Компании тратят больше на кибербезопасность, но время расследования инцидентов почти не сокращается. Главная причина — не слабые аналитики, а устаревшая модель работы SOC: люди вручную разбирают больше тревог, чем физически могут проверить.
Речь о центрах мониторинга информационной безопасности, или Security Operations Center, SOC. Для бизнеса это уже не техническая деталь: пропущенная «средняя» тревога может закончиться утечкой данных, остановкой сервисов и претензиями клиентов.
Атакующие ускорились, а расследования — нет
По данным Google Mandiant, глобальное медианное время присутствия злоумышленников в сети до обнаружения достигло 14 дней. Ещё тревожнее другой показатель: в 2025 году окно передачи доступа от первой группы атакующих к другой сократилось до 22 секунд. В 2022 году оно составляло около восьми часов.
CrowdStrike в Global Threat Report 2026 описывает похожую динамику: среднее время от первичного доступа до развития атаки упало до 29 минут. IBM в исследовании Cost of a Data Breach оценивает средний срок выявления и сдерживания утечки в 2025 году в 241 день, а средний ущерб — в 4,88 млн долларов.
Эти цифры плохо сочетаются с ростом бюджетов. Расходы на безопасность у многих компаний за последние годы заметно выросли, но путь от сигнала до решения остаётся слишком длинным. Очередь тревог стала отдельным риском.
Почему новые люди не закрывают разрыв
SOC обычно уже сделал базовую работу: распределил тревоги по критичности, отключил заведомо шумные правила, настроил маршрутизацию, убрал часть ложных срабатываний. Но после этой фильтрации на людей всё равно падает слишком много задач.
В материале Prophet Security приводится типичный диапазон для зрелых команд: 120–150 тревог в день после первичной сортировки. Если на одно расследование вместе с документированием уходит 20 минут, это 40–50 человеко-часов ежедневно. Команда из пяти до 10 аналитиков может закрыть верхнюю часть очереди в рабочее время, но хвост переезжает на следующую смену, следующий день или просто исчезает из фокуса.
Проблема не в лени и не в некомпетентности. Человек не может качественно разобрать каждую тревогу, проверить связанные события, посмотреть поведение учётной записи, сопоставить сетевую активность и написать выводы, когда поток растёт быстрее команды.
Из-за этого компании часто жертвуют низкой и средней критичностью. Но реальные атаки редко начинаются с громкого сигнала. Они прячутся среди мелких отклонений: странного входа, необычного запроса, подозрительной активности приложения. Похожая логика видна и в атаках на разработчиков: фальшивый репозиторий OpenAI на Hugging Face раздавал стилер, хотя для жертвы всё могло выглядеть как обычная рабочая загрузка.
Где ИИ действительно помогает SOC
ИИ в SOC полезен не как «замена специалиста», а как способ убрать из очереди массовую ручную работу. Система может собрать контекст по тревоге, проверить активы, сопоставить события из разных источников, найти похожие случаи и подготовить краткое объяснение для аналитика.
По данным Prophet Security, компания JB Poindexter & Co, где работает 8,5 тыс. человек, в 2025 году пропустила через платформу Prophet AI 4 407 расследований за 60 дней. Среднее время расследования оказалось меньше четырёх минут. В пересчёте компания вернула команде около 1 469 часов работы аналитиков.
Другой пример из материала — Cabinetworks. Компания обработала 3 200 тревог за 33 дня, а к человеку ушли только шесть случаев. Там же зафиксировали сокращение расходов на SIEM на 90 %.
SIEM (Security Information and Event Management — управление событиями и информацией безопасности) часто хранит огромные объёмы телеметрии только потому, что аналитикам нужно вручную искать связи между событиями. Если ИИ сам обращается к исходным системам — например, EDR (Endpoint Detection and Response — обнаружение и реагирование на конечных устройствах) и журналам учётных записей, — часть дорогого хранения теряет смысл.
Ограничения: магии не будет
ИИ не исправит хаос в процессах. Если в компании нет понятных правил критичности, неполны журналы событий, а доступы к системам выданы без контроля, автоматизация лишь быстрее покажет старые проблемы.
Внедрение тоже требует времени. По оценке Prophet Security, командам обычно нужны от двух до четырёх недель настройки до стабильной работы. За это время SOC уточняет правила, убирает ложные совпадения, проверяет качество выводов и решает, какие случаи человек должен видеть всегда.
Важен и вопрос доверия. ИИ не должен молча закрывать опасные события без следа. Нужны журнал действий, понятное объяснение вывода, контроль со стороны старшего аналитика и возможность быстро пересмотреть решение.
Отдельный слой — защита каналов работы. Аналитики, администраторы и руководители часто подключаются к корпоративным системам из дома, кафе, отелей и коворкингов. Для таких сценариев уместен сервис безопасного интернет-соединения, который помогает снизить риски перехвата данных в публичных сетях.
Как проверить свой SOC уже сейчас
Эти вопросы подойдут не только крупным компаниям. Их можно использовать в банке, интернет-магазине, производственной фирме или ИТ-команде, которая сама следит за инцидентами.
- Посчитайте, какую долю тревог выше вашего порога расследования команда реально разобрала за прошлый квартал. Если меньше 90 %, у вас есть слепая зона.
- Проверьте, сколько правил детектирования вы отключили за 12 месяцев без задачи на замену контроля. Каждое такое отключение расширяет поверхность атаки.
- Оцените текучесть старших аналитиков и срок выхода новичка на продуктивную работу. Если замена занимает больше полугода, знания слишком сильно завязаны на отдельных людей.
- Смоделируйте рост тревог в два раза. Что команда перестанет делать первым? Этот участок уже перегружен.
- Разделите задачи: что должен расследовать человек, а что можно отдать автоматизации с обязательным журналом действий.
- Проверьте свежесть патчей и критичных систем. Например, администраторы хостинга уже получили повод свериться с обновлениями после того, как cPanel и WHM закрыли три уязвимости.
- Не оценивайте ИИ-платформу только по красивой демонстрации. Попросите показать, как она объясняет выводы, работает с вашими источниками данных и передаёт сложные случаи человеку.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.