Выбор подхода для расчета оптимального времени выявления и реагирования на угрозы информационной безопасности в условиях ограниченных ресурсов

Предложен подход, при котором совокупное время выявления, анализа и реагирования на действия злоумышленника не стремится к минимальному значению, а находится в таких пределах, при которых остается возможность активного противодействия злоумышленнику, не позволяя ему причинить недопустимый ущерб. Это позволяет поддерживать необходимый и достаточный уровень информационной безопасности организации при ограниченных ресурсах. Проведен расчет среднего времени, затрачиваемого экспертом SOC на анализ подозрения на инцидент, при котором качество данного анализа позволяет инженерам предпринимать эффективные действия по сдерживанию злоумышленника. Рассмотрены варианты по снижению данного показателя ввиду необходимости качественной обработки всех поступающих на анализ подозрений на инциденты в условиях ограниченных ресурсов. В рамках апробации предложенного подхода проведен расчет оптимального совокупного времени выявления, анализа и реагирования для двух типов подозрений на инциденты на разных этапах атаки.