Инхаус или аутсорс SOC: как выбрать модель для вашей компании

от

С чего начать: не цена, а цена плюс риск

Когда речь заходит о защите компании, первым делом хочется посчитать деньги: зарплаты специалистов против абонентской платы подрядчику. Но такой подход — первый шаг к ошибке. Эффективность SOC измеряется не затратами, а способностью снижать потери от инцидентов. Инхаус дешевле аутсорса, если нанять одного аналитика и купить ему SIEM. Но дешевле ли он для бизнеса, который из-за этого одного аналитика не заметит целевой атаки? Считать нужно полную стоимость владения (TCO), куда входят и зарплаты, и софт, и риск простоя, и упущенная выгода от срыва проектов.

Границы контроля: что вы получаете, а что отдаёте

При выборе между инхаусом и аутсорсом вы определяете, что останется под вашим прямым управлением, а что делегируется на сторону. Эта граница проходит не только по технологиям, но и по процессам.

Инхаусная команда: максимальный контроль и полная ответственность

  • Процессы. Вы сами определяете SLA, политики реагирования, приоритеты. Если нужно провести расследование в 3 часа ночи — вы отдаёте приказ своей команде. Никаких согласований с менеджером подрядчика.
  • Контекст. Ваши аналитики знают вашу сеть, ваши сотрудники, ваши бизнес-процессы. Они понимают, что критично, а что — нет. Это знание невозможно быстро передать сторонней команде.
  • Быстрая интеграция. Подключение нового филиала, переход на новую CRM, внедрение DevSecOps — всё это делается силами вашей же команды, без дополнительных согласований и коммерческих предложений от вендора.
  • Полная ответственность. В случае провала виноваты вы сами. Нет возможности сослаться на нерасторопность подрядчика в суде или перед регулятором.

Аутсорсный SOC: экспертиза в аренду и снятие операционной нагрузки

  • Коллективная экспертиза. Хороший аутсорсер видит тысячи инцидентов в месяц у разных клиентов. Ваша инхаус-команда, скорее всего, столкнется с десятком за год. Подрядчик приносит эту статистику и паттерны атак, которые вы не видите в своей изолированной сети.
  • Круглосуточная доступность. Организовать 24/7 мониторинг силами штатных сотрудников — дорого и сложно морально. Аутсорсер предоставляет смены аналитиков как сервис.
  • Снижение нагрузки на HR и админов. Не нужно искать редких специалистов по Threat Hunting, платить за их сертификации и бороться с их уходом к конкурентам. Всё это — проблема подрядчика.
  • Передача части ответственности. Договор с аутсорсером формализует зоны ответственности. Если случился инцидент из-за неисправности их SIEM или ошибки их аналитика — можно предъявить претензию. Но ответственность за конечный ущерб для бизнеса всё равно лежит на вас.

Кому что подходит: размер, зрелость и отрасль

Не существует универсального ответа. Решение зависит от трёх ключевых факторов.

Критерий Скорее инхаус Скорее аутсорс
Размер компании Крупные холдинги с собственной ИТ-инфраструктурой, госсектор с требованием изоляции. Средний бизнес (сотни сотрудников), стартапы, компании с распределённой сетью филиалов.
Зрелость ИБ Есть выделенный CISO, сформированные процессы управления рисками, внутренние комплаенс-требования. ИБ-служба только формируется или состоит из 1-2 человек. Основная задача — быстро получить работающий мониторинг.
Отраслевые требования ФСТЭК, 152-ФЗ, отраслевые стандарты (например, ПКЗ), где требуется полный контроль над данными и процессами. Общие требования по защите персональных данных без жёсткой привязки к инфраструктуре, коммерческие компании.

Скрытые расходы: что не попадает в первое коммерческое предложение

При сравнении моделей часто упускают из виду существенные затраты, которые всплывают позже.

  • Инхаус.
    • Обучение и удержание. Специалист по анализу угроз за год может устареть без постоянного обучения. Конференции, курсы, платные threat intelligence-фиды — всё это дополнительные десятки тысяч рублей в год на человека.
    • Инфраструктура. SIEM, это не только лицензия. Это сервера для сбора логов, хранилище, специалист по её поддержке. Плюс стоимость интеграторов для настройки.
    • Бюрократия. Процедуры найма, оформления, обеспечения рабочими местами, закупка техники.
  • Аутсорс.
    • Интеграция и адаптация. Подрядчик предоставит вам панель управления, но чтобы его аналитики понимали ваш контекст, потребуется несколько недель или месяцев совместной работы ваших администраторов. Это время ваших сотрудников.
    • Доработки под специфику. Если у вас уникальная система учёта или самописное ПО, стандартные правила корреляции аутсорсера могут не сработать. За доработку правил под ваш кейс скорее всего выставят отдельный счёт.
    • Скрытая «привязка». Перейти с одного аутсорсера на другого сложно. За время работы накоплены тонкие настройки, история инцидентов, обученные вашей инфраструктуре аналитики. Это создает операционные издержки при смене подрядчика.

Гибридная модель: не компромисс, а стратегия

Самый распространённый и часто оптимальный путь — гибрид. Вы не выбираете «или/или», а разделяете функции.

Пример: Аутсорсеру отдаётся первый уровень (L1) — круглосуточный мониторинг, первичная классификация и эскалация событий. Ваша инхаус-команда (L2/L3) занимается углублённым расследованием (Threat Hunting), взаимодействием с внутренними отделами, реагированием на эскалированные события, работой с регуляторами.

Такой подход позволяет получить преимущества обоих моделей: круглосуточное покрытие и широкую экспертизу от аутсорса, а также глубокое понимание контекста и контроль над критическими инцидентами — от своей команды.

ФСТЭК и 152-ФЗ: регуляторный аспект

Для многих российских компаний решающим фактором становятся требования регуляторов.

  • Инхаус даёт максимальное соответствие. Вы полностью контролируете, где и как обрабатываются логи (в том числе персональные данные). Легче выполнить требования о локализации и обеспечить безопасность передаваемых данных.
  • Аутсорс требует тщательной юридической проработки. Необходим договор поручения на обработку персональных данных (152-ФЗ). Нужно убедиться, что подрядчик соответствует требованиям ФСТЭК по защите информации и имеет необходимые лицензии (например, на деятельность по ТЗКИ). Ваши логи будут передаваться в инфраструктуру подрядчика, что создаёт дополнительные риски и точки контроля.

На практике многие госкомпании и организации с повышенными требованиями выбирают инхаус именно из-за сложности согласования аутсорсинга с регулятором.

Что считать эффективностью: метрики для каждой модели

Эффективность нельзя измерить одинаково для разных моделей.

  • Для инхауса: среднее время на расследование инцидента (MTTR), процент ложных срабатываний, покрытие инфраструктуры агентами/датчиками, время восстановления работоспособности после инцидента.
  • Для аутсорса: соблюдение SLA на реакцию, полнота и понятность отчётов, количество выявленных угроз, недоступных вашим внутренним средствам, скорость внедрения новых правил обнаружения.
  • Общая метрика для любого SOC: снижение операционных потерь от киберинцидентов. Если затраты на SOC (инхаус или аутсорс) меньше, чем финансовые потери, которых удалось избежать, — он эффективен.

Итог: не «что дешевле», а «за что мы платим»

Вопрос «инхаус или аутсорс» — неправильный. Правильный вопрос: какие функции мониторинга и реагирования критичны для нашего бизнеса и должны оставаться под нашим прямым контролем, а какие можно доверить внешним экспертам, чтобы сэкономить время и ресурсы?

Инхаус, это инвестиция в собственную экспертизу и полный контроль, но с высокой начальной стоимостью и операционными сложностями. Аутсорс, это способ быстро получить сервис и доступ к широкой базе знаний, но с потерей части контроля и долгосрочной зависимостью от подрядчика.

Для большинства организаций ответ лежит посередине: ключевые расследования и связь с бизнесом — внутри, рутинный мониторинг и первичный анализ — вовне. Такой подход позволяет платить за то, что действительно создаёт ценность, а не просто за наличие команды или абонентскую плату.

Оставьте комментарий