Разговоры о том, что SOC вот-вот изменится, стали почти привычной частью сообщества информационной безопасности. Кажется, что рынок живет в состоянии постоянного ожидания прорыва: то появится новый инструмент анализа телеметрии, то крупный вендор представит модуль ИИ, то публикуется очередной отчет, обещающий революцию в мониторинге. И каждый раз кажется, что именно теперь все поменяется. Но проходит очередной год, и SOC продолжает работать примерно так же, как и работал.
Автор: Максим Степченков, основатель и совладелец компании RuSIEM
И дело здесь не в технологическом консерватизме. Рынок информационной безопасности как раз любит и умеет внедрять инновации, особенно там, где они дают измеримый эффект. Настоящая причина – в фундаментальном несоответствии между ожиданиями заказчиков и фактической моделью SOC. Это несоответствие определяет, как быстро и куда может двигаться рынок в ближайшие два года.
Предлагаем ОСАГО, когда все хотят КАСКО
Многие корпоративные заказчики ожидают от SOC не мониторинга и не реакции, а полноценной защиты. Они мыслят категориями страхования: если уж организация платит за услугу, то хочет быть уверенной, что ее инфраструктура, данные и операции находятся под защитой вне зависимости от сложности атаки. Клиенты формулируют потребность в сокращении реального риска, а не в наборе тикетов и отчетов.
Но центры SOC, представленные сегодня на рынке, исторически строились как операционный сервис, а не как защитная система. SOC предназначался для наблюдения, классификации событий и своевременной реакции, но не для предотвращения ущерба. Услуга выполняет правило ОСАГО: если произошла авария, есть определенные процедуры, и не больше. Эта модель хорошо работает там, где инциденты типовые, системы однообразны, а риски предсказуемы. Но мир с точки зрения информационной безопасности давно перестал быть таким.
С каждым годом растет сложность инфраструктур, и от SOC требуется уже не столько регистрация сигналов, сколько способность удерживать ситуацию под контролем. Но модель ОСАГО с этим не справляется – не потому, что плоха сама по себе, а потому что в 2025 г. она перестала соответствовать масштабу угроз.
И пока эта модель не будет пересмотрена, никакая технология не создаст серьезного прорыва.
Ответственность как точка перелома
SOC сегодня отвечает за выполнение процессов, но не за результат. Это главное ограничение его развития. Пока провайдер обязан лишь корректно выполнить инструкцию, а не предотвратить ущерб, у рынка не возникает экономической мотивации к изменениям. Технологии внедряются выборочно, экспертиза растет медленно, а качество сильно варьируется от одного SOC к другому.
Все изменится в тот момент, когда ответственность станет частью услуги. Сейчас это звучит почти революционно, но в других сферах экономики подобная модель давно является нормой. Страхование деятельности SOC (его последние годы обсуждают все чаще) может оказаться механизмом, который изменит правила игры. Если провайдер готов страховать собственный риск, он вынужден:
- инвестировать в экспертизу,
- отстраивать и совершенствовать процессы,
- нанимать сильных специалистов,
- внедрять технологические решения не ради маркетинга, а ради результата.
Заказчик в такой реальности получает именно то, чего ожидает: защиту, а не процедуру. Исполнитель – возможность конкурировать качеством, а не только стоимостью. Рынок же в целом получает повышение зрелости.
Честная конкуренция, основанная на ответственности, станет главным драйвером изменений. Она может быть сильнее, чем регуляторика, кадровый дефицит или рост количества инцидентов. Заметьте, что регуляторика по своей природе устанавливает минимальную планку, в то время как конкуренция поднимает ее до условий выживания.
ИИ как усилитель, а не заменитель человека
Технологии ИИ в ИБ переживают этап завышенных ожиданий. Многим кажется, что искусственный интеллект избавит SOC от дефицита специалистов, заменит L1, оптимизирует ручной труд, снизит стоимость услуг. Но это иллюзия. У каждого алгоритма есть зона применимости. Все, что выходит за ее пределы, порождает артефакты – например, галлюцинации, которые ИИ преподносит с неоправданной уверенностью.
ИИ отлично справляется с рутиной, но его сила – в скорости, а не в глубине понимания. В условиях реальной инфраструктуры, где события возникают в сложных, динамических контекстах, ИИ без человеческого контроля становится слишком рискованным инструментом. Он ускоряет анализ, но не освобождает от необходимости верифицировать выводы.
Поэтому появление ИИ не снижает стоимость SOC, а даже наоборот – увеличивает ее. Искусственный интеллект требует новых ролей, новых компетенций, новых процессов контроля. На первый план выйдет специалист, который способен проверять, уточнять и корректировать выводы модели. Не оператор, не инженер, а новая роль – аналитик-верификатор. Роль, которая сочетает глубокое знание инфраструктуры, умение работать в условиях неопределенности и способность принимать решения.
Со временем появятся и другие роли: инженеры по дрейфу моделей, специалисты по объяснимому ИИ, архитекторы интеграции данных. Такие специалисты по мере внедрения ИИ-инструментов станут сердцем SOC будущего. Их работа определит, насколько безопасно можно полагаться на результаты работы ИИ.
Эта трансформация неизбежна. Она повторяет путь, который прошли многие высокотехнологичные отрасли: от авиации до финансов. Там, где автоматизация повышает скорость, человеческий контроль становится еще важнее. SOC движется тем же путем.
Автоматизация упирается в зрелость данных
Автоматизация в SOC развивается, но далеко не так быстро, как хотелось бы. Главная причина – качество данных. Слишком много инфраструктур находятся в состоянии постоянной переработки: миграции в облако, разнородные агенты, разношерстные системы логирования, неоднородные политики. В таких условиях автоматизация работает только там, где заранее обеспечена стабильность. А стабильность – это то, чего корпоративные ИТ сегодня почти лишены.
Автоматизация помогает там, где события типизированы. Но сложные инциденты требуют понимания контекста, которое невозможно формализовать полностью. Поэтому L1 в ближайшие два года никуда не исчезнет, а L2, напротив, станет более загруженным. Попытки искусственно сократить первую линию приведут лишь к ухудшению качества услуг.
В итоге автоматизация займет ту нишу, которая ей подходит: снижение операционных затрат, ускорение рутинных операций, обеспечение стабильности анализа. Но это вспомогательное звено, а не доминирующее направление.
SIEM как нервная система SOC
SIEM часто воспринимают как обязательный элемент схемы SOC, будто он остается в архитектуре только потому, что его сложно выкинуть из привычной диаграммы. Но это поверхностное впечатление, которое ничего не говорит о реальной роли. На самом деле SIEM меняется быстрее большинства других компонентов и гораздо лучше отражает ту сложность, в которой сегодня живет SOC. Если внимательно посмотреть на характер современных атак и на то, как устроены корпоративные инфраструктуры, становится ясно: заменить SIEM невозможно не из-за инерции рынка, а из-за фундаментальной природы самой задачи.
Любые разговоры о том, что SIEM вот-вот исчезнет благодаря XDR, облачным аналитикам или новым поведенческим системам, заканчиваются, как только мы выходим из области маркетинга и погружаемся в техническую плоскость. Каждое из этих решений видит только отдельный фрагмент инфраструктуры. EDR видит конечную точку, NDR – сеть, облачные сервисы – лишь свою область ответственности. Атаки же давно проходят через множество плоскостей одновременно. Инцидент в 2025 г. – это не отдельный лог, а цепочка, проходящая через сеть, облако, конечные точки, API, сервисы поставщиков и контейнерные платформы. Механизм, который способен собрать эту цепочку в связное повествование, в единую картину, по-прежнему только один – SIEM.
При этом меняется и логика корреляции. Десять лет назад это были жесткие паттерны: если А и Б – подними тревогу. SIEM тогда работал как система правил. Сегодня корреляция стала куда более гибким механизмом. Она учитывает поведение, временные зависимости, семантику событий, контекст инфраструктуры, состояние объектов, профиль пользователя. Современная корреляция – это не проверка двух условий, а попытка реконструировать намерение. И именно SIEM остается той средой, где эта интерпретация возможна.
Если сравнить SIEM десятилетней давности и SIEM сегодняшнего дня, кажется, что мы говорим об абсолютно разных сущностях. И мы хорошо это видим на примере нашей платформы RuSIEM1. В 2015 г. SIEM функционировал в предположении, что данные стабильны, а источники предсказуемы и достоверны. Сейчас все иначе. Потоки данных неоднородны и требуют нормализации. Источники появляются и исчезают с высокой скоростью. Поведение пользователей и сервисов стало динамическим и непредсказуемым. Корреляция требует семантического анализа. А тот же ИИ способен работать эффективно только когда получает хорошо структурированный и очищенный контекст. SIEM обеспечивает этот контекст, превращая разрозненную телеметрию в материал, пригодный для анализа и принятия решений.
Поэтому роль SIEM не уменьшается, а растет. Парадоксально, но чем больше ИИ проникает в SOC, тем сильнее становится зависимость ИИ от SIEM. Модели машинного обучения не могут корректно работать без структурированного контекста, без истории событий, без точного понимания связей между источниками. ИИ пытается находить закономерности, но только SIEM обеспечивает среду, в которой эти закономерности действительно отражают реальность.
Именно поэтому SIEM нельзя заменить. Его можно улучшать, можно усиливать ИИ, можно облегчать инфраструктурную нагрузку, но сама функция остается уникальной – быть единой точкой сборки смыслов.
Заключение
Ответственность, ИИ, автоматизация, новые роли, эволюция SIEM – все это подводит рынок к главному: SOC станет услугой, продающей результат. Для многих организаций рынка ИБ это будет непривычно, но иначе не получится.
Если SOC хочет оставаться актуальным, он должен защищать, а не только реагировать. Он должен брать на себя ответственность, а не только выполнять процедуры. Качество его работы должно измеряться по снижению риска, а не по скорости закрытия тикетов.
Ближайшие два года станут водоразделом. Либо SOC перейдет к модели сервисной ответственности с гарантиями, страхованием, контролем качества и глубокой экспертизой, либо останется набором инструментов, которые будут постепенно терять качество по мере усложнения ландшафта угроз.
Реклама: ООО «РуСИЕМ». ИНН 7731317045. Erid: 2SDnjeSfw4b