Все названия условны. Вопрос функций первой линии.
У кого-то функция L1 - это заведение тикетов, а у кого-то это давно автоматизировано плюс ещё куча автоматизаций прикручено и L1 выполняет более интеллектуальные задачи.

Отказаться от L1 и начинать обрабатывать инциденты на L2, рассказав, что в таком-то СОКе нет L1, в принципе тоже можно:)

Оххххх

Даже тереть жалко. Есть интересные тезисы

Ладно, приравняем к кадровым технологиям soc

Да, где-то SOC уже давно tierless

Например, когда 2 безопасника смотрят в 5 алертов

В банке каком-нибудь? Принцип «четырех глаз»

Как вариант. Но я больше к тому, что в любом стартапе с зайчаточным ИБ будет tierless SOC :)

На самом деле по тут зависит от двух факторов:
- размер защищаемой инфраструктуры и сервисов. Если инфраструктура относительно небольшая, то достаточно одного fte 24/7 и несколько старших товарищей в режиме 8/5
- уровень зрелости SOC. Невозможно перепрыгнуть сразу несколько ступеней развития.

Ещё момент. Я совсем не уверен, что на каком-то уровне развития мы опять не вернёмся к тому, что линий не будет. Может быть, до этого нужно дорасти. Пока плюсов не вижу.

Отсутствие линий тоже определенной зрелости требует

Зато обмен знаниями, менторство, расширение кругозора аналитиков и вот этот вот все

Вполне возможно. Может быть до этого нужно дорасти.
Но пока на российском рынке отсутствие линий - это скорее низкий уровень зрелости или небольшой объём сервисов/инфраструктуры. Может быть, есть исключения.

Линии дают понимание сотрудникам, куда расти. Ну, и фидбек от третьей линии полезен:)

На самом деле, непонятно что может давать первая линия? Работать вместо звукового алерта и письма на почту? Все остальные задачи первой линии по-хорошему должны и могут быть автоматизированы соотв инструментами

На самом деле непонятно что есть первая линия.
Тут такой терминологический провал прям, что каждый прежде чем высказаться должен обьяснить что под этим термином имеет ввиду.
Например - первая линия может быть автоматизирована. Тогда - почему к первой линии не относят fw, siem, irp?

А после того как объяснит - ответить на кучу вопросов типа «а почему вот это вы относите к первой, а вот это нет»

Поздравляю PT с новым этапом развития 👍 https://positive-tech.com/

Теперь смело можно мыть сапоги в индийском океане, Атлантике и немножко в швейцарских Альпах 🤣

о_О

@vbengin вакансии на Швейцарию есть? Можно без вилки 🤣

🤟