Контакты
Подписка 2025

Основные вызовы в развитии и совершенствовании коммерческих SOC

Редакция журнала "Информационная безопасность", 14/02/24

Эксперты ведущих компаний делятся своим видением актуальных вызовов в развитии SOC: дефицит квалифицированных кадров, необходимость внутреннего и внешнего обучения персонала, импортозамещение и использованию отечественных решений. 

ris54

Эксперты:

  • Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART
  • Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
  • Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
  • Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
  • Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC
  • Артём Савчук, заместитель технического директора АО “ПМ”
  • Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского”
  • Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE

Артём Савчук, ПМ:

В настоящее время наблюдается острая нехватка квалифицированных кадров и высокая конкуренция за специалистов среди коммерческих SOC, а также импортозамещение, то есть переход и модернизация ИТ-инфраструктуры SOC с использованием отечественных решений. Отмечу и дороговизну ЗИП из-за параллельного импорта.

Сергей Солдатов, Лаборатория Касперского:

  1. Для предоставления большей ценности сервисов требуется глубокое погружение в бизнес-процессы заказчика.
  2. Люди, процессы, технологии – нет предела совершенству

Андрей Дугин, МТС RED:

Ключевой вызов – масштабирование SOC под нужды новых заказчиков. Эта задача может решаться как наймом сотрудников и увеличением численности SOC, так и средствами автоматизации и обогащением дополнительными средствами защиты – там, где это возможно.

Александр Матвеев, IZ:SOC:

Актуальны классические вызовы, как, например, недостаток специалистов на рынке ИБ в целом. Это привело нас к необходимости выращивания собственных экспертов и аналитиков за счет внутренней стажировки и обучения. Отмечу вызовы, связанные с текущими реалиями и импортозамещением технических средств, используемых в SOC. Есть также вызовы, связанные с постоянным совершенствованием наших процессов и применением технологий машинного обучения для снижения нагрузки аналитиков и прогнозирования угроз на основе аномалий.

Максим Акимов, Innostage CyberART:

Главные вызовы – усиление внимания со стороны хакерских группировок, дефицит квалифицированных кадров на рынке и уход западных вендоров.

Кроме того, мы сами себе бросили вызов на проверку собственной киберустойчивости, запустив программу Bug Bounty. Это стимулирует нас к развитию в среднесрочной перспективе сразу в нескольких векторах:

  • автоматизация типовых действий для повышения продуктивности и минимизации человеческого фактора;
  • популяризации концепции Purple Team, командная работа "синих" и "красных" команд, проверка актуальных векторов атак, улучшение качества мониторинга;
  • повышение экспертности и выстраивание доверительных отношений с заказчиком для расширения полномочий SOC по реагированию на инциденты;
  • наращивание контента для российского ПО, АСУ ТП, контейнеризации;
  • применение новых классов решений.

Теймур Хеирхабаров, BI.ZONE:

Главные вызовы: существенное увеличение спроса на услуги коммерческих SOC одновременно с нехваткой квалифицированных кадров, а также массовый переход на отечественные ИТ-продукты. С одной стороны, они далеко не всегда имеют зрелую программу управления уязвимостями, а значит, будут создавать большое количество новых угроз для инфраструктур. А с другой, зачастую не имеют качественных логов или возможности их удобного подключения в качестве источника событий в SOC.

Даниил Вылегжанин, RuSIEM:

В качестве ключевого вызова я выделю недостаток на рынке ИБ высококвалифицированных специалистов, обладающих всеми необходимыми знаниями и имеющих соответствующий опыт. Коммерческий SOC должен также быть в состоянии адаптироваться к новым угрозам и техникам атак, постоянно обновлять свои навыки и инструменты, чтобы эффективно защищать своих клиентов. Не менее значимым вызовом становится интеграция в SOC различных систем безопасности и мониторинга, которые уже используются конкретным заказчиком. Это может стать весьма сложным процессом, требующим множества согласований и совместной работы различных команд как со стороны провайдера, так и со стороны заказчика.

Руслан Амиров, Инфосистемы Джет:

На мой взгляд, основными вызовами являются следующие проблемы:

  1. Ограниченность технологического стека SOC мотивирует рынок к разработке новых программных продуктов.
  2. Появление новых способов кибератак и обнаружение уязвимостей требуют быстрой и корректной реакции от SOC.
  3. Высокая степень участия человека сказывается на качестве мониторинга, поэтому все еще актуальны вопросы ускорения подготовки аналитиков SOC, обязательной автоматизации процессов и рутинных действий.
  4. Развитие ИТ, параллельно с которым происходит повышение знаний и навыков злоумышленников, еще долгое время будет влиять на темпы развития услуг SOC.
Темы:Круглый столSOCЖурнал "Информационная безопасность" №5, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Один бюджет, один приоритет: как вложиться в безопасность контейнеров?
    Что делать, если есть только один бюджет, а направлений – десятки? Спросили у экспертов: во что стоит инвестировать в 2025 г., если выбирать придется только одно направление – рантайм, цепочка поставок, харденинг или что-то еще?
  • Почему Shift Left не работает в контейнерах?
    DevSecOps-инструменты зрелы, автоматизация доступна, сканеры интегрируются в CI/CD – но 70–75% контейнерных образов по-прежнему содержат уязвимости высокого уровня. Что мешает реальному "сдвигу влево"? Мы собрали мнения инженеров и ИБ-специалистов, чтобы разобраться: где именно срывается безопасность – в культуре, инфраструктуре или ожиданиях.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 
  • Аутсорсинг SOC для АСУ ТП: выход или угроза?
    Идея аутсорсинга SOC в промышленности все чаще обсуждается как способ повысить устойчивость и снизить затраты. Однако эксперты сходятся во мнении: применять эту модель в индустриальной сфере напрямую, по шаблону ИТ-инфраструктур, рискованно. Промышленные процессы требуют не просто мониторинга инцидентов, а глубокого понимания технологической специфики и особенностей функционирования АСУ ТП. 
  • Нужна ли 100%-ная автоматизация в управлении конфигурациями?
    Автоматизация управления конфигурациями давно рассматривается как способ снизить риски и упростить работу администраторов. Но в реальных условиях у каждой инфраструктуры — свои ограничения, риски и приоритеты. Где проходит граница между разумной автоматизацией и опасной самодеятельностью? 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...