Почему классический SOC не справляется и что приходит ему на смену
Не дайте хакерам внедриться через ваш сайт
Узнать подробнее
Продукты
Threat Intelligence Attack Surface Management Digital Risk Protection Fraud Protection Business Email Protection Managed XDR Malware Detonation Platform Endpoint Detection and Response
Услуги

Работа с инцидентами

Обнаружение и локализация инцидентов
Реагирование и расследование инцидентов Выявление следов компрометации
Определить злоумышленника
Расследование кибер-преступлений
Цифровая криминалистика
Сбор и фиксация цифровых доказательств
Исследования цифровых доказательств
Компьютерная экспертиза

Тестирование безопасности

Тестирование инфраструктуры
Внешнее тестирование Внутреннее тестирование
Тестирование Wi-Fi
Социотехническое тестирование
Тестирование приложений
Веб-приложения
Мобильные приложения
Тренировка ИБ команд
Red Teaming Purple Teaming

Оценка соответствия и консалтинг

Законодательные требования
Обработка и защита ПДн
Безопасность КИИ
Безопасность в финансовом секторе
Режим коммерческой тайны
Менеджмент ИБ
Оценка зрелости ИБ и СУИБ
Оценка рисков ИБ
Разработка дорожной карты, ОРД

Круглосуточная защита от киберугроз

Мониторинг и реагирование SOC MDR
Мониторинг и анализ событий
Проактивный поиск угроз
Оперативное реагирование
Подготовка
Оценка готовности к реагированию
О компании
F6 CERT-F6 Антифишинг-F6 Благодарности Карьера Контакты
Партнерам
Найти партнера Партнерам Дистрибьюторам
Обучение
Актуальные программы Сведения об организации,
осуществляющей обучение
Медиацентр
Блог Пресс-релизы Вебинары Новости Отчеты Скамопедия
Индекс от F6
Сообщить об инциденте
Вернуться назад

Почему классический SOC больше не спасает и что делать вместо него

Современные киберугрозы требуют новых решений. Разбираемся, почему классический SOC больше не эффективен и как SOC MDR становится новым стандартом безопасности.

13 ноября, 2025
· 
64
 просмотров
Почему классический SOC больше не спасает и что делать вместо него

SOC — это уже не то, что раньше

Еще несколько лет назад классический Security Operation Center (SOC) считался вершиной защиты. Его задача была простой: собирать логи, коррелировать события и отправлять оповещения. Угрозы тогда были предсказуемыми — вирусы, трояны, черви. Против них работала схема «антивирус + мониторинг».

Но сегодня ландшафт изменился. Атаки стали сложнее: целевые APT-кампании, атаки на цепочки поставок (supply chain), фишинг с социальной инженерией. Задача сместилась с «обнаружения» на «остановку». Угроза должна быть нейтрализована до того, как она нанесет ущерб. SOC больше не может оставаться просто наблюдателем — он должен стать активным защитником.

Классический SOC: как он работает и в чём его ограничения

Традиционный SOC работает по стандартной схеме:

  • Сбор событий — данные с серверов, сетевого оборудования, рабочих станций.
  • Корреляция — автоматический анализ с помощью SIEM-систем.
  • Алерт — создание оповещения о потенциальной угрозе.
  • Передача клиенту — инцидент перекладывается на внутреннюю команду заказчика.

Казалось бы, логично. Но на практике возникает несколько проблем:

  • Передача без реакции — SOC лишь сигнализирует, но не действует. Клиент вынужден самостоятельно разбираться с инцидентом.
  • Отложенная эскалация — пока заказчик соберет команду, пройдут часы, а то и дни.
  • Нет контекста и приоритизации — десятки алертов в день, среди которых сложно выделить критичные.
  • Только сигнализация, а не защита — SOC не предотвращает угрозу, а лишь констатирует факт.

В итоге компания несет постоянные и значительные расходы на содержание собственной команды реагирования. Критичный инцидент, требующий их полного вовлечения, может происходить раз в год, а то и реже. В остальное время их работа сводится к оперативной рутине — обработке бесконечного потока уведомлений, большинство из которых не несут реальной угрозы.Таким образом, бизнес фактически платит за «простой» экспертов, что экономически неэффективно.

Переход к SOC MDR: обнаружение + реакция в одном сервисе

MDR (Managed Detection & Response) — это логичное развитие SOC. Если SOC фокусируется на мониторинге, то MDR добавляет к нему активное реагирование.

Что такое SOC MDR и зачем он нужен бизнесу?

Это сервис, который объединяет мониторинг, расследование и устранение угроз. Команда MDR не просто обнаруживает атаку, но и самостоятельно принимает меры: изолирует зараженные узлы, блокирует вредоносную активность, восстанавливает системы. Клиент получает уведомление уже о закрытом инциденте с готовым отчетом.

Ключевые преимущества SOC MDR:

  • Скорость — мониторинг и реагирование в режиме 24/7.
  • Экспертиза — команда аналитиков с опытом противодействия сложным угрозам.
  • Экономия бюджета — не нужно содержать внутреннюю команду.

F6 SOC MDR: сервис нового поколения от Центра кибербезопасности F6

Наше решение — F6 SOC MDR — построено на принципах современного подхода к безопасности. Вот как оно работает:

Мониторинг киберугроз

  • Киберразведка: мы используем данные из собственной базы киберразведки Threat Intelligence, чтобы предсказать атаки до их начала.
  • Применяем стек технологий: XDR, EDR, SIEM, ASM. Это позволяет видеть полную картину угроз.

Threat Hunting

Это проактивный поиск угроз, которые могли остаться незамеченными. Наши аналитики вручную исследуют инфраструктуру заказчика, чтобы обнаружить скрытые атаки. Например, мы ищем аномалии в поведении, выясняем причины выполнения «рискованных» команд, цепочек подозрительных действий.

Реагирование

В рамках реагирования на инцидент осуществляется комлекс мер:

  • Изоляция зараженных узлов.
  • Удаление вредоносного ПО.
  • Восстановление систем.

Все это происходит без участия клиента. Вы получаете отчет о том, что угроза устранена.

Полный цикл услуг

Мы берем на себя все этапы: от настройки систем мониторинга до расследования и ликвидации инцидентов.

Кейс: Как мы обнаружили и остановили скрытое закрепление злоумышленника в сети

Угроза: В результате утечки данных, собранных стилером META Stealer с личного устройства удаленного разработчика, злоумышленник получил учетную запись с RDP-доступом.

Как мы обнаружили угрозу:

  1. С помощью ASM мы обнаружили учетные данные сотрудника в открытых источниках.
  2. Используя нашу базу кибберазведки Threat Intelligence, установили, что утечка произошла из-за META Stealer.
  3. Выявили следы RDP-подключений, провели расследование, идентифицировали рабочую станцию и развернули агент.

Результат: В течение 48 часов с момента публикации данных об утечке мы выявили активного злоумышленника в сети, который уже использовал утилиту revsocks для создания туннеля и инструмент ADRecon для разведки.

Реагирование: Хост был немедленно изолирован, а учетная запись — заблокирована.

Итог: Развитие атаки остановлено до того, как злоумышленник получил доступ к критически важным данным.

Вывод: Комбинация проактивного мониторинга внешнего периметра (ASM), аналитики угроз (Threat Intelligence) и инструментов реагирования (EDR) позволяет оперативно обнаруживать и останавливать сложные многоэтапные атаки даже при компрометации личных устройств сотрудников.

Читайте полный кейс по ссылке: https://habr.com/ru/companies/F6/articles/945254/

Кому подходит F6 SOC MDR

Малому бизнесу — нет ресурсов на свою команду, но нужен профессиональный уровень защиты.

Среднему бизнесу — есть штатный специалист по ИБ, но нет возможности содержать команду реагирования. Мы становимся партнером, который усиливает вашу защиту.

Крупным компаниям — если есть свой SOC, но не хватает экспертизы для противодействия сложным угрозам. Мы выступаем в роли усилителя.

Вывод: угрозы эволюционируют — ваша защита тоже должна меняться

Время, когда достаточно было «мониторить», прошло. Современные атаки требуют проактивного обнаружения и мгновенного реагирования. MDR — это не просто модное слово, а логичный следующий шаг в развитии безопасности.

F6 — один из немногих в России, кто предлагает полноценный MDR-сервис на собственном технологическом стеке. Мы не просто предупреждаем, мы действуем.

Хотите узнать, как F6 SOC MDR защитит вашу компанию от киберугроз?

Оставьте заявку на консультацию, и наши эксперты предложат решение под ваши задачи.

Оставить заявку
Эфшесть © 2003 – 2025
АО "Будущее"
Пользовательское соглашение
Политика конфиденциальности
Сообщить об инциденте
Мы обрабатываем Ваши файлы cookies

Мы используем cookie-файлы для улучшения качества работы, в том числе удобства использования веб-сайта и оказываемых нами услуг. Также мы обрабатываем cookie-файлы для проведения аналитических исследований. Вы можете запретить сохранение cookie-файлов в настройках своего браузера. Продолжая использование сайта, вы соглашаетесь с Политикой обработки персональных данных и с Пользовательским соглашением

Принимаю
Цифровая цепь под напряжением.
Риски растут
Компании перестраиваются
F6 фиксирует изменения
Скачать отчёт