Солдатов в Телеграм

SANS-SOC-Survey-2025-v2.pdf

4 MB

SANS SOC Survey 2025

Как-то мы пропустили, но в июле у SANS вышел их ежегодный обзор по SOC, из которого неплохо прослеживать чем сейчас болеет индустрия

В какой-то момент времени я приостановил чтение этих отчетов (разве что только в рамках подготовки к AM Live 😁), ибо из года в год SOC-и воюют с одними и теми же проблемами: перегрузкой алертами, текучкой персоанала, нехваткой кадров, реактивностью и слабой интеграцией новых технологий, причем, 2025 не исключение, поэтому в этой заметке я подсвечу на что сам обратил внимание.

- 79% SOC-ов работают круглосуточно. Вопрос, на который не нашел ответ: "Как оставшиеся защищают свои инфраструктуры в нерабочее время?", - видимо, выключают все на ночь.
- 42% используют AI/ML-инструменты "из коробки" без настройки. В целом, этим объясняется низкая удовлетворенность машобучем, которая прослеживается на протяжении всех лет упоминания ML/AI в этом отчете. Мне подумалось, что это тот самый случай, когда, если что-то используешь бездумно, то его широкое распространение, напротив, имеет негативные последствия.
- 73% организаций разрешают удалённую работу. Все-таки, это можно считать победой кибербезопасности, ибо в 2025-м году удаленный доступ действительно можно сделать безопасным, а именно проблему ИБ я считаю основной в вопросе удаленной работы, что касается эффективности - писал здесь.
- 72% аналитиков полагаются на опыт и интуицию, а не на структурированные методы анализа TI - это просто вишенка на торте, причем, я тоже могу это подтвердить! За время работы SOC вырабатывается определенное "чутье", интуиция, работающие несравненно лучше любого продвинутого генеративного ИИ.
- по технологиям: EDR/XDR — лидер по удовлетворённости (~ рынок дозрел), а AI/ML - на последних местах (~ еще зеленый), SIEM - критически важен, но нередко используется неэффективно (~ повышение сложности требует вызревания UX).
- растет использование облаков
- развивается вопрос карьерного роста аналитиков SOC как инструмента удержания

В целом, направления развития понятны:
- ML/AI/DL, чтобы наконец-то выжать эффективность
- развитие кадров\карьерный рост\мотивация\удержание, выше писал про особую интуицию - это очень важно и такой опыт очень долго и дорого получать, важно чтобы такие профессионалы не терялись

#MDR

🔥10

www.tgoop.com/soldatov_in_telegram/713

1.11K viewsSep 9 at 08:11

SANS SOC Survey 2025

Как-то мы пропустили, но в июле у SANS вышел их ежегодный обзор по SOC, из которого неплохо прослеживать чем сейчас болеет индустрия

В какой-то момент времени я приостановил чтение этих отчетов (разве что только в рамках подготовки к AM Live 😁), ибо из года в год SOC-и воюют с одними и теми же проблемами: перегрузкой алертами, текучкой персоанала, нехваткой кадров, реактивностью и слабой интеграцией новых технологий, причем, 2025 не исключение, поэтому в этой заметке я подсвечу на что сам обратил внимание.

- 79% SOC-ов работают круглосуточно. Вопрос, на который не нашел ответ: "Как оставшиеся защищают свои инфраструктуры в нерабочее время?", - видимо, выключают все на ночь.
- 42% используют AI/ML-инструменты "из коробки" без настройки. В целом, этим объясняется низкая удовлетворенность машобучем, которая прослеживается на протяжении всех лет упоминания ML/AI в этом отчете. Мне подумалось, что это тот самый случай, когда, если что-то используешь бездумно, то его широкое распространение, напротив, имеет негативные последствия.
- 73% организаций разрешают удалённую работу. Все-таки, это можно считать победой кибербезопасности, ибо в 2025-м году удаленный доступ действительно можно сделать безопасным, а именно проблему ИБ я считаю основной в вопросе удаленной работы, что касается эффективности - писал здесь.
- 72% аналитиков полагаются на опыт и интуицию, а не на структурированные методы анализа TI - это просто вишенка на торте, причем, я тоже могу это подтвердить! За время работы SOC вырабатывается определенное "чутье", интуиция, работающие несравненно лучше любого продвинутого генеративного ИИ.
- по технологиям: EDR/XDR — лидер по удовлетворённости (~ рынок дозрел), а AI/ML - на последних местах (~ еще зеленый), SIEM - критически важен, но нередко используется неэффективно (~ повышение сложности требует вызревания UX).
- растет использование облаков
- развивается вопрос карьерного роста аналитиков SOC как инструмента удержания

В целом, направления развития понятны:
- ML/AI/DL, чтобы наконец-то выжать эффективность
- развитие кадров\карьерный рост\мотивация\удержание, выше писал про особую интуицию - это очень важно и такой опыт очень долго и дорого получать, важно чтобы такие профессионалы не терялись

#MDR

BY Солдатов в Телеграм