Почему аналитики L1 в SOC бесполезны? (презентация)

Вчера выступал на SOC Forum с дискуссионной темой о бесполезности первой линии SOC. Докладу предшествовала дискуссия в Facebook, где мне высказывали позицию, что автоматизация (а я предлагаю именно ее взамен слабому человеку) не может решить все проблемы и человек все равно нужен. Спор бесконечный и у каждого участника есть свои аргументы за его позицию. На моей стороне около сотни построенных нашей компанией SOCов по всему миру и накопленная база знаний, а также большое количество исследований в области создания ситуационных центров или, как их часто называют в англоязычной литературе, Control Room. У оппонентов какие-то свои доказательства. Рассудит, как обычно, жизнь. Пока же наличие SOCов, опирающихся на аналитиков L1, не дает каких-то прорывов в ИБ у их владельцев. Атаки, уязвимости, реализованные инциденты, нанесенный ущерб. А аналитики первой линии работают - мониторят, эскалируют, передают на вторую линию, заводят карточки инцидентов... Каждый выбирает для себя.