А из-за чего растет дороговизна, если не секрет?

СОК - это воркфлоу обработки инцидентов и технологии вокруг него. Не правильный алгоритм оценки и обработки инцидентов это трата ресурсов. Как на персонал, так и на хранение и обработку данных, которые этого не требуют. Важнее задача не хранить петабайты и сотни тысяч eps, важнее задача точно понимать, что необходимо хранить.
Любимое занятие - мериться размером хранилища и количеством eps. Но никто не хвастается тем, что не хранит и не обрабатывает ничего лишнего.

Я не училка, чтобы оценки ставить :)

Это очень верно, но когда искать надо неведомую хрень, не ясно какие данные нужны. Поэтому подход всегда творческий и каждое решение вынужденное. Особо нечем хвастаться.

Для этого как раз SOC, чтобы не собирать все подряд. И вместо творчества тратить деньги заказчика на решение реальных кейсов. Иначе безопасность становится золотой, а потом творчество даёт сбой и "вот это вот всё" начинается снова.

Но конечно интереснее гоняться за eps, внедрять ml там где он работать не будет и грезить персептронами которые вот тут то точно за нас все сделают и заUEBAят все проблемы безопасности :)

А вот интересно. Нам тут активно рекламировапли KATA , по описанию готовый инструмент для поиска неведомой хрени. То же отклонение от средних , поведенческий анализ.  Будет ли это заменой сием.

Организационно, прописано в политике иб для юзеров что ответственность за учетки на них. Ну а если даёшь свою учетку соседу,  сам себе злобный буратино. Тут уже по последствиям. Сама по себе передача пароля не так важна как последствия. Если Маша читает переписку даши , и наоборот (лучшие подруги) ну и хрен с ними, последствий нет, все довольны, никто не пострадал. Но если Маша от имени Даши натворит дел, то уже будут разборки.

Вариант 2 )

Полностью поддерживаю, разобран главный вопрос, какова стоимость утечки информации

Молодой маме позвонили из детского сада. У ребенка температура. Что она сделает? Сорвется с работы и побежит в садик. Но по регламенту бизнес процесса она контролёр финансовых операций, пока она галочку в системе не поставит, операция не пройдет. Передача этого права другому сотруднику не допустима (совмещение ролей). Что она сделает? Даст свой пароль коллеге. Это правильно? Да. Но совсем правильно, если она сообщит об этом офицеру безопасности. Во-первых, он проконтролирует смену пароля после форс-мажора, во-вторых, он будет знать, что часть операций прошла без стандартной процедуры контроля. Вы должны зарание проинструктировать сотрудников, что им делать, когда обстоятельства вынуждают нарушить регламент. Не хотите, чтобы вам нассали в цветочный горшок, не закрывайте туалет.

Нет. SOC не для этого. SOC для того, чтобы вы могли обнаружить, что ваши системы безопасности не сработали. При чем обнаружить не тогда, когда из дома вынесли всю мебель, а когда только подогнали грузовик. А золотая безопасность или нет, зависит от того, что вы охраняете. Бессмысленно обсуждать фасоны галстуков, если у вас нет трусов.

Это уже про наполнение политики. По регламенту исполнитель не бежит напрямую в иб а бежит к владельцу бизнес процесса, и уже владелец решает как быть , и берет риски этого решения на себя а не ибшник. Как правило на критичные функции есть дублирующий персонал, владелец не тасует пароли а ставит дублера дашу вместо маши.
Суть в том что вкладывать деньги и силы в технические меры не всегда резонно ( скуд вязать с ад и тд) надо смотреть стоит ли оно того.

А вот и не угадали. Очень резонно следить. В одном очень крупном банке именно по факту использования чужого пароля обнаружили присутствие в своей сети целой хаккерской группировки, которая там уже полгода паслась. Вы просто смотрите на это, как на признак нарушения регламента, а это может быть признаком проникновения злоумышленника. А про подменный персонал, тоже не катит. Процедура подмены обычно слишком длинная. Всегда будут возникать обстоятельства требующие нарушения регламента. И обязательно следует информировать об этом офицера безопасности. Решение может принимать хоть владелец бизнес-процесса, хоть президент РФ. Но ибэшник должен быть проинформирован.

А обнаружить как? Все эти внутренние хонипоты, анализ активности, правила мониторинга доступов к критичным сегментам - это все такие же средства безопасности. Нет никакой разницы на что реагировать, на сработку в антивирусе или сложное правило в корреляторе.

Средства безопасности могут сто раз сработать, но если нет понимания как на это реагировать, безопасники с админами будут месяц перезаливать машины, до тех пор пока в базе не появятся левые транзакции. А сок будет разводить руками, "ну не успели, у нас sla".

А вот это и есть "творческое дело" . И бессмысленно задавать вопрос "как?". Даже борщ никто не варит по рецепту из кулинарной книги. Нельзя построить абстрактный SOC без конкретной инфраструктуры конкретного бизнеса. Это все равно, что спроектировать систему пожарной сигнализации в здании площадью 20000 квадратных метров, когда ничего, кроме площади здания, вам неизвестно.

Ну если полгода паслась тот может других контролей им не хватает?
Тут уже надо приоритеты ставить. Вложимся в скуд + ад и будем пытаться ловить этим хакеров. Или вложимся в hids nids будем ловить этим.
Конечно лучше все закрывать по максимуму технически. Но не на всю безопасность хватает ресурсов как денежных так и человеческих.

По второму моменту, да сообщить должен, а если забьет и не сообщит? (про смартфоны сами выше писали ) . Т.е нужно подкреплять контроль техническим средством. И направлять на это внимание.
Если есть возможность , почему бы и нет.

Если ресурсы ограниченны. Так может лучше направлять внимание на значимые моменты, которые могут принести ущерб?

Хакерская группировка сидела полгода под учеткой уборщицы бабы  Вари, ну ок. А как только попытались повысить привелегии , дергнуть критичные данные , проэксплойтить ИС, тут и должна сработь чуйка, а что это баба Варя не оборзела ли часом.)

Это была учетка админа.

Вы про коммерческий сок? Ну предложите им брать на себя убытки за ущерб от пропущенных инцидентов. ))

Мы напрасно обсуждаем абстракции. Марксизм нас учит, что истина конкретна. Ни одно утверждение не может быть истинно без обстоятельств времени и места, а критерием истины является практика.