено к повторяемому процессу. Стратегическое суждение, руководство инцидентами и аппетит к риску остаются обязанностями человека и бизнес-решениями.
Но граница, в пределах которой действуют команды SOC, больше не привязана к устаревшим ограничениям.
Вместо выбора между качеством, согласованностью и стоимостью организации могут начать улучшать все три параметра для тех типов работ, которые лучше всего подходят для машинного исполнения. Это значительный сдвиг, независимо от того, происходит ли он внутри SOC компании или в сервисном отношении с партнером, который его обслуживает.
Где это имеет наибольшее значение
Воздействие наиболее заметно в высокообъемных рабочих процессах, где пробелы в производительности были наибольшими: сортировка и обогащение оповещений, первичное расследование и сбор доказательств, корреляция между системами и стандартные рекомендации по реагированию. Это те области, где процессы под руководством человека вносят наибольшую вариативность, где нехватка времени ухудшает качество и где затраты на масштабирование наиболее очевидны. Это также те области, где компромиссы исторически были неизбежны.
Роль человека эволюционирует
ИИ не устраняет потребность в человеческой экспертизе. Он меняет область применения этой экспертизы.
По мере того как машины берут на себя повторяющуюся работу, человеческие усилия смещаются в сторону более ценных видов деятельности: интерпретация неоднозначных сигналов, управление сложными инцидентами, разработка политик и принятие решений, основанных на риске. Операционная модель смещается от рабочих процессов, выполняемых человеком, к системам, управляемым человеком.
Это меняет то, чего организации должны ожидать от операций безопасности, будь то собственными силами или на аутсорсинге. Разговор смещается от «сколько оповещений вы закрыли на прошлой неделе» к «какие закономерности вы видите в моей среде и что мне с этим делать». Результатом является суждение, а не пропускная способность. Это другой продукт, чем тот, который покупали большинство команд безопасности, и это другая услуга, которую продавали большинство провайдеров управляемого обнаружения и реагирования.
Сдвиг, который имеет значение
Годами руководители SOC принимали треугольник как фиксированное ограничение. То, что меняется сейчас, — это не просто инструментарий. Это экономика того, как выполняется работа по обеспечению безопасности.
Треугольник все еще существует. Но он больше не определяет жесткий набор компромиссов. В частях SOC и в услугах, которые его поддерживают, эти компромиссы начинают ослабевать.
В области, где ограничения долгое время диктовали результаты, этот сдвиг имеет значение.
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Israel Barak
