Помимо SIEM, наиболее востребованы для SOC решения классов Threat Intelligence и EDR
Половина компаний, которые собираются строить Security Operations Center (SOC) в ближайшие два года, делают это для повышения уровня ИБ (50%) и защиты от сложных киберугроз (45%). Таковы данные глобального исследования, которое «Лаборатория Касперского» провела среди организаций со штатом больше 500 человек, где пока нет SOC, но в ближайшем будущем планируется его создать*.
SOC — это подразделение, отвечающее за постоянный мониторинг и защиту ИТ-инфраструктуры компании. Его основная задача — проактивное выявление, анализ и реагирование на киберугрозы, как правило, в круглосуточном режиме. Именно такие функции планируют возложить на SOC более половины опрошенных (в мире — 54%, в России — 52%). Это позволит им своевременно выявлять аномалии, предотвращать их эскалацию и поддерживать киберустойчивость в режиме реального времени.
Зачем компании строят SOC. Около 40% опрошенных в мире относят к решающим факторам оптимизацию бюджета на кибербезопасность; необходимость ускорить процесс обнаружения инцидентов и реагирования на них; а также вызовы, связанные с внедрением нового ПО, увеличением числа рабочих устройств и пользователей внутри организации. Столько же респондентов объясняют построение SOC необходимостью безопасно хранить и анализировать конфиденциальную информацию, а также соответствовать нормативным требованиям. Треть ожидают, что SOC станет их конкурентным преимуществом.
Какие защитные решения планируют внедрить в SOC. На глобальном рынке компании собираются включить в SOC в первую очередь продвинутые решения классов Threat Intelligence (TI) для получения качественной аналитики о киберугрозах (48%) и Endpoint Detection and Response для обнаружения и реагирования на конечных устройствах (42%), а также SIEM-системы для мониторинга и управления событиями безопасности (40%). В число решений, которые респонденты хотят внедрить в SOC, входят технологии Extended Detection and Response (XDR) для обеспечения комплексной безопасности всей инфраструктуры организации, Network Detection and Response (NDR) для сетевого обнаружения и реагирования, а также Managed Detection and Response (MDR) для круглосуточной защиты. Крупные предприятия внедряют в SOC в среднем пять-шесть решений, а небольшие — четыре.
При этом респонденты отмечают, что эффективность работы технических решений зависит от квалификации специалистов по безопасности. Именно они предоставляют важную контекстную информацию, интерпретируют сложные выводы и принимают окончательные решения при определении надлежащих мер реагирования.
«При создании SOC важно не только правильно выбирать сочетание технологий, но и уделять должное внимание организации операционной деятельности, ставить ясные и точные цели перед подразделением и эффективно распределять ресурсы — как технические, так и специалистов. Чётко выстроенные рабочие процессы и их постоянное улучшение позволяют аналитикам сосредоточиться на критически важных задачах и делают SOC ядром кибербезопасности», — комментирует Роман Назаров, руководитель Kaspersky SOC Consulting.
Для создания или укрепления SOC «Лаборатория Касперского» рекомендует:
· воспользоваться услугами надёжных ИБ-вендоров по SOC-консалтингу, например обратиться к специалистам Kaspersky SOC Consulting для первоначальной настройки или усовершенствования существующих систем безопасности;
· повысить эффективность корпоративной системы безопасности с помощью SIEM-системы для мониторинга и управления событиями безопасности Kaspersky Unified Monitoring and Analysis Platform (KUMA). Для централизованного сбора, анализа и корреляции инцидентов в KUMA используется ИИ-ассистент «Лаборатории Касперского» Kaspersky Investigation and Response Assistant (KIRA), который теперь работает на базе ГигаЧат 2.0;
· применять решение для комплексной защиты всей ИТ-инфраструктуры, например Kaspersky Symphony XDR. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Решение подходит для среднего и крупного бизнеса любой отрасли;
· предоставлять SOC-командам свежую информацию о новейших тактиках, техниках и процедурах злоумышленников (TTPs). Комплекс сервисов Kaspersky Threat Intelligence — единая точка доступа ко всем данным о киберугрозах, накопленных экспертами «Лаборатории Касперского» более чем за 25 лет.
* Опрос проведён внутренним исследовательским центром «Лаборатории Касперского» в 2025 году в 16 странах, в том числе в России. Всего опрошено 1714 сотрудников предприятий разных отраслей.
