fbpx
Розмір літер 1x
Колір сайту
Зображення
Додатково
Міжрядковий інтервал
Міжсимвольний інтервал
Шрифт
Убудовані елементи (відео, карти тощо)
 
Місто: Київ
067 218 10 04
ПРИЄДНАТИСЯ ДО EBA
Компанії
Логін/Реєстрація Якщо ваша компанія вже є членом ЕВА, тут ви можете зареєструвати або увійти в свій персональний кабінет
Eng Укр

Все, що потрібно знати про MDR SOC: технології, процеси, люди та цінність

10/ 07/ 2025
  Частина I Автор: Олексій Севонькін, BDM напрямку кібербезпеки Accord Group За останні десятиріччя кількість кіберінцидентів зросла у рази. За даними національного дослідження Cyber resilience 2025, майже 68% компаній відзначають збільшення кількості атак, а середній час виявлення загрози залишається надзвичайно високим – від 100 до 200 днів у випадках без інтегрованого підходу до кібербезпеки та за відсутності підрозділу SOC. Давно не секрет, що атаки типу ransomware не тільки шкодять операційній діяльності, але й можуть завдати незворотних фінансових збитків через втрату критичних даних та витрати на відновлення після інциденту. В минулих публікаціях, ми вже розглядали питання, що таке SOC (Security Operation Center), навіщо він потрібен та які можливі варіанти впровадження. В цій статті ми розглянемо питання специфіки надання сервісів Managed Detection and Response (MDR) в контексті сервісу SOC. На сьогодні послуги MDR SOC — сучасний та ефективний спосіб забезпечення високорівневої кібербезпеки без великих інвестицій у побудову власного SOC. По суті це не просто сервіс моніторингу, а партнерська модель забезпечення кіберстійкості, в межах якої компанія отримує безперервну експертизу, впровадження необхідних технологій, а також оперативне реагування та стратегічну підтримку безпекового провайдера. Роль кібербезпеки в бізнесі. Кібербезпека сьогодні – не лише функція IT-відділу на чолі з CIO або департаментом безпеки під керівництвом CISO/CSO, а стратегічний елемент бізнес-моделі, який безпосередньо впливає на фінансову стійкість і репутацію підприємства. Зростання числа складних атак, таких як ransomware та APT (Advanced Persistent Threat), підкреслює необхідність інтегрованого підходу до захисту даних і активів. Наявність SOC – завдяки використанню необхідних технологій, процесів, та людей – надає можливості протистояти сучасним та дуже небезпечним загрозам, які можуть привести до фатальних (неприпустимих) подій, зокрема припинення діяльності. Грамотно налагоджена робота SOC та послуги MDR SOC дозволяють: Знизити ризики фінансових втрат: проактивне та швидке, максимально наближене до режиму реального часу, виявлення загроз допомагає мінімізувати потенційні збитки. Зберегти довіру клієнтів та партнерів: репутація компанії значною мірою залежить від здатності оперативно реагувати на інциденти, комунікувати стосовно можливих інцидентів, а також мати можливість диференціюватися на ринку. Оптимізувати витрати на кібербезпеку: замість розгортання окремих рішень або закупки невідповідних продуктів, чи використання систем на 30% від їхнього потенціалу, - інтеграція послуг MDR SOC сприяє економії ресурсів через централізоване управління безпекою та комплексний підхід. У разі впровадження розширених сервісів Threat Hunting, дозволяє проактивно детектувати складні загрози. Взаємодію між рівнями захисту, SOC та проактивними сервісами можна візуалізувати наступним чином. Загальний огляд послуги MDR SOC. MDR — аутсорсингова послуга активного управління кіберзагрозами, яка надається через центр моніторингу безпеки (SOC). MDR об’єднує можливості сучасних технологій (SIEM, EDR/XDR, NDR, SOAR тощо), розроблені процеси реагування та роботу команди аналітиків та інженерів, які цілодобово (8*5 або 24*7) спостерігають за ІТ-інфраструктурою компанії, виявляють інциденти, розслідують їх і координують дії з реагування, а також впроваджують потрібні зміни в роботі сервісів ІТ та кібербезпеки. На відміну від традиційного MSSP (Managed Security Services Provider), де основний акцент робиться на адмініструванні ІТ-безпеки, MDR фокусується на активному виявленні та усуненні загроз, які не були задетектовані та зупинені на рівні систем захисту, включно з глибокою аналітикою процесів, оперативним реагуванням та рекомендаціями щодо покращення захисних механізмів. Як ми вже не раз зазначали, тільки наявність всіх трьох ключових компонентів може гарантувати успіх: Технології та їх грамотне впровадження й використання. Люди – з необхідною кваліфікацією та вмінням працювати з цими технологіями. Процеси – опис того, що саме і як потрібно робити для різних ролей та ситуацій. Серед ключових технологічних компонентів (SOC Ready Technologies) ми виділяємо наступні: Vulnerability та Attack Surface Management: виявлення вразливостей і відкритих точок доступу, які можуть бути використані зловмисниками. Також дозволяє реалізувати дуже важливий момент, пов’язаний з управлінням активами. Архітектура Zero Trust: контроль доступу на базі політик, сегментація мережі, мультифакторна авторизація, віртуальні контексти. EDR/XDR: моніторинг кінцевих точок та інфраструктури, поведінковий аналіз, реагування на інциденти. NDR: аналіз мережевого трафіку та виявлення аномальної активності в мережі. Cyber Deception: використання пасток для раннього виявлення вторгнень і збору інформації про дії зловмисників. SIEM і кореляція подій: централізований збір журналів подій, побудова кореляційних правил, виявлення інцидентів. SOAR: автоматизація процесів розслідування та реагування, реалізація сценаріїв обробки інцидентів. Threat Intelligence: збагачення інцидентів актуальною інформацією про кіберзагрози. Функція спостережуваності працює за принципом – чим більше систем залучено у вашій корпоративній інфраструктурі, тим краще ви та ваш провайдер послуг може зрозуміти, що в ній коїться, а також в режимі реального часу отримувати сповіщення про можливі інциденти та вчасно розслідувати й реагувати на них. Тут важливо дотримуватися балансу з погляду на системи та типи подій, які збираються. Єдиного універсального рецепта не існує, але можливі наступні варіанти: Збирати якомога більше телеметрії з ключових систем, систем, які мають доступ з Інтернет, систем, які знаходяться в мережі з ключовими активами тощо. Лімітувати кількість систем і типи подій на базі контролів, які планується реалізувати. Тобто data driven підхід. Таким чином, балансуючи між цими підходами, можна знайти оптимальну стратегію збору журналів для вашої інфраструктури. Саме це також є частиною проєкту MDR SOC, в якому і замовник і оператор послуг знаходять найкращі рішення та проводять оптимізацію роботи систем замовника. Слід зазначити, що усі стандартні технології, які вже набули зрілого розуміння цінності, як то NG-FW, IPS, Email Security, WEB Security, Antivirus, UBA, а також хмарні технології доступу та захисту: CASB, SASE, CSPM – все також більш ніж актуальні та вкрай потрібні для забезпечення захисту й можливості розширити спостережуваність інфраструктури. Процесна модель MDR SOC охоплює перелік ключових документів з описом процесів: Мета створення SOC (цілі, задачі, принципи роботи, відповідальність тощо) Аналіз ризиків та загроз – один з ключових документів, на базі якого може будуватися вся система захисту та підрозділу SOC. Процедура, що описує принципи збору журналів подій (обладнання, типи підключення, типи журналів подій, період зберігання тощо). Процедура розслідування та реагування – описує підхід до аналізу алертів, інцидентів та проведення розслідування, які ресурси можуть залучатися, що робити в нештатних ситуаціях, яка звітність надається тощо. Процедура комунікації та ескалації – якщо не працюють стандартні корпоративні канали зв’язку, дуже важливо мати надійні та узгоджені методи комунікації на всіх рівнях. Також ця процедура може описувати зовнішню комунікацію, у разі виявлених інцидентів. Опис ключових SLA та KPI – для розуміння технічних (MTTD, MTTR, рівень False-Positive тощо) та критеріїв оцінки для бізнесу. Ключові playbooks та runbooks за типовими інцидентами, а також впровадження автоматизації щодо розслідування та реагування для зменшення часу на детектування. Серед ключових функцій SOC виділяють: Моніторинг 8/5 або 24/7: цілодобове спостереження за подіями безпеки, аналіз журналів мережевого трафіку, активності користувачів і кінцевих точок. Детектування алертів та інцидентів: використання сигнатур, поведінкових моделей і кореляції для виявлення підозрілої активності. Проведення розслідування інцидентів: встановлення джерела, вектору та можливих наслідків інциденту за допомогою аналітичних інструментів. Стримування та реагування на інциденти: ізоляція заражених вузлів, відключення облікових записів, запуск автоматичних сценаріїв, взаємодія з ІТ-службою замовника. Звітність і рекомендації: підготовка технічних та управлінських звітів, рекомендації щодо усунення причин інциденту та покращення захисту. Використання, генерування та обмін інформацією щодо Thtreat Intelligence – також один з показників зрілості підрозділу SOC, як з погляду на побудову та ефективне використання платформи Threat Intelligence, так і побудови першого рівня Data-Driven Threat Hunting фреймворку проактивного пошуку загроз. Ключові переваги MDR SOC, за якими ви можете прийняти рішення, який формат SOC вам підійде більше: Гнучка модель обслуговування: послуги налаштовуються під масштаб і потреби компанії — від базового моніторингу до повного реагування та аналізу на базі моделі можливих загроз (Threat Hunting). Інтеграція з наявною ІТ-інфраструктурою: MDR SOC може використовувати наявні захисні засоби організації або розгорнути власний стек. Високий рівень автоматизації: використання SOAR і скриптів знижує навантаження на персонал та прискорює процеси детектування й розслідування. Постійне вдосконалення: MDR не тільки фіксує інциденти, а й виявляє прогалини в архітектурі безпеки, надаючи рекомендації з покращення. Прозорість для клієнта: регулярні звіти, дашборди, зустрічі з технічними менеджерами, навчання та консультації. Це не повний, але достатньо вагомий перелік переваг використання MDR SOC сервісів, але фінальне рішення звісно за вами. Більше про синергію бізнесу та техніки, архітектуру послуги MDR SOC, платформи Threat Intelligence Platform (TIP), метрики успішності та KPI для бізнесу ми розглянемо в наступній публікації вже незабаром.

Частина I

Автор: Олексій Севонькін, BDM напрямку кібербезпеки Accord Group

За останні десятиріччя кількість кіберінцидентів зросла у рази. За даними національного дослідження Cyber resilience 2025, майже 68% компаній відзначають збільшення кількості атак, а середній час виявлення загрози залишається надзвичайно високим – від 100 до 200 днів у випадках без інтегрованого підходу до кібербезпеки та за відсутності підрозділу SOC. Давно не секрет, що атаки типу ransomware не тільки шкодять операційній діяльності, але й можуть завдати незворотних фінансових збитків через втрату критичних даних та витрати на відновлення після інциденту.

В минулих публікаціях, ми вже розглядали питання, що таке SOC (Security Operation Center), навіщо він потрібен та які можливі варіанти впровадження. В цій статті ми розглянемо питання специфіки надання сервісів Managed Detection and Response (MDR) в контексті сервісу SOC.

На сьогодні послуги MDR SOC — сучасний та ефективний спосіб забезпечення високорівневої кібербезпеки без великих інвестицій у побудову власного SOC. По суті це не просто сервіс моніторингу, а партнерська модель забезпечення кіберстійкості, в межах якої компанія отримує безперервну експертизу, впровадження необхідних технологій, а також оперативне реагування та стратегічну підтримку безпекового провайдера.

Роль кібербезпеки в бізнесі

Кібербезпека сьогодні – не лише функція IT-відділу на чолі з CIO або департаментом безпеки під керівництвом CISO/CSO, а стратегічний елемент бізнес-моделі, який безпосередньо впливає на фінансову стійкість і репутацію підприємства. Зростання числа складних атак, таких як ransomware та APT (Advanced Persistent Threat), підкреслює необхідність інтегрованого підходу до захисту даних і активів.

Наявність SOC – завдяки використанню необхідних технологій, процесів, та людей – надає можливості протистояти сучасним та дуже небезпечним загрозам, які можуть привести до фатальних (неприпустимих) подій, зокрема припинення діяльності.

Грамотно налагоджена робота SOC та послуги MDR SOC дозволяють:

  • Знизити ризики фінансових втрат: проактивне та швидке, максимально наближене до режиму реального часу, виявлення загроз допомагає мінімізувати потенційні збитки.
  • Зберегти довіру клієнтів та партнерів: репутація компанії значною мірою залежить від здатності оперативно реагувати на інциденти, комунікувати стосовно можливих інцидентів, а також мати можливість диференціюватися на ринку.
  • Оптимізувати витрати на кібербезпеку: замість розгортання окремих рішень або закупки невідповідних продуктів, чи використання систем на 30% від їхнього потенціалу, – інтеграція послуг MDR SOC сприяє економії ресурсів через централізоване управління безпекою та комплексний підхід.
  • У разі впровадження розширених сервісів Threat Hunting, дозволяє проактивно детектувати складні загрози.

Взаємодію між рівнями захисту, SOC та проактивними сервісами можна візуалізувати наступним чином.

Загальний огляд послуги MDR SOC

MDR — аутсорсингова послуга активного управління кіберзагрозами, яка надається через центр моніторингу безпеки (SOC). MDR об’єднує можливості сучасних технологій (SIEM, EDR/XDR, NDR, SOAR тощо), розроблені процеси реагування та роботу команди аналітиків та інженерів, які цілодобово (8*5 або 24*7) спостерігають за ІТ-інфраструктурою компанії, виявляють інциденти, розслідують їх і координують дії з реагування, а також впроваджують потрібні зміни в роботі сервісів ІТ та кібербезпеки.

На відміну від традиційного MSSP (Managed Security Services Provider), де основний акцент робиться на адмініструванні ІТ-безпеки, MDR фокусується на активному виявленні та усуненні загроз, які не були задетектовані та зупинені на рівні систем захисту, включно з глибокою аналітикою процесів, оперативним реагуванням та рекомендаціями щодо покращення захисних механізмів.

Як ми вже не раз зазначали, тільки наявність всіх трьох ключових компонентів може гарантувати успіх:

  • Технології та їх грамотне впровадження й використання.
  • Люди – з необхідною кваліфікацією та вмінням працювати з цими технологіями.
  • Процеси – опис того, що саме і як потрібно робити для різних ролей та ситуацій.

Серед ключових технологічних компонентів (SOC Ready Technologies) ми виділяємо наступні:

  • Vulnerability та Attack Surface Management: виявлення вразливостей і відкритих точок доступу, які можуть бути використані зловмисниками. Також дозволяє реалізувати дуже важливий момент, пов’язаний з управлінням активами.
  • Архітектура Zero Trust: контроль доступу на базі політик, сегментація мережі, мультифакторна авторизація, віртуальні контексти.
  • EDR/XDR: моніторинг кінцевих точок та інфраструктури, поведінковий аналіз, реагування на інциденти.
  • NDR: аналіз мережевого трафіку та виявлення аномальної активності в мережі.
  • Cyber Deception: використання пасток для раннього виявлення вторгнень і збору інформації про дії зловмисників.
  • SIEM і кореляція подій: централізований збір журналів подій, побудова кореляційних правил, виявлення інцидентів.
  • SOAR: автоматизація процесів розслідування та реагування, реалізація сценаріїв обробки інцидентів.
  • Threat Intelligence: збагачення інцидентів актуальною інформацією про кіберзагрози.

Функція спостережуваності працює за принципом – чим більше систем залучено у вашій корпоративній інфраструктурі, тим краще ви та ваш провайдер послуг може зрозуміти, що в ній коїться, а також в режимі реального часу отримувати сповіщення про можливі інциденти та вчасно розслідувати й реагувати на них.

Тут важливо дотримуватися балансу з погляду на системи та типи подій, які збираються. Єдиного універсального рецепта не існує, але можливі наступні варіанти:

  • Збирати якомога більше телеметрії з ключових систем, систем, які мають доступ з Інтернет, систем, які знаходяться в мережі з ключовими активами тощо.
  • Лімітувати кількість систем і типи подій на базі контролів, які планується реалізувати. Тобто data driven підхід.

Таким чином, балансуючи між цими підходами, можна знайти оптимальну стратегію збору журналів для вашої інфраструктури. Саме це також є частиною проєкту MDR SOC, в якому і замовник і оператор послуг знаходять найкращі рішення та проводять оптимізацію роботи систем замовника.

Слід зазначити, що усі стандартні технології, які вже набули зрілого розуміння цінності, як то NG-FW, IPS, Email Security, WEB Security, Antivirus, UBA, а також хмарні технології доступу та захисту: CASB, SASE, CSPM – все також більш ніж актуальні та вкрай потрібні для забезпечення захисту й можливості розширити спостережуваність інфраструктури.

Процесна модель MDR SOC охоплює перелік ключових документів з описом процесів:

  • Мета створення SOC (цілі, задачі, принципи роботи, відповідальність тощо)
  • Аналіз ризиків та загроз – один з ключових документів, на базі якого може будуватися вся система захисту та підрозділу SOC.
  • Процедура, що описує принципи збору журналів подій (обладнання, типи підключення, типи журналів подій, період зберігання тощо).
  • Процедура розслідування та реагування – описує підхід до аналізу алертів, інцидентів та проведення розслідування, які ресурси можуть залучатися, що робити в нештатних ситуаціях, яка звітність надається тощо.
  • Процедура комунікації та ескалації – якщо не працюють стандартні корпоративні канали зв’язку, дуже важливо мати надійні та узгоджені методи комунікації на всіх рівнях. Також ця процедура може описувати зовнішню комунікацію, у разі виявлених інцидентів.
  • Опис ключових SLA та KPI – для розуміння технічних (MTTD, MTTR, рівень False-Positive тощо) та критеріїв оцінки для бізнесу.
  • Ключові playbooks та runbooks за типовими інцидентами, а також впровадження автоматизації щодо розслідування та реагування для зменшення часу на детектування.

Серед ключових функцій SOC виділяють:

  • Моніторинг 8/5 або 24/7: цілодобове спостереження за подіями безпеки, аналіз журналів мережевого трафіку, активності користувачів і кінцевих точок.
  • Детектування алертів та інцидентів: використання сигнатур, поведінкових моделей і кореляції для виявлення підозрілої активності.
  • Проведення розслідування інцидентів: встановлення джерела, вектору та можливих наслідків інциденту за допомогою аналітичних інструментів.
  • Стримування та реагування на інциденти: ізоляція заражених вузлів, відключення облікових записів, запуск автоматичних сценаріїв, взаємодія з ІТ-службою замовника.
  • Звітність і рекомендації: підготовка технічних та управлінських звітів, рекомендації щодо усунення причин інциденту та покращення захисту.
  • Використання, генерування та обмін інформацією щодо Thtreat Intelligence – також один з показників зрілості підрозділу SOC, як з погляду на побудову та ефективне використання платформи Threat Intelligence, так і побудови першого рівня Data-Driven Threat Hunting фреймворку проактивного пошуку загроз.

Ключові переваги MDR SOC, за якими ви можете прийняти рішення, який формат SOC вам підійде більше:

  • Гнучка модель обслуговування: послуги налаштовуються під масштаб і потреби компанії — від базового моніторингу до повного реагування та аналізу на базі моделі можливих загроз (Threat Hunting).
  • Інтеграція з наявною ІТ-інфраструктурою: MDR SOC може використовувати наявні захисні засоби організації або розгорнути власний стек.
  • Високий рівень автоматизації: використання SOAR і скриптів знижує навантаження на персонал та прискорює процеси детектування й розслідування.
  • Постійне вдосконалення: MDR не тільки фіксує інциденти, а й виявляє прогалини в архітектурі безпеки, надаючи рекомендації з покращення.
  • Прозорість для клієнта: регулярні звіти, дашборди, зустрічі з технічними менеджерами, навчання та консультації.

Це не повний, але достатньо вагомий перелік переваг використання MDR SOC сервісів, але фінальне рішення звісно за вами.

Більше про синергію бізнесу та техніки, архітектуру послуги MDR SOC, платформи Threat Intelligence Platform (TIP), метрики успішності та KPI для бізнесу ми розглянемо в наступній публікації вже незабаром.

Цей матеріал надано членською компанією або партнерською організацією Європейської Бізнес Асоціації в рамках інформаційної співпраці. Асоціація не несе жодної відповідальності за достовірність, точність чи повноту викладеної інформації. Думки, позиції та рекомендації, висловлені в матеріалі, належать виключно його авторам і не відображають офіційну позицію Європейської Бізнес Асоціації.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.

Стартуй в Telegram боті
Читайте корисні статті та новини. Поширюйте їх соціальними мережами.

← Назад до входу

Загальнонаціональна хвилина мовчання
01:00
09:00
Загальнонаціональна хвилина мовчання
Вшануймо пам’ять усіх загиблих у війні росії проти України
00:43

Повідомити про помилку

Текст, який буде надіслано нашим редакторам:

Надіслати