Технологический суверенитет: как команда ИБ реализовала собственный SOC

В 2025 году проект «ИТ-безопасность и независимость» перешел из разряда планов в статус ключевого достижения года. Рассказываем, как переход от гибридной модели с участием внешнего провайдера к собственному Центру мониторинга и реагирования на инциденты ИБ (SOC) позволил не только повысить устойчивость инфраструктуры, но и внедрить уникальные инженерные решения.

Илья Чистяков, Начальник отдела, центр мониторинга и реагирования на инциденты ИБ

От гибридной модели к полной автономии

Долгое время процесс обеспечения кибербезопасности в Компании строился на гибридной модели. За первичную обработку событий и администрирование SIEM и IRP систем отвечал внешний провайдер, в то время как внутренние специалисты проводили углубленный анализ и принимали финальные решения.

Однако, изменения рыночной конъюнктуры и трансформация условий обслуживания дали толчок к пересмотру компанией стратегии ИБ. Перед командой встал вызов: полностью забрать функции мониторинга и реагирования на инциденты «под крыло» внутренней структуры. Задача была не просто технической, но и кадровой – необходимо было создать полноценную первую линию реагирования (L1) без привлечения внешних специалистов с рынка труда.

Ставка на внутренний потенциал

Вместо дорогостоящего поиска новых кадров, команда выбрала путь развития существующих ресурсов. За основу была взята база специалистов Центра мониторинга ИТ-инфраструктуры, работающих в режиме 24/7. Процесс трансформации напоминал сложную инженерную задачу. Были разработаны подробные инструкции (плейбуки), внедрена система обучения и создана база знаний, минимизирующая человеческий фактор.

«Мы подошли к вопросу системно: доработали контент, написали подробные алгоритмы действий и провели серию обучающих мероприятий для нашей новой L1. Немаловажную роль сыграло наставничество. Опытные аналитики через синтетические кейсы, максимально приближенные к реальным, помогали новичкам переносить теоретические знания в устойчивый практический навык», – отмечает Илья Чистяков, руководитель SOC.

Решение возникших проблем

Переход от аутсорсинговой к собственной модели (In-house SOC) требовал бесшовной реинтеграции систем, в связи с отключением части процессов внешнего провайдера. Самым сложным этапом стала адаптация контента обнаружения угроз и перенастройка сценариев в условиях, когда привычные механизмы интеграции перестали работать. В связи с изменением структуры данных, часть методов API в одной из систем, стала недоступна к использованию, что нарушило штатную интеграцию.

В момент, когда инфраструктура оказалась в тяжелом состоянии, команда проявила инженерную смекалку. Один из специалистов SOC, разработал уникальную интеграционную «прослойку», которая позволила восстановить связь между компонентами и вернуть полноценную работоспособность систем без прерывания мониторинга.

«Нам удалось реализовать максимально плавный переход от внешних сервисов к внутренним, сохранив непрерывность процессов. Несмотря на возникшие технические сложности с интеграцией, решение было найдено собственными силами», – говорит Мурад Мустафаев, руководитель Направления ИБ.

Результаты в цифрах и смыслах

Проект уже демонстрирует впечатляющую эффективность, которую можно измерить не только деньгами, но и временем. Время реакции на инциденты сократилось до 20 раз – теперь оно составляет порядка 5 минут, а прогнозируемый годовой экономический эффект оценивается в десятки миллионов рублей. Процессы стали полностью управляемыми и прозрачными для бизнеса.

Сегодня проект «ИТ-безопасность и независимость» – это уже не просто фундамент, а работающий двигатель. Команда не останавливается на достигнутом: сейчас фокус внимания смещен на еще более амбициозную задачу – интеграцию больших языковых моделей (LLM) в повседневные процессы SOC. Речь идет о создании интеллектуальных агентов, способных не просто уведомлять об угрозе, а самостоятельно анализировать контекст инцидента и предлагать варианты автоматизированного реагирования.

Заглавное изображение – Magnific.com