Новости / январь 2026
Информационная безопасность

Российские компании планируют создать SOC в 2026-2027 гг.

Image from 123rf.com
Крупные российские компании планируют создать центры мониторинга киберугроз в 2026-2027 гг. Драйверами для этого станут повышение уровня информационной безопасности (ИБ), защита от сложных атак и оптимизация бюджетов. При этом 40% организаций строят SOC для соответствия требованиям, 33% - для конкурентного преимущества.
Алексей
Фомин
© ComNews
20.01.2026

Половина компаний, которые собираются строить Security Operations Center (SOC) в ближайшие два года, делают это для повышения уровня ИБ (50%) и защиты от сложных киберугроз (45%). Таковы данные глобального исследования, которое "Лаборатория Касперского" провела среди организаций со штатом больше 500 человек, где пока нет SOC, но в ближайшем будущем планируется его создать. Опрос проходил в 16 странах, включая Россию. В нем приняли участие 1714 сотрудников предприятий разных отраслей.

SOC - это подразделение, отвечающее за постоянный мониторинг и защиту ИТ-инфраструктуры компании. Основная задача SOC - проактивное выявление, анализ и реагирование на киберугрозы, как правило, в круглосуточном режиме. Именно такие функции планируют возложить на SOC более половины опрошенных (в мире - 54%, в России - 52%). Это позволит им своевременно выявлять аномалии, предотвращать их эскалацию и поддерживать киберустойчивость в режиме реального времени.

Крупные предприятия внедряют в SOC в среднем пять-шесть решений, небольшие - четыре. 40% опрошенных в мире относят к решающим факторам оптимизацию бюджета на кибербезопасность, необходимость ускорить процесс обнаружения инцидентов и реагирования на них, а также вызовы, связанные с внедрением нового программного обеспечения, увеличением количества рабочих устройств и пользователей внутри организации. 40% респондентов объясняют построение SOC необходимостью безопасно хранить и анализировать конфиденциальную информацию, а также соответствовать нормативным требованиям. 33% ожидают, что SOC станет конкурентным преимуществом.

На глобальном рынке компании собираются включить в SOC в первую очередь продвинутые решения классов Threat Intelligence (TI, аналитика о киберугрозах) - 48% и Endpoint Detection and Response (EDR, обнаружение и реагирование на конечных устройствах) - 42%, а также системы Security Information and Event Management (SIEM, системы мониторинга и управления событиями безопасности) - 40%. В число решений, которые респонденты хотят внедрить в SOC, входят технологии Extended Detection and Response (XDR) для обеспечения комплексной безопасности всей инфраструктуры организации, Network Detection and Response (NDR) для сетевого обнаружения и реагирования, а также Managed Detection and Response (MDR) для круглосуточной защиты.

Респонденты отметили, что эффективность работы технических решений зависит от квалификации специалистов по безопасности. Именно специалисты предоставляют важную контекстную информацию, интерпретируют сложные выводы и принимают окончательные решения при определении надлежащих мер реагирования.

"При создании SOC важно не только правильно выбирать сочетание технологий, но и уделять должное внимание организации операционной деятельности, ставить ясные и точные цели перед подразделением и эффективно распределять ресурсы - как технические, так и специалистов. Четко выстроенные рабочие процессы и их постоянное улучшение позволяют аналитикам сосредоточиться на критически важных задачах и делают SOC ядром кибербезопасности", - сообщил руководитель Kaspersky SOC Consulting Роман Назаров.

Для создания или укрепления SOC "Лаборатория Касперского" рекомендует воспользоваться услугами надежных ИБ-вендоров по SOC-консалтингу. Также компания рекомендует применять решение для комплексной защиты всей ИТ-инфраструктуры. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Решение подходит для среднего и крупного бизнеса любой отрасли.

Кроме того, "Лаборатория Касперского" рекомендует предоставлять SOC-командам свежую информацию о новейших тактиках, техниках и процедурах злоумышленников.

Мнения экспертов

Руководитель направления сервисов мониторинга и реагирования на кибератаки SOC ООО "Ред Секьюрити" (RED Security) Михаил Климов сообщил, что для оценки экономической обоснованности внедрения тех или иных технологий защиты требуется качественная проработка рисков ИБ. Результаты обычно и лежат в основе принятия таких решений.

"На практике эффективность мер защиты зависит в первую очередь от специалистов, во вторую - от процессов и только в третью - от технических решений. Результат возможен только при синергии всех трех слагаемых, поэтому в России ежегодно растет спрос на сервисы коммерческих SOC, которые могут предложить их "под ключ", - объяснил Михаил Климов.

Он добавил, что регулятор не требует создать центры мониторинга, он требует реализовать меры по защите критической информационной инфраструктуры (КИИ), персональных данных (ПДн) или другой охраняемой законом информации. Как они будут реализованы - остается на усмотрение организаций.

Руководитель глобального центра мониторинга и реагирования (GSOC) компании "Газинформсервис" Александр Михайлов сообщил корреспонденту ComNews, что "создание SOC" и "экономия денег" - это два несовместимых понятия, если речь идет о создании сущности, которая будет приносить реальную пользу.

"Практика показывает, что строительство зрелого SOC стоит в 2,5-3 раза дороже одного года обслуживания в зрелом коммерческом центре мониторинга. Но на этом траты не заканчиваются, и каждый год компания будет тратить на фонд оплаты труда, продление лицензий, обучение людей и ремонт оборудования суммы в 1,3-1,5 раза выше суммы контракта с коммерческим SOC", - сказал Александр Михайлов. Он добавил, что бизнес сможет получить подтверждение оправданности затрат и пользы только с привлечением стороннего SOC, который проведет аудит того, что было построено.

"У меня есть статистика от двух вендоров SIEM-систем. У первого продукт "лежит на полке" в 75% случаев, у второго - в 85%. Наш опыт подключения клиентов, у которых уже есть SIEM, эту статистику подтверждает: в подавляющем большинстве случаев к системе подключено не больше четверти источников, не произведена настройка, не выполнена адаптация правил, а заходили в нее в последний раз примерно тогда, когда она была развернута. Работа с большими ИБ-продуктами требует квалифицированных людей и выстроенных процессов", - объяснил Александр Михайлов.

Он также отметил, что даже если представить, что все требования регуляторов безупречно эффективны, то, к большому сожалению, на рынке существует множество компаний, которые выполняют эти требования формально. "Причины могут быть разные: нет денег, нет людей, нет компетенций. Список тех, кто этим грешил, можно составить по новостям о взломах и утечках", - сказал Александр Михайлов.

Владелец продукта UserGate uFactor Александр Луганский рассказал, что SOC - это не способ экономии, а эффективный инструмент защиты, включающий в себя, кроме программного обеспечения или программно-аппаратных комплексов, еще и сотрудников с экспертизой, а также отлаженные процессы мониторинга и определения инцидентов.

"Системы защиты компании вместе с выстроенной системой мониторинга позволяют выявлять и предотвращать инциденты на ранних этапах. Важными параметрами для оценки защищенности инфраструктуры являются период обнаружения инцидента и "взломостойкость" - время, в течение которого система должна выстоять до привлечения дополнительных мер защиты", - сказал Александр Луганский. Он привел пример с физической безопасностью, где SOC можно сравнить с видеонаблюдением за домом.

"Если вокруг помещения нет забора и замок на входной двери отсутствует, то предотвратить, например, кражу видеонаблюдение (SOC) не поможет. Но если у вас возле дома есть какие-то средства реагирования, например дежурит охрана, то видеонаблюдение поможет обнаружить попытку взлома и ускорить прибытие охранника на место происшествия, а замки будут препятствовать немедленному проникновению злоумышленника в помещение. Со средствами защиты информации точно так же: одни помогают выявить наличие инцидента из-за аномальной активности, другие - увеличить время до нанесения ущерба", - рассказал Александр Луганский.

Руководитель экспертно-аналитического центра ГК "ИнфоВотч" (InfoWatch) Михаил Смирнов считает, что у средств защиты информации (СЗИ) и SOC разные задачи. "СЗИ непосредственно защищают от угроз, создаваемых внешними и внутренними нарушителями, а SOC собирает данные, в том числе и от средств защиты, и из специализированных источников, чтобы адекватно реагировать как на поступившие данные, так и вырабатывать стратегию - проактивную защиту от угроз", - объяснил Михаил Смирнов.

По его словам, методики оценки потенциального ущерба от утечек данных и других инцидентов ИБ есть далеко не у всех компаний, поэтому окупаемость посчитать в конкретных суммах сложно.

"Для приблизительной оценки можно использовать стоимость цифровых активов компании и стоимость потери либо простоя бизнеса", - сказал Михаил Смирнов. Он добавил, что если говорить о сотрудниках, то, безусловно, компетентные специалисты по ИБ - основа обеспечения безопасности организации.

"Они выстраивают систему защиты данных, работают с СЗИ. От их квалификации напрямую зависит эффективность. Часто бизнес создает внутри компании отдел ИБ и дополнительно под конкретные задачи привлекает экспертов на аутсорсе, ориентируясь на имеющиеся лицензии и репутацию", - отметил Михаил Смирнов.

Директор по развитию бизнеса ГК "Гарда" Денис Батранков считает, что SOC создают, чтобы автоматизировать процессы выявления и расследования инцидентов, которые уже должны быть в компании.

"Действительно, как правило, автоматизация предполагает закупку SIEM, Security Orchestration, Automation and Response (SOAR, система оркестрации, автоматизации и реагирования на инциденты - прим. ComNews) и подключение к ним любых систем, которые относятся к классу Detection and Response: EDR, NDR, ADR, XDR. Если бизнесу важно сократить время реагирования MTTR (среднее время восстановления - прим. ComNews), то создание SOC оправданно", - сказал Денис Батранков.

Он добавил, что если процессы расследования еще формируются, то без квалифицированных аналитиков даже самые современные технологии окажутся бесполезными. "На построение всех процессов, объединение всех продуктов и обучение сотрудников уходит год-два. Если не получится интегрировать и автоматизировать решения и людей в единую работающую систему, то риск провала проекта SOC велик", - рассказал Денис Батранков.

По его словам, для некоторых компаний регуляторика - основной триггер. "Регуляторы требуют правильных решений в защите. Часто требования просто заставляют запустить SOC, а дальше все зависит от подхода: если ограничиться отчетностью - защиты не прибавится. Если использовать SOC как рабочую функцию - реагировать на атаки, сокращать время реакции, то соответствие стандартам безопасности может привести к реальному снижению рисков и потерь", - сказал Денис Батранков.

Директор департамента архитектуры стратегических проектов ГК "Солар" Антон Ефимов считает, что измерение эффективности кибербезопасности - сложная и комплексная задача и ограничиться одним инструментом в ней не получится.

"Мы стараемся использовать три формата одновременно: разработка метрик, которые позволяют постоянно отслеживать тренды защищенности от бизнес-рисков; ежегодные оценки зрелости ИБ, которые измеряют охват и глубину внедрения процессов в регулярную работу; ежегодные киберучения в формате Purple Team, которые дают срез работы SOC в условиях, приближенных к боевым", - рассказал Антон Ефимов. Он добавил, что ситуация, когда компания купит множество дорогих технологий, а использовать правильно будет некому, вполне возможна, и порой так и происходит.

"Поэтому при выстраивании SOC важно в первую очередь определить, какие задачи он должен решать, какие процессы реализовывать и какие специалисты необходимы для функционирования. В процессе формирования такой концепции часто становится понятно, что какие-то функции невозможно или нерентабельно реализовывать внутри и необходимо получать по сервисной модели. И только после выбора подхода можно выбирать средства автоматизации", - отметил Антон Ефимов.

По его словам, судя по новым требованиям регуляторов, "для галочки" делать с каждым днем все сложнее. "Думаю, что и регуляторы, и все более агрессивный ландшафт угроз постепенно сделают SOC максимально приближенными к решению практических задач", - объяснил Антон Ефимов.

Руководитель центра мониторинга ИБ "Бастион" Михаил Шеховцов считает, что некоторые представители рынка из числа лидеров говорят, что SOC - это в первую очередь люди. "Трудно не согласиться с данной позицией, так как продвинутые технологии для работы требуют, как правило, более дорогих и квалифицированных кадров, а не только современных систем защиты", - сказал Михаил Шеховцов.

По его словам, после внедрения системы безопасности "показывают погоду", проще говоря, отображают информацию, из которой еще необходимо сделать корректные выводы. "Если специалист недостаточно квалифицирован, то дальнейшего развития возможная концепция не получит, поскольку для этого нужны компетенции, которых человеку может не хватать. Еще один возможный вариант - специалист начинает развивать систему, осваивается и уходит на более высокооплачиваемую позицию", - отметил Михаил Шеховцов.

"С учетом ландшафта кибератак измеримость ИБ должна отражать реальную ситуацию защищенности, поэтому спрос на практическую проверку через пентест, баг баунти, кибериспытания, системы моделирования кибератак демонстрирует рост, даже опережающий рынок", - рассказал директор по развитию продуктов АО "Позитив Текнолоджиз" (Positive Technologies) Алексей Павлов.

По его словам, в большинстве случаев проблема "продуктов на полках", которые по факту не используются, завязана на количество сотрудников ИБ и квалификацию - ИБ-специалисты просто не успевают закрывать все функции или им не дает это сделать невыстроенное взаимодействие с ИТ-блоком.

"Факт, что половина крупных компаний планируют создать центры мониторинга киберугроз в ближайшие два года, сам по себе является очень примечательным. Он иллюстрирует практически революционное изменение отношения бизнеса к обеспечению ИБ, для чего потребовалось почти четверть века. Концептуальные основы создания и применения подобных центров сформулированы еще в самом начале 2000-х гг. Тогда усилиями государственных регуляторов в области защиты информации началась разъяснительная работа с целью убедить бизнес в необходимости развертывания SOC, как основного технологического и административного инструмента обеспечения информационной безопасности. И вот соответствующее понимание в существенной мере сформировано", - сказал директор по информационной безопасности "Группы Астра" Дмитрий Сатанин.

По его словам, далее нужно проанализировать экономику, чтобы ответить на вопрос, что дешевле - делать центр мониторинга или отдавать данную задачу на аутсорсинг. "Если речь идет про крупную компанию, то ответ однозначный: нужен SOC", - объяснил Дмитрий Сатанин.

"На практике процесс создания и использования центра мониторинга в большинстве случаев носит эволюционный характер: он начинается с централизации антивирусной защиты с внедрением процедур реагирования на инциденты и анализа собираемой информации с последующим наращиванием функционала и вооруженности. Поэтому можно утверждать, что компании, запланировавшие создание SOC в течение года - двух лет, будут дооснащать и "легализовывать" уже имеющиеся у них прототипы. Для успеха данного процесса кроме технических средств нужны квалифицированные кадры, и срок в два года для привлечения, обучения и закрепления видится вполне адекватным", - рассказал Дмитрий Сатанин.

"Часто считается, что собственный (in-house) SOC будет обходиться дешевле, чем внешний сервис. Это правило работает только в очень больших компаниях и холдингах, где инфраструктура насчитывает десятки тысяч конечных точек. При этом заметный экономический эффект начинает проявляться лишь на четвертый-пятый год. Для сравнительно небольших и средних компаний создание SOC практически никогда не приведет к прямой экономии операционных затрат. Это всегда дорого", - сказал руководитель BI.ZONE TDR Андрей Шаляпин.

"Важно отметить, что SOC не ставит перед собой задачу фиксировать каждое атомарное действие злоумышленника или специалиста по тестированию на проникновение. Задача SOC - обнаружить и остановить инцидент до нанесения ущерба. Делать выводы об эффективности SOC на основе пентестов и Red Team корректно только после изучения отчета и сопоставления вектора продвижения потенциального атакующего с теми инцидентами, которые зафиксировал SOC", - сказал Андрей Шаляпин.

Андрей Шаляпин считает, что SOC "для галочки" со временем эволюционирует в инструмент реальной защиты бизнеса. "То, что делается "для галочки", становится первым шагом к зрелому SOC, так как в задаче выполнить требования законов и регуляторов появляются очень важные базовые вещи: настройка логирования событий безопасности на источниках, организация централизованного сбора и хранения, запуск корреляционных правил, которые позволяют выявлять события безопасности, связанные с гигиеной кибербезопасности, ошибки при настройке конфигураций и обнаружение типовых атак на инфраструктуру", - сказал Андрей Шаляпин.

Новости из связанных рубрик