Среди многих интересных материалов в прошлом месяце вышел отчёт «2020 State of Security Operations» (), затрагивающий тематику SOC-ов.
Есть несколько интересных моментов, которые хотелось бы отметить:
1. MITRE ATT&CK Framework набирает серьезную популярность (9 из 10 его используют, шкала от 0 до 3):
Как следствие, use case-ам целесообразно оперировать данными из этого framework-а.
2. По технологиям достаточно интересное распределение, в ТОП поднялись SIEM, NTA и TIP (хотя стоит отметить, что есть SIEM‑ы со всем этим функционалом :)), а вот EDR нет вообще, зато есть TH и UEBA:
3. При этом в этой заметке я хотел бы свести данные из ряда отчетов «Common and Best Practices for Security Operations Centers: Results of the 2019 SOC Survey» () и «The Exabeam 2019 State Of The SOC Report» () по части тенденций в аутсорсинге.
К сожалению, состав оцениваемых активностей, выносимых на аутсорсинг очень разный по терминологии и методологии/философии, но по части мониторинга данные всё-таки сходятся, а именно: ~1/3 передаёт на аутсорсинг составляющую мониторинга ИБ.
А 87.6% организаций аутсорсят, как минимум, одну функцию за счёт MSSP.
