SOC своими силами или аутсорсинг: как сэкономить на кибербезопасности
Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС.
Контакты: сайт - legascom.ru, e‑mail - petukhov@legascom.ru .
Создавать собственный SOC или доверить безопасность провайдеру? Разберём плюсы, минусы и экономику обоих вариантов.
Пример из практики
CISO компании с 2 тыс. сотрудников получил бюджет 45 млн руб. на собственный SOC. Но столкнулся с проблемами:
запуск затянулся на полтора года;
выбор SIEM‑системы занял 4 месяца (тендеры, пилоты, согласования);
потребовались подрядчики для внедрения SIEM, развёртывания EDR, интеграции с системами журналирования.
Альтернатива - коммерческий SOC:
запуск за 3 недели;
единый договор (платформа, аналитики, поддержка);
бюджет - 25 млн руб./год;
экономия за год - около 20 млн руб.;
обнаружение и остановка атаки за 17 минут.
Сколько стоит собственный SOC?
Для компании с ~4 тыс. активов расходы складываются так:
капитальные затраты на SIEM и инфраструктуру: 15–25 млн руб.;
операционные расходы на команду из 12–15 специалистов: 18–25 млн руб./год;
обучение и сертификация: 2–3 млн руб./год.
Итого: 35–53 млн руб./год.
Стоимость коммерческого SOC
Зависит от масштаба:
небольшие организации (до 500 EPS, 500 активов): от 5 млн руб./год;
средний масштаб (4 тыс. EPS, 4 тыс. активов): до 35 млн руб./год.
В стоимость включены все компоненты безопасности, капитальные затраты отсутствуют.
Преимущества коммерческого SOC
Экспертиза:
доступ к команде аналитиков с отраслевыми компетенциями (финансы, ретейл, промышленность);
провайдер постоянно обучает сотрудников;
база знаний на основе тысяч инцидентов.
Сравнение: содержание 3 Senior‑аналитиков - 6–8 млн руб./год, коммерческий SOC даёт доступ к экспертности десятков специалистов в рамках единого тарифа.
Технологии:
SIEM‑ и SOAR‑платформы уровня Enterprise;
системы поведенческого анализа, Threat Intelligence;
решения на базе машинного обучения.
Внутри компании развёртывание аналогичного ПО потребует 5–8 млн руб. капитально + 2–3 млн руб./год на поддержку.
Экономия за счёт масштаба:
инфраструктура на десятки клиентов;
автоматизация и стандартизация процессов;
совместное использование детекторов и баз знаний;
снижение стоимости мониторинга одного актива на 40–60 % по сравнению с собственным SOC.
Гарантированное качество (SLA):
обнаружение угроз < 15 минут;
реагирование < 30 минут;
финансовые компенсации при нарушении SLA.
Соответствие нормативам:
отчётность для регуляторов;
соответствие 152‑ФЗ, 187‑ФЗ;
аудиты подрядчиков;
управление инцидентами по стандартам NIST и ISO.
Проактивная безопасность:
Threat Hunting - поиск скрытых угроз;
анализ тактик злоумышленников;
расследование сложных инцидентов;
рекомендации по усилению защиты.
Точность детектирования:
уровень ложных срабатываний < 5 %;
автоматическая верификация инцидентов;
фильтрация 10 тыс. алертов/день до 50–100 релевантных инцидентов;
экономия ~40 часов рабочего времени еженедельно.
Практические рекомендации
Бюджет 5–15 млн руб./год: начните с базового пакета мониторинга. Защитите критичные активы, постепенно расширяйте функциональность.
Бюджет 15–35 млн руб./год: полноценный SOC с кастомизированными детекторами, выделенными аналитиками и Threat Hunting. Повышайте зрелость защиты и скорость реагирования.
Почему собственный SOC дороже?
Лицензии: MSSP дешевле в 2–3 раза.
Инфраструктура: затраты на оборудование и хранение данных.
Запуск и настройка: сопоставимы с несколькими годами аутсорсингового мониторинга.
Персонал:
для работы 24/7 нужно минимум 8–12 человек на первую линию;
ФОТ на 10 человек: 15–24 млн руб./год;
минимальная команда SOC (25 человек): от 35 млн руб./год;
сложности найма и удержания квалифицированных специалистов.
Вывод
Коммерческий SOC выгоднее собственного в 1,5–2 раза для организаций среднего размера (4 тыс. активов) при бюджете 35 млн руб./год. Ключевые преимущества:
подтверждённая экспертиза и глубокая аналитика (разбор по MITRE ATT&CK);
минимальный уровень ложных срабатываний (< 5 %);
технологическое превосходство (Enterprise‑платформы, машинное обучение);
гарантированное качество по SLA;
соответствие нормативам (152‑ФЗ, 187‑ФЗ, NIST, ISO);
проактивная защита (Threat Hunting);
экономия ресурсов - фокус на основном бизнесе.
Собственный SOC оправдан лишь для крупных корпораций с огромными бюджетами и потребностью в полной кастомизации. Для большинства компаний аутсорсинг - разумный выбор: он обеспечивает высокий уровень защиты без капитальных затрат и операционных сложностей.
