Самый SOC: растёт спрос на услуги коммерческих центров ИБ-мониторинга
8 мин
58
2
Рынок в поиске
Российский рынок кибербезопасности активно ищет быстрые и предсказуемые форматы защиты. Один из последних примеров — инициатива по созданию БРОSOC (Быстро Реализуемый Облачный SOC) компании VolgaBlob и партнёров. Проект предполагает чёткое распределение ролей: облачные провайдеры обеспечивают инфраструктуру, вендоры — софт, а интеграторы собирают из этого готовый сервис для клиента.
Такая модель позволит пересмотреть и подход к ценам. Подразумевается переход от сложной тарификации за каждое событие безопасности (метрика EPS) в пользу простой оплаты за объём данных. Это поможет снизить порог входа для организаций: если раньше подключение к SOC было рентабельным только при больших объёмах трафика, то теперь услуга может стать доступной и для компаний поменьше. Инициаторы проекта обещают снизить цену от среднерыночной за аналогичный сервис примерно на 16%. Кроме того, по их данным, в отличие от классических SOC, которые требуют до шести-семи месяцев подготовки и интеграции, БРОSOC благодаря модульному подходу можно запустить за месяц. Интеграторы могут войти в проект, начав с модели реселлера и получая 30% от цены контракта услуг SOC, а потом перейти в режим MSSP. В итоге, как сообщается, они могут выйти на безубыточность уже с первого контракта.
Участники рынка не спешат с оценкой таких альянсов. Директор по развитию сервисного портфеля ГК «Солар» Дмитрий Иванов напоминает, что модель франшизы для интеграторов обсуждается на рынке ещё с 2020 года, но до сих пор экономика таких проектов не сходилась.
«Заявленная экономия в 16% от среднерыночной цены SOC кажется не вполне амбициозной, чтобы сказать о чём-то принципиально новом на отечественном рынке. Что касается сроков подключения, то в настоящее время у нас SOC из облака по контракту разворачивается максимум за месяц, а в реальности — и за пару недель, если заказчик в этом заинтересован. SOC на EDR — ещё быстре», — комментирует эксперт. Он отметил, что на Западе проекты, подобные БРОSOC, существуют и развиваются уже много лет, впрочем, и культура применения аутсорсинга, в том числе в ИБ, там зародилась раньше, чем в России.
По оценкам Дмитрия Иванова, в ближайшее время в России подобные модели SOC получат своё развитие. Драйвер этого тренда — стремительное развитие технологий. В частности, максимальная автоматизация с помощью ИИ позволяет значительно удешевить услуги SOC и стандартизировать весь процесс для более лёгкого и быстрого масштабирования.
«Ключевой вопрос — как грамотно разделить зоны ответственности внутри такого альянса, чтобы при реальной атаке не возник «эффект горячей картошки», когда каждый партнёр стремится снять с себя ответственность. При этом речь идёт не только о спорах между командами ИБ, но и о возможных конфликтах на стыке ИТ и ИБ. В условиях непрерывных атак, нацеленных на деструктив в организациях различного масштаба, делать упор на соблюдение комплаенс кажется не самой эффективной стратегией. Сегодня во главу угла должны ставиться качество услуг SOC и возможность реальной защиты от бизнес-критичных рисков», — говорит Дмитрий Иванов.
Однако споры о форматах лишь подтверждают главное — рынок уже весьма разогрет. Компании массово передают функции защиты внешним провайдерам, и объём сегмента коммерческих SOC быстро растёт.
Спрос на подъёме
Компаний, которые заинтересованы в услугах SOC-центров, становится всё больше. По итогам 2025 года российский рынок SOC вырос на 30%. Тренд сохранится и в дальнейшем, отмечают эксперты. Как прокомментировал «Киберболоиду» аналитик ФГ «Финам» Дмитрий Лозовой, по итогам 2025 года объём рынка может составить около $0,5–0,9 млрд (примерно 39–70 млрд рублей). «Ожидаемые темпы роста высокие, относительно роста ВВП их можно оценить в 8–10% в год на горизонте до 2030 года», — считает эксперт. Таким образом, объём рынка на 2030 год может достигнуть $1,2 млрд (около 94 млрд рублей ).
Мировой рынок SOC также демонстрирует устойчивый рост. По некоторым оценкам, он увеличится с $43,6 млрд в 2024 году до $81,77 млрд к 2032 году при среднегодовом темпе 8,2%.
Основные клиенты — средний бизнес. При этом, как следует из опроса UserGate, услуги таких центров востребованы во всех сегментах экономики. Представители всех бизнес-сегментов чаще (около 60%) используют коммерческие SOC для защиты ограниченного числа своих систем. Полностью делегируют SOC обеспечение информационной безопасности 25% респондентов. Государственные организации предпочитают подрядные SOC для защиты всей своей инфраструктуры (об этом сообщили 35% респондентов). В то же время в этом сегменте высока доля (28%) и тех, кто вовсе не доверяет свою ИБ подрядчикам.
Чек на услуги центров составляет в среднем 5–10 млн рублей в год. Впрочем, повышается спрос и на гибридные модели, когда коммерческий SOC дополняет внутреннюю команду клиента (например, в формате «второго мнения», чтобы усилить защиту).
В ГК «Солар» отмечают растущий спрос на аутсорсинг мониторинга киберинцидентов и сервисы защиты по подписке (MSS). По данным компании, по итогам 2024 года выручка этого направления выросла в 1,7 раза, а по услугам мониторинга и реагирования центра противодействия кибератакам Solar JSOC наблюдался двукратный рост.
На фоне глобального роста российские компании находят свои ниши для развития. Как рассказал директор международных продаж ГК «Солар» Артём Падейский, в странах Ближнего Востока сейчас востребованы отечественные решения, которые позволяют быстро показать эффективность. В числе приоритетных для этого рынка он назвал четыре направления.
«В первую очередь, это мониторинг внешних цифровых угроз, информационных активов компании, который позволяет выявить, проанализировать и исправить уязвимости. Этот сервис необходим в проектах по защите бренда и противодействию цифровым угрозам, которые могут привести к репутационным и финансовым рискам для компании. Далее это аудит информационных систем компаний, включая методы анализа защищённости и наступательной кибербезопасности, безопасная разработка и решения для защиты данных в контуре ERP-систем», — сказал Артём Падейский. Он отметил, что компании стран Ближнего Востока также заинтересованы в практической подготовке кадров для работы в контуре SOC (аналитики первой и второй линий), а также киберучения, программы по проведению корпоративных CTF-турниров и чемпионатов для киберзащитников.
«SOC будут играть ключевую роль в защите корпоративных данных и инфраструктуры, обеспечивая круглосуточный мониторинг и оперативное реагирование на инциденты. Кроме того, тенденция будет развиваться с ростом числа малых и средних IT-компаний, которые не готовы создавать собственные подразделения по ИБ и будут передавать эти функции на аутсорсинг частным компаниям. Для России, где сейчас активно развивается IT-сектор, это, безусловно, является перспективным кейсом», — считает Дмитрий Лозовой.
Киберугрозы становятся драйвером
Драйвер роста коммерческого рынка SOC — рост числа кибератак на российский бизнес. Их общее число за год увеличилось на 25%, при этом каждая четвёртая успешная атака (26%) осуществлялась через партнёров и подрядчиков с более слабой защитой. «Открытие коммерческих SOC-центров в 2025 году является ответом на растущие киберугрозы и необходимость повышения уровня защиты в условиях активной цифровизации. Этот тренд будет усиливаться в будущем, так как угрозы становятся всё более разнообразными и сложными, а требования к безопасности данных возрастают», — говорит Дмитрий Лозовой.
Сегодня киберугрозы затрагивают всё больше отраслей, которые раньше редко оказывались в зоне интереса злоумышленников. «Аналитика нашего центра исследования киберугроз Solar 4RAYS за первое полугодие 2025 года показывает, что, помимо крупных игроков и критической инфраструктуры, под прицелом оказались такие важные для функционирования общества отрасли, как медицина и торговля, — совокупно на них пришлась каждая пятая атака», — говорил ранее директор центра противодействия кибератакам Solar JSOC ГК «Солар» Владимир Дрюков.
Угрозы в сфере кибербезопасности актуальны для широкого круга компаний из всех секторов экономики. Большинство кибератак не предаются огласке из-за репутационных рисков, и в связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп.
«Тем не менее можно констатировать, что основная тенденция на рост угроз сохраняется и количество атак на российский бизнес из года в год только увеличивается. Опыт подсказывает, что за услугами коммерческих SOC обращаются в большинстве своём компании, которые уже столкнулись с компьютерными атаками и понесли реальный ущерб от инцидентов информационной безопасности (ИБ). Поэтому, как кажется, рост спроса на данные решения является ещё одним косвенным подтверждением того, что киберугрозы для российского бизнеса непрерывно растут», — рассказал «Киберболоиду» заместитель директора экспертного центра безопасности (PT ESC) Positive Technologies Владимир Дмитриев.
Безопасность как сервис
Коммерческие SOC обслуживают десятки (а то и сотни) клиентов одновременно, что позволяет им анализировать кибератаки в масштабе всей страны. В результате у них, например, могут постоянно обновляться правила корреляции и индикаторы компрометации. Компании с собственным SOC зачастую не обладают таким объёмом данных для анализа и потому могут уступать в скорости адаптации к изменчивой киберсреде.
Факторы, которые повышают привлекательность коммерческих SOC, — гибкость и масштабируемость. Провайдеры предлагают линейки тарифов под разные бюджеты и уровни зрелости. При этом объём услуг можно наращивать по мере роста бизнеса.
Тренд на доступность этих решений подтверждают и действия лидеров рынка. Так, в ГК «Солар» (центр Solar JSOC входит в топ-5 европейских MSSP по объёму бизнеса), запустили специальные тарифы на облачный SOC со скидками до 50%. Это позволяет даже небольшим предприятиям получить доступ к профессиональной защите (время обнаружения атаки — 10 минут, реагирования — 30 минут), которая раньше была прерогативой корпораций. По данным компании, интерес к облачному мониторингу проявляют уже до 80% организаций малого и среднего бизнеса.
«Применение всего комплекса средств защиты современного SOC (а это такие решения, как SIEM, VM\ASM, NTA, EPP\EDR, TIP, IRP\SOAR и пр.) требует значительных финансовых затрат как на внедрение, так и на эксплуатацию. Коммерческие SOC могут предлагать такие решения своим клиентам по сервисной модели (модель MSSP), что может быть выгоднее, чем самостоятельное приобретение и поддержка», — считает Владимир Дмитриев.
В среднем, по данным «Лаборатории Касперского», крупные предприятия внедряют в SOC пять-шесть решений, небольшие компании — четыре. Это продвинутые решения классов Threat Intelligence для получения качественной аналитики о киберугрозах (48%) и Endpoint Detection and Response для обнаружения и реагирования на конечных устройствах (42%). Также это SIEM-системы для мониторинга и управления событиями безопасности (40%). Кроме этого, среди внедряемых решений: Extended Detection and Response (XDR) для обеспечения комплексной безопасности всей инфраструктуры организации, Network Detection and Response (NDR) для сетевого обнаружения и реагирования, а также Managed Detection and Response (MDR) для круглосуточной защиты.
Как выбрать правильный SOC
Развитие рынка сопровождается появлением таких решений, как специальные сервисы для оценки качества SOC. Например, ГК «Солар» запустила услугу независимой оценки зрелости SOC для компаний и госструктур, у которых уже есть собственные центры мониторинга. Такая диагностика позволяет выявить точки роста и оценить эффективность процессов по трём направлениям: функции, технологии и персонал.
Однако, несмотря на очевидные преимущества работы с SOC, передача мониторинга кибербезопасности внешнему провайдеру имеет и свои риски.
«Любая компания, которая прибегает к аутсорсингу функций ИБ, должна отдавать себе отчёт в том, что финальная ответственность за обеспечение безопасности всегда остаётся за ней как за владельцем защищаемых информационных активов. Поэтому компания должна чётко понимать, какие функции можно передать внешнему поставщику, а какие необходимо оставить за собой. Так, например, функции формирования требований, управления взаимодействием, включая реагирование на инциденты и расследования инцидентов, а также контроль результатов работы коммерческого SOC должны оставаться в самой компании и выполняться её специалистами», — считает Владимир Дмитриев.
Большое значение играет и то, насколько надёжен внешний поставщик услуг. Несёт ли он ответственность за результаты своей работы. Хороший знак, если провайдер проводит программы Bug Bounty или киберучения, в рамках которых платит «белым» хакерам за взлом систем своих клиентов и покрывает эти расходы сам.
«При выборе коммерческого SOC для подтверждения качества необходимо оценивать также наличие у поставщика финансовой ответственности в случае нанесения клиенту ущерба вследствие успешной кибератаки со стороны реальных злоумышленников, например, это могут быть программы страхования киберрисков, которые включены в сервисы такого поставщика», — добавил Владимир Дмитриев.
Компенсация ущерба в случае успешных кибератак
На практике реализация финансовых гарантий — процесс нелинейный. Как поясняет Владимир Дрюков, подходы к компенсации зависят от типа сервиса. Например, в автоматизированных решениях (вроде защиты веб-приложений WAF) возможен полный возврат ущерба. Однако в классическом SOC, где ответственность делится между заказчиком и провайдером, ситуация сложнее.
«Выявление инцидентов — работа совместная. Чаще всего это классический гибридный SOC, где на стороне подрядчика — своевременное оповещение, а в зоне ответственности заказчика — реагирование. При этом поиск виноватого в пропуске инцидента — процедура технологически очень сложная. Здесь должна вовлекаться независимая третья сторона, и это тоже требует оплаты (причём зачастую при сложной атаке размер этой оплаты превышает сумму в 5 млн рублей)», — рассказал Владимир Дрюков.
Эксперт также подчеркнул, что вопрос компенсации требует серьёзной индивидуальной проработки и применим скорее для крупных клиентов, хотя сама репутационная ответственность лидера рынка остаётся главной гарантией качества.
Сегодня для многих компаний коммерческие SOC стали не просто опцией, а необходимостью, позволяющей выжить в агрессивной цифровой среде. В условиях, когда число атак беспрецедентно растёт, отсутствие круглосуточного мониторинга превращается в русскую рулетку, ставка в ней — будущее бизнеса.
Экономика защиты: как окупается SOC
Эксперты поясняют, почему инвестиции в SOC окупаются — и сейчас, и в будущем.
Прежде всего, для эффективной защиты мало просто фиксировать инциденты — их нужно расследовать. У компаний часто не хватает штата (мощности SOC), чтобы обработать все «пойманные» угрозы, и без аналитики эти данные бесполезны. Если около 40% алертов (автоматическое уведомление системы безопасности об обнаружении подозрительного события, отклонения или потенциальной угрозы) так и остаются без внимания, компания не получит реальной отдачи от уже приобретённых инструментов.
Вторая причина — роль SOC растёт по мере усложнения атак. Любое, даже самое дорогое оборудование по обнаружению угроз может пропустить нестандартную атаку. В таких случаях только аналитики SOC способны увидеть разрозненные сигналы, понять взаимосвязь, сопоставить контекст, реконструировать цепочку действий злоумышленника и заметить то, что не найдёт никакой автоматический детектор.
Сбалансированность бюджета на ИБ можно проверить с помощью трёх вопросов:
- Превышает ли поток алертов возможности команды по их обработке?
- Готовы ли аналитики перехватить угрозу, которую пропустят автоматические системы?
- Все ли собранные данные (сигналы, предупреждения) анализируются, учитываются в дальнейшем или часть из них остаётся бесполезным активом?
