Где-то пытаются сделать)
Потом закрывают проекты с кучей потерь и негатива :)
Но в обратную сторону тоже работает

Ни один MSSP не сможет решить и понять внутренние задачи ИБ и внутренние процедуры компании, разве что в компании до 250 человек...я даже не представляю как внешний MSSP это может сделать, не говоря уже о том, что компетеность и укомплектованность технологиями некоторых MSSP может вызывать сомнения

Я бы даже развил тему: очевидно, что в мссп есть потрясающие специалисты... также очевидно, что со мной будут работать не они

Негативный опыт - тоже опыт :)
До сих вижу звучание почти везде - либо либо.
Да не работает так. Нельзя взять и перевалить все на мссп. Без хоть какого-либо участия со стороны потребителя мссп - не полетит.
Работают только совместные усилия.
Мссп снижает косты. В определенной среде при определённых параметрах. Хотите вы снизить косты на персонал и железо, подбор, удержание, обучение - идёте в мссп.
Хотите полностью держать все под контролем (зачастую это мнимое) - берёте инхаус.
Тут нет точного ответа с какого момента и когда выбирать аутсорс/инхаус. И в ближайшее время не будет. Представители одних будут говорить одно, других другое.

Про технологии и экспертизу соглашусь. Иногда прям сильное изумление вызывает

Как боженька смолвил

Насчет мнимого — я бы добавил это для обоих случаев..

Абсолютно справедливо. Просто в одном случае шансов заметить «мнимость» несколько больше :)

Но если целью является результат, то замечание мнимости это достаточно крутой результат, хоть и отрицательный)

Нельзя сравнивать внешний и внутренний SOC с точки зрения «дешевле/дороже». Это в принципе разные статьи бюджета. Мы проектировали SOC, где было дохрена бабла на технологии, но штатные единицы взять было нельзя в принципе и все отдали во внешний SOC в инсорсинговую дочку. А в другом случае заказчик SOC сразу сказал, не хочу терять компетенции сотрудников - поэтому только инхаус, но capex нет, давайте искать варианты. Ну и опять же, CapEx для инхаус vs OpEx для аутсорса. Тоже сильно влияет

Философская тема:)
1. Я добавил бы «нельзя сравнивать ТОЛЬКО дешевле/дороже»
2. Указанные требования тоже можно развернуть в экономику ;)

Но пожалуй пойду спать на сегодня)

Можно. Просто считать надо не только затраты на круг, но и на горизонте 3-5 лет. И сравнивать с получаемыми выгодами (скорость реакции, круглосуточность, интересные задачи) и проблемами (удержание персонала, выгорание, потеря компетенций). А в итоге, даже отдача на аутсорс не сильно даст сэкономить, так внутренний response особо не заутсорсишь, в отношения ИТ-ИБ третьего не запустишь, да еще и фокус смещается на контроль аутсорсера. Отдав одни задачи, появляются другие. И не факт, что решаемые легче. Поэтому и универсального ответа в битве инхаус/аутсорс нет; и появляются промежуточные модели managed SIEM или аутстаф аналитиков

Хорошо расписал :)
Мне обычно лень)))

😂👍

Та не;)

А это нужно? На этапе детекта, есть разница, какой именно это threat actor?

Кстати, какой устоявшийся перевод threat actor на русский?

Злоумышленник - видимо наиболее близкий по смыслу

Нарушитель, если по нормативке

Это вот прямо threat actor? Не тот, кто в процессе нарушения, а как adversary organisation?

У нас все нарушитель