Количество киберугроз растёт, развивается хактивизм, появляются новые схемы для нападений, увеличивается число гибридных атак, а сами нападения становятся дешевле — в этом контексте проактивная защита выходит на первый план, становясь ключевым элементом стратегии кибербезопасности. 

Один из наиболее эффективных инструментов такой защиты — центры мониторинга кибербезопасности. Эти структуры позволяют компаниям оперативно обнаруживать и реагировать на кибератаки, а также предвосхищать их.

Что такое SOC?

Security Operations Center (SOC), центр оперативного реагирования на инциденты информационной безопасности, центр мониторинга кибербезопасности — вариантов названия много. SOC создают комплекс из технологических решений, процессов, навыков специалистов высокого уровня для формирования системы, защищающей от киберугроз. Основная цель центров — непрерывный контроль и защита цифровой инфраструктуры компании, минимизация рисков, а также последствий возможных атак.

Специалисты по защите информации (системный администратор, специалист по настройке внутренних систем обработки инцидентов (SIEM, SOAR, IRP и т. д.), аналитик, специалист по реверс-инжинирингу, форензик-эксперт, специалист по киберразведке) в реальном времени отслеживают угрозы с помощью технических средств, обнаруживают, анализируют, реагируют на инциденты. Менеджер SOC адаптирует технические данные от этой команды, позволяя руководству и собственникам понимать, что за угрозы возникают, какой наносят ущерб.

SOC-центры могут быть внутренними или внешними (аутсорсинговыми). Первые формирует сама компания, нанимая экспертов ИБ в штат, выстраивая нужную инфраструктуру. Аутсорсинговый центр реагирования предоставляет те же услуги, но от внешней группы экспертов и частично внешней же инфраструктуры, в соответствии с поставленными по договору KPI. Подобная структура не требует расширения штата, запустить постоянную работу можно оперативнее.

Преимущества SOC

• Комплексная и проактивная защита от киберугроз. Центры предотвращают, предвосхищают кибератаки, анализируя уязвимости, исследуя угрозы, отслеживая новые инструменты атак. 
• Круглосуточный мониторинг и реагирование. Security Operations Center функционирует 24/7, обеспечивая постоянное наблюдение за сетью компании, мгновенно реагируя на инциденты. Структура центра позволяет при эскалации инцидента выходить за рамки шаблонных или ограниченных техникой решений.
• Высокий уровень экспертизы. SOC включает ряд экспертов различного профиля, способных работать отдельно и совместно, используя специфические знания и опыт.
• Использование новых технологий. Центры реагирования применяют системы обнаружения и предотвращения вторжений (IDS/IPS), решения для управления событиями информационной безопасности (SIEM), аналитические платформы. Постоянно ведутся исследования, обновляются оборудование, ПО, сценарии, алгоритмы противодействия.
• Снижение затрат. Внешние центры обеспечения кибербезопасности позволяют компаниям снизить расходы на инфраструктуру и персонал, сохраняя высокий уровень защиты. 

При этом эксперты подчёркивают, что значимый фактор успеха SOC — широта покрытия мониторингом ИТ-инфраструктуры компании. 

Какие задачи решает SOC

Security Operations Center обеспечивает безопасность информационных систем компании.

• Наблюдение и анализ информационных систем и отслеживание аномалий. SOC изучает сетевые события в реальном времени, анализирует данные для обнаружения подозрительной активности или вероятных угроз.
• Реагирование на киберугрозы и инциденты. SOC быстро предотвращает или минимизирует последствия атаки, останавливает распространение угрозы.
• Управление уязвимостями. Центр реагирования выявляет, а затем устраняет уязвимости в системах компании, распознаёт и классифицирует инциденты по уровню критичности.
• Форензика (компьютерная криминалистика). После происшествия SOC выявляет причины и методы атаки, помогает улучшить защиту, предотвратить повторные нападения.
• Обучение и консультирование. Центр кибербезопасности предоставляет рекомендации и обучение для сотрудников компании, повышая их осведомлённость о киберугрозах, а также принятых для поддержания безопасности практиках. 75% компаний проводят киберучения для повышения квалификации ИБ-специалистов, а в госсекторе у 82% предприятий есть обучение компетенциям в сфере информационной безопасности.
• Соответствие регуляторным требованиям. В некоторых отраслях (финансы, здравоохранение и госсектор) необходимо соблюдать определённые нормативные акты и требования в области информационной безопасности. 

Рынок SOC в России 

При росте рынка ИБ в целом на 15—35% в 2023 году рынок центров реагирования вырос на 50—60%. Тренду на повышение способствовало усиление законодательства в области кибербезопасности, требующего от компаний соблюдения определённых стандартов и норм. Но ещё сильнее повлияла быстрая цифровизация бизнеса, открыв новые каналы для атак. SOC — один из инструментов, позволяющий бороться с угрозами в контексте бизнес-процессов, а также структуры конкретной компании. 

Российский рынок представлен сразу несколькими крупными игроками: 

• BI.ZONE предоставляет сервис по непрерывному мониторингу событий безопасности и реагированию на киберинциденты BI.ZONE TDR. 
• Солар (Solar JSOC) предлагает высокую степень автоматизации обнаружения и реагирования на угрозы, а также развивает управляемые услуги безопасности (MSS), доступные малому бизнесу. 
• Центры кибербезопасности F.A.C.C.T. (Fight Against Cybercrime Technologies), в отличие от классического security operations center, отвечающего за мониторинг киберугроз, самостоятельно реагируют на инциденты для оперативной локализации, ведут проактивный поиск киберугроз (threat hunting). 
• «Лаборатория Касперского» разрабатывает комплексные структуры SOC, от стратегии до политик, процедур, рекомендаций, проводит оценку зрелости центров и разработку подходов к threat intelligence (TI). 

Ограничения SOC 

У Security Operations Center есть и ряд ограничений. 

• Высокие траты. Создание с последующей поддержкой собственного центра реагирования требует трат на инфраструктуру, программы, персонал, обновление технологий. Для малых или средних предприятий такие инвестиции могут оказаться неэффективными.
• Дефицит квалифицированных специалистов. Центры безопасности требуют квалифицированных сотрудников с узкой специализацией в области кибербезопасности. При этом в России на середину 2024 года общая нехватка персонала ИБ уже составляет 45%.
• Сложность интеграции. Неудачная интеграция может снизить эффективность SOC, создать дополнительные риски для безопасности, что актуально для компаний с устаревшей инфраструктурой или разнородными информационными системами. 
• Ложные срабатывания. SOC может генерировать большое количество ложных срабатываний (false positives), приводя к «утомлению от тревог» (alert fatigue), когда специалисты начинают игнорировать предупреждения, пропуская реальную угрозу.
• Комплексность управления. Координирование работы центра реагирования включает множество аспектов: техническое обеспечение, мониторинг, стратегическое планирование, постоянное обучение сотрудников. 
• Ограниченная адаптация к специфическим угрозам. Некоторые SOC могут быть менее эффективны в обнаружении и реагировании на уникальные для определённой отрасли или бизнеса угрозы. Могут потребоваться специализированные решения, увеличивающие сложность и стоимость системы защиты.

Если нет чёткой стратегии, выстроенного управления данными (неструктурированные данные затрудняют анализ взаимосвязей) или не хватает ресурсов, SOC также не будет эффективен. 

Перспективы рынка SOC

Компании проявляют всё больший интерес к рынку центров кибербезопасности, так как количество цифровых угроз непрерывно растёт. По данным аналитиков F.A.C.C.T., в 2023 году было обнаружено на 68% больше фишинговых доменов, чем в 2022 году. Специалисты «Лаборатории Касперского» находят по 40—50 уязвимостей в программах с открытым кодом, а также по 100—150 уязвимостей высокого уровня. Бизнесу нужна эффективная защита, способная адаптироваться под постоянно изменяющиеся условия, SOC как раз направлен на решение подобной задачи. Поэтому, по оценкам экспертов, мировой рынок центров реагирования будет в среднем расти на 10,3% ежегодно в прогнозируемый период до 2030 года. 

• Чтобы быть в курсе важных трендов и мнений ведущих экспертов, следите за нами в телеграм-канале. О развитии навыков управления, личностном росте пишем в «Дзене». Про технологии и развитие в IT — в блоге на VC.