Организации, планирующие строить центр мониторинга кибербезопасности (Security Operations Center, SOC), в среднем готовы потратить на это 2 миллиона долларов США*. Таковы результаты глобального опроса, проведённого внутренним исследовательским центром «Лаборатории Касперского» среди компаний со штатом более 500 человек, где пока нет SOC, но в ближайшие два года планируется его создать**. Свыше половины (55%) готовы потратить на эти цели менее 1 миллиона долларов, а около четверти (24%) — более 2,5 миллионов долларов.
На объём инвестиций влияет размер организации: в среднем малые предприятия готовы вкладывать менее 1,2 миллиона долларов США, средние — около 1,7 миллиона долларов США, корпорации — 5 миллионов долларов США. Большие компании охотнее берутся за дорогостоящие проекты, поскольку им необходимо обеспечить более широкое покрытие инфраструктуры, при этом у них высокие операционные требования. Есть и географические различия. Например, в некоторых странах, таких как Вьетнам и Китай, организации готовы инвестировать в SOC больше, чем в среднем по миру. Это может быть связано с ориентацией на цифровой суверенитет, а также разработку собственных решений в области безопасности в рамках национальной инфраструктуры.
В какие сроки планируют реализовать проект. Две трети компаний (66%) рассчитывают, что им удастся создать свой SOC в течение 6-12 месяцев, а более четверти (26%) — что на это уйдёт от года до двух лет. При этом крупные организации обычно планируют уложиться в более сжатые сроки, чем средние предприятия, несмотря на работу в сложных средах. На практике это, как правило, означает, что SOC сначала запускают только для критически важных систем, а потом поэтапно расширяют охват на всю инфраструктуру.
Какие есть сложности. Основной вызов для компаний при создании SOC — высокие капитальные затраты (33%). Многие также испытывают трудности с оценкой эффективности SOC (28%), поскольку зачастую для этого используется большое количество различных показателей эффективности (KPI) — от финансовых и операционных до стратегических, таких как обеспечение соответствия отраслевым стандартам.
Кроме того, организации нередко испытывают трудности с управлением сложными решениями в области кибербезопасности (27%), а также интеграцией множества систем и технологий (26%). Четверть компаний отметили нехватку квалификации как среди своих сотрудников (25%), так и на внешнем рынке (25%). Это говорит о том, что специалисты остаются одним из ключевых факторов, влияющих на создание эффективного SOC, наряду с финансовыми и технологическими возможностями.
«Бюджет, необходимый для создания SOC, может сильно отличаться в зависимости от многих факторов. Первичные инвестиции в основном позволяют покрыть расходы на лицензии и оборудование, при этом их объём во многом зависит от масштаба инфраструктуры организации, а также выбранных продуктов. Однако важно понимать, что это лишь часть капитальных затрат. На общую стоимость владения будут влиять операционные затраты, такие как заработная плата для сотрудников. Чтобы инвестиции были эффективными и соответствовали потребностям организации, необходимо разработать стратегический план, который будет подробно определять все этапы и цели. Такой подход поможет максимизировать отдачу от инвестиций и создать устойчивую систему кибербезопасности», — комментирует Роман Назаров, руководитель Kaspersky SOC Consulting.
При создании или развитии SOC «Лаборатория Касперского» рекомендует организациям:
- воспользоваться услугами надёжных ИБ-вендоров по SOC-консалтингу, например обратиться к специалистам Kaspersky SOC Consulting для первоначальной настройки или усовершенствования существующих систем безопасности;
- усилить корпоративную систему безопасности с помощью SIEM-системы для мониторинга и управления событиями безопасности Kaspersky Unified Monitoring and Analysis Platform (KUMA). Для повышения эффективности работы аналитиков безопасности в KUMA используется ИИ-ассистент «Лаборатории Касперского» Kaspersky Investigation and Response Assistant (KIRA);
- применять решение для комплексной защиты всей ИТ-инфраструктуры, например Kaspersky Symphony XDR. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Решение подходит для среднего и крупного бизнеса из любой отрасли;
- предоставлять SOC-командам свежую информацию о новейших тактиках, техниках и процедурах злоумышленников (TTPs). Комплекс сервисов Kaspersky Threat Intelligence — единая точка доступа ко всем данным о киберугрозах, накопленных экспертами «Лаборатории Касперского» более чем за 25 лет;
- использовать решения для управляемой защиты, такие как Kaspersky Compromise Assessment, Kaspersky Managed Detection and Response и/или Kaspersky Incident Response, охватывающие весь цикл реагирования на инциденты — от обнаружения угроз до их устранения. Они помогут противостоять скрытым кибератакам, анализировать инциденты и получать поддержку экспертов.
* Далее по тексту, где указано «долларов», означает «долларов США».
* * Опрос проведён внутренним исследовательским центром «Лаборатории Касперского» в 2025 году в 16 странах, в том числе в России. Всего опрошено 1714 сотрудников предприятий разных отраслей. SOC — это подразделение, отвечающее за постоянный мониторинг и защиту ИТ-инфраструктуры компании. Его основная задача — проактивное выявление, анализ и реагирование на киберугрозы, как правило, в круглосуточном режиме.
