Технологический суверенитет: как команда ИБ реализовала собственный SOC

Более тысячи инцидентов безопасности за один квартал — это не сюжет киберпанк-романа, а повседневная реальность команды И Б Центра корпоративных решений. В 2025 году проект «ИТ-безопасность и независимость» перешел из разряда планов в статус одного из ключевых достижений года. Поговорим о проекте, сложностях и нюансах с Ильей Чистяковым, руководителем SOC.

Долгое время процесс обеспечения кибербезопасности в Компании строился на гибридной модели. За первичную обработку событий и администрирование SIEM и IRP систем отвечал внешний провайдер, в то время как внутренние специалисты проводили углубленный анализ и принимали финальные решения.

Действительно, переход от аутсорсинговой к собственной модели (In-house SOC) требовал бесшовной реинтеграции систем в связи с отключением части процессов внешнего провайдера. Самым сложным этапом стала адаптация контента обнаружения угроз и перенастройка сценариев в условиях, когда привычные механизмы интеграции перестали работать. В связи с изменением структуры данных, часть методов API в одной из систем стала недоступна к использованию, что нарушило штатную интеграцию.

В момент, когда инфраструктура оказалась в тяжелом состоянии, команда проявила инженерную смекалку. Один из специалистов SOC разработал интеграционную «прослойку», которая позволила восстановить связь между компонентами и вернуть полноценную работоспособность систем без прерывания мониторинга.
Нам удалось реализовать максимально плавный переход от внешних сервисов к внутренним, сохранив непрерывность процессов. Несмотря на возникшие технические сложности с интеграцией, решение мы нашли собственными силами.

Сегодня наш проект — это уже не просто фундамент, а работающий двигатель. Команда не останавливается на достигнутом: сейчас фокус внимания смещен на еще более амбициозную задачу — интеграцию больших языковых моделей (LLM) в повседневные процессы SOC. Речь идет о создании интеллектуальных агентов, способных не просто уведомлять об угрозе, а самостоятельно анализировать контекст инцидента и предлагать варианты автоматизированного реагирования.

Проект уже демонстрирует впечатляющую эффективность, которую можно измерить не только деньгами, но и временем. Время реакции на инциденты сократилось до 20 раз — теперь оно составляет порядка 5 минут, а прогнозируемый годовой экономический эффект оценивается в десятки миллионов рублей. Процессы стали полностью управляемыми и прозрачными для бизнеса.