Крупные организации внедряют в SOC в среднем пять ИБ-технологий

Половина компаний, которые собираются строить Security Operations Center (SOC) в ближайшие два года, делают это для повышения уровня ИБ (50%) и защиты от сложных киберугроз (45%). Таковы данные глобального исследования, которое «Лаборатория Касперского» провела среди организаций со штатом больше 500 человек, где пока нет SOC, но в ближайшем будущем планируется его создать*.

SOC — это подразделение, отвечающее за постоянный мониторинг и защиту ИТ-инфраструктуры компании. Его основная задача — проактивное выявление, анализ и реагирование на киберугрозы, как правило, в круглосуточном режиме. Именно такие функции планируют возложить на SOC более половины опрошенных (в мире — 54%, в России — 52%). Это позволит им своевременно выявлять аномалии, предотвращать их эскалацию и поддерживать киберустойчивость в режиме реального времени.

Зачем компании строят SOC. Около 40% опрошенных в мире относят к решающим факторам оптимизацию бюджета на кибербезопасность; необходимость ускорить процесс обнаружения инцидентов и реагирования на них; а также вызовы, связанные с внедрением нового ПО, увеличением числа рабочих устройств и пользователей внутри организации. Столько же респондентов объясняют построение SOC необходимостью безопасно хранить и анализировать конфиденциальную информацию, а также соответствовать нормативным требованиям. Треть ожидают, что SOC станет их конкурентным преимуществом.

Какие защитные решения планируют внедрить в SOC. На глобальном рынке компании собираются включить в SOC в первую очередь продвинутые решения классов Threat Intelligence (TI) для получения качественной аналитики о киберугрозах (48%) и Endpoint Detection and Response для обнаружения и реагирования на конечных устройствах (42%), а также SIEM-системы для мониторинга и управления событиями безопасности (40%). В число решений, которые респонденты хотят внедрить в SOC, входят технологии Extended Detection and Response (XDR) для обеспечения комплексной безопасности всей инфраструктуры организации, Network Detection and Response (NDR) для сетевого обнаружения и реагирования, а также Managed Detection and Response (MDR) для круглосуточной защиты. Крупные предприятия внедряют в SOC в среднем пять-шесть решений, а небольшие — четыре.

При этом респонденты отмечают, что эффективность работы технических решений зависит от квалификации специалистов по безопасности. Именно они предоставляют важную контекстную информацию, интерпретируют сложные выводы и принимают окончательные решения при определении надлежащих мер реагирования.

«При создании SOC важно не только правильно выбирать сочетание технологий, но и уделять должное внимание организации операционной деятельности, ставить ясные и точные цели перед подразделением и эффективно распределять ресурсы — как технические, так и специалистов. Четко выстроенные рабочие процессы и их постоянное улучшение позволяют аналитикам сосредоточиться на критически важных задачах и делают SOC ядром кибербезопасности», — комментирует Роман Назаров, руководитель Kaspersky SOC Consulting.

Для создания или укрепления SOC «Лаборатория Касперского» рекомендует:

• пользоваться услугами надежных ИБ-вендоров по SOC-консалтингу;
• повышать эффективность корпоративной системы безопасности с помощью SIEM-системы для мониторинга и управления событиями безопасности;
• применять решение для комплексной защиты всей ИТ-инфраструктуры;
• предоставлять SOC-командам свежую информацию о новейших тактиках, техниках и процедурах злоумышленников (TTPs).

* Опрос проведен внутренним исследовательским центром «Лаборатории Касперского» в 2025 году в 16 странах, в том числе в России. Всего опрошено 1714 сотрудников предприятий разных отраслей.