В этой истории решил собрать пяток забавных утверждений участников рынка одновременно принижающих компетенцию ин-хаус службы ИБ и противоречащих известным мне фактам полностью либо в существенной части:
Утверждение 1. Вендор А. "Ни в одном из проводимых нами тестов на проникновение заказчиком не было оказано организованного сопротивления". Не так. Только среди известных мне проектов по пентестам вендора А на тот момент в 2-ух было оказано активное сопротивление (велся мониторинг, атаки были идентифицированы, атаки блокировались). А теперь это гораздо больше случаев.
Утверждение 2. Вендор Б. "Аутсорсинговая служба ИБ имеет очень высокий уровень компетенции "экспертная среда", внутрення - максимум высокий". Не так. В свое время две достаточно компетентные фирмы (Касперский, Позитив) взяли руководителями SOC выходцев из одной и то же организации - SOC ТНК-ВР, что не оказывал услуги организациям вне периметра Группы ТНК-ВР.
Утверждение 3. Много вендоров. "Аутсорсинг дешевле за счет эффекта масштаба". Не совсем так. Эффекты масштаба аутсорсера не удивят организации у которых 10, 20, 60, 100 и больше тысяч рабочих станций, и централизованный SOC "дотягивается" и до регионов. Наоборот - для таких организаций аутсорсинг может быть дороже, т.к. у аутсорсера при меньшем кол-ве обьектов обслуживания может больший процент людей сидеть в Москве. Если бы аутсорсинг был правда принципиально дешевле - контрактов было бы больше, CISO не дураки и деньги считают.
Утверждение 4. Вендор А. "Ранее в крупных корпорациях сформировались стихийные SOC , но теперь существуют качественно новые". Не так. "Принципиально новые SOC вендоров и интеграторов" находятся в той же физической реальности, и используют в целом те же инструменты, практики, нанимают тех же людей что и крупные корпоративные SOC. Не поверите, но ин-хаус SOC иногда даже реверс-инжиниринг делают, другое дело что это по карману немногим - держать такую нишевую специализацию.
Утверждение 5. Много вендоров. "Лучшие источники передового опыта - игроки рынка ИБ". Не совсем так. Задолго до создания коммерческих SOC существовали крупные корпоративные SOC, а инфраструктуры в десятки тысяч хостов представляют собой гигантские хонипоты, в которых возможно найти самые современные угрозы. И никто лучше других CISO не понимает какая информация передовой опыт, а какая - очередной хайп.
Итого - коллеги, не хочу никого обидеть, но давайте признаем - в нашем океане среди заказчиков бывают крупные и довольно шустрые рыбы, с которыми сложно тягаться даже лучшим игрокам. И неважно сколько денег нам дали акционеры на маркетинг, продажи и хантинг лучших людей с ЗП в 1,5 - 2 выше рынка для создания лучших команд на рынке - это не делает нас умнее или лучше.
P.S. Кстати, вендор А несмотря на свой заметный бренд и большую команду спецов теперь вряд ли получит контракт в заказчике, где он проводил пентест "как слон", без разбору брутфорся все что увидел в сети. Работа "кое-как" никогда до добра не доводила. Зря демпинговали.
Комментариев нет:
Отправить комментарий