Сравнение топ-5 российских MSSP (уровень реагирования, SLA, цена за endpoint)
«Если вы не готовы нанимать команду из тридцати специалистов, то аутсорс SOC — единственный способ получить круглосуточный мониторинг. Но не все MSSP равны. Разница не в цвете дашборда, а в деталях контракта: кто именно и за сколько минут берет трубку, какие инциденты считаются нарушением SLA и почему цена за рабочее место в конечном счете может быть в два раза выше объявленной. Здесь мы смотрим на те параметры, которые обычно остаются за кадром презентаций.»
Выбор поставщика услуг управляемой безопасности (MSSP), это компромисс между бюджетом, скоростью реакции и глубиной экспертизы. Ориентироваться только на рекламные материалы или стоимость за endpoint бессмысленно, потому что под одной и той же формулировкой «круглосуточный SOC» скрываются принципиально разные модели работы. Решение влияет на выполнение требований 152-ФЗ и ФСТЭК, а ошибка в выборе означает либо пустую трату денег, либо серьёзные риски при реальной атаке.
Критерии, по которым стоит сравнивать MSSP
Цена за endpoint — лишь точка входа. Чтобы понять реальную ценность, нужно разобрать договор на составляющие и оценить каждую по трём ключевым группам критериев.
Операционные показатели и SLA
Уровень обслуживания (SLA) в сфере безопасности, это не про uptime системы, а про время реакции людей. Обратите внимание на следующие детали:
- Время реакции (Response Time): Различают время обнаружения и время уведомления. В договоре должно быть чётко прописано: «Мы обнаруживаем инцидент класса А и уведомляем клиента в течение Х минут». Важно, отсчитывается ли время с момента появления алерта в SIEM или с момента его верификации аналитиком.
- Степень детализации инцидентов: SLA на «критические» инциденты в 15 минут — стандарт. Но что считается критическим? Попадание в топ-10 MITRE ATT&CK? Обнаружение запущенного рансома? Попытка выгрузки больших объёмов данных? Если критерии размыты, провайдер формально ничем не обязан.
- Канал эскалации и доступность: Круглосуточный телефонный номер, по которому отвечает живой инженер, а не автоответчик, — обязательный минимум. Уточните, есть ли выделенный канал в корпоративном мессенджере или тикет-системе с гарантированным временем ответа.
Технологический стек и интеграции
Провайдер не обязан раскрывать внутреннее устройство своего SOC, но вы должны понимать, на чём строится мониторинг.
- Платформа SIEM/SOAR: Используется ли российское ПО, соответствующее требованиям ФСТЭК, или адаптированное зарубежное решение? От этого зависит скорость обновления правил детектирования под новые угрозы и возможность интеграции с вашей инфраструктурой.
- Источники телеметрии: Стандартный набор — логи межсетевых экранов, EDR-агенты, NetFlow. Продвинутые MSSP подключают анализ трафика в зашифрованных каналах (без расшифровки, через поведенческие метрики), мониторят облачные среды и корпоративные приложения.
- Автоматизация реагирования (SOAR): Уточните, какие рутинные операции автоматизированы: блокировка IP-адреса, изоляция хоста, сброс пароля пользователя. Автоматизация сокращает время реакции с часов до секунд, но требует чётких playbook, согласованных с клиентом.
Экспертиза и модель взаимодействия
Здесь кроется главное различие между дешёвыми и дорогими услугами.
- Уровень аналитиков: SOC бывает трёх уровней (L1, L2, L3). Дешёвые услуги часто ограничиваются L1 — операторами, которые фильтруют ложные срабатывания по шаблону. Серьёзный инцидент требует аналитика L2 или инженера-исследователя (L3). Узнайте, кто именно работает с вашим контрактом и какова их квалификация.
- Проактивная деятельность: Помимо реакции на алерты, хороший MSSP занимается Threat Hunting — целенаправленным поиском скрытых угроз, анализом цифровых следов (Threat Intelligence) применительно к вашему сегменту рынка и регулярным пересмотром правил детектирования.
- Отчётность и reviews: Ежемесячный отчёт с графиками, это минимум. Полезны ежеквартальные встречи с разбором инцидентов, рекомендациями по улучшению безопасности и актуализацией модели угроз вашей компании.
Анализ моделей ценообразования: не только за endpoint
Цена «за рабочее место» или «за сервер» — упрощённая модель, которая удобна для старта, но может стать невыгодной.
| Модель ценообразования | Как считается | Плюсы | Минусы | Кому подходит |
|---|---|---|---|---|
| За endpoint (устройство) | Фиксированная плата за каждое рабочее место/сервер с EDR-агентом. | Простота прогнозирования бюджета, легко масштабировать. | Компании со стандартной IT-инфраструктурой, где основная угроза — на пользовательских устройствах. | |
| За объём телеметрии | Плата за гигабайты или миллионы событий в день, поступающих в SIEM. | Справедливая оплата за реальную нагрузку на SOC. Стимулирует клиента к настройке фильтрации ненужных логов. | Сложно прогнозировать бюджет. Резкий рост трафика (например, при атаке) ведёт к резкому росту затрат. | Крупные организации с разнородной инфраструктурой, где количество устройств плохо коррелирует с объёмом логов. |
| Комбинированная (подписка + проектная работа) | Базовая подписка за мониторинг + отдельные часы на Threat Hunting, пентесты, расследование инцидентов. | Позволяет гибко наращивать экспертизу. Базовая защита есть всегда. | Требует активного управления со стороны клиента, чтобы контролировать расходы на допуслуги. | Компании, которые уже имеют внутреннюю команду безопасности и используют MSSP для усиления или покрытия «ночных смен». |
При запросе коммерческого предложения обязательно уточните, что входит в базовую стоимость, а что оплачивается отдельно. Часто отдельно тарифицируются: интеграция новых источников логов, расследование сложных инцидентов (Digital Forensics), разработка кастомных правил детектирования, обеспечение соответствия требованиям регуляторов (например, подготовка отчётов для ФСТЭК).
Оценка пяти типичных игроков на российском рынке
Российский рынок MSSP можно условно разделить на несколько сегментов. Мы рассмотрим не конкретные компании, а типы поставщиков, каждый со своей стратегией, сильными и слабыми сторонами.
Тип 1: Крупный интегратор с унаследованным SOC
Часто это дочерняя структура или направление большого системного интегратора. Их сильная сторона — глубокое знание корпоративного рынка, опыт внедрения сложных СЗИ и готовые интеграции с распространённым в госсекторе и крупном бизнесе ПО. SLA у них обычно строгие, прописанные под требования 152-ФЗ и приказов ФСТЭК. Однако скорость внедрения и адаптации под конкретного клиента может быть низкой из-за бюрократических процедур. Ценообразование часто непрозрачное, итоговая стоимость формируется после длительного предпроектного обследования. Подходят для крупных государственных заказчиков и организаций с жёсткими требованиями к использованию отечественного ПО.
Тип 2: Фокусный игрок, «фабрика SOC»
Эти компании строят бизнес исключительно на услугах безопасности. Они разработали стандартизированную, «конвейерную» модель подключения клиентов, что позволяет предлагать конкурентную цену за endpoint. Они быстро подключают стандартные источники логов, используют современные и часто более гибкие платформы. Минус — экспертиза может быть «широкой, но не глубокой»: они отлично справляются с типовыми инцидентами, но при сложной целевой атаке могут не располагать необходимыми узкоспециализированными специалистами. SLA по времени реакции обычно очень агрессивные (5-10 минут), но важно читать, на какие именно категории алертов они распространяются.
Тип 3: Разработчик СЗИ с услугой мониторинга
Производители средств защиты информации (например, EDR или межсетевых экранов) часто предлагают их в формате подписки с облачным SOC. Главное преимущество — идеальная, «родная» интеграция: их аналитики лучше всех знают, как интерпретировать события со своих же агентов. Технологический стек единый и оптимизированный. Однако вы оказываетесь привязаны к их экосистеме. Подключение сторонних источников телеметрии может быть сложным или вовсе невозможным. Такая модель хорошо подходит для среднего бизнеса, который хочет получить «коробочное» решение «всё в одном» без сложных интеграций.
Тип 4: Нишевый эксперт по отраслевым угрозам
Небольшие команды, которые специализируются на конкретных отраслях: финансы, телеком, промышленные системы (АСУ ТП). Их главная ценность — не в скорости реакции, а в понимании предметной области и специфических векторов атак. Они могут предложить уникальные правила детектирования для SCADA-протоколов или знать особенности атак на процессинговые центры. Цена за endpoint здесь, как правило, самая высокая, так как оплачивается узкая экспертиза. SLA может быть менее формализованным, но уровень доверия и качества рекомендаций — максимальным.
Тип 5: Телеком-оператор с услугами безопасности
Крупные операторы связи активно развивают направления кибербезопасности, предлагая их в bundle с каналом связи. Их ключевое преимущество — возможность анализа сетевого трафика на уровне магистрали, ещё до входа в вашу сеть. Это позволяет детектировать некоторые угрозы раньше. Интеграция с другими услугами (например, облачными) может быть удобной. Однако их SOC часто работает по модели массового обслуживания, и индивидуальный подход к клиенту может страдать. Подходят для распределённых сетей филиалов, где критически важна безопасность каналов связи.
Что спросить у провайдера перед подписанием договора
Переговоры с MSSP, это процесс взаимного погружения. Подготовьте список вопросов, которые раскроют реальную картину.
- По инцидентам и SLA: «Приведите три примера инцидентов, которые за последний месяц вы классифицировали как критические для клиентов из нашей отрасли. За сколько минут по каждому из них было отправлено уведомление?»
- По технологиям: «Как вы обеспечиваете детектирование атак в зашифрованном трафике без его расшифровки? Какие источники Threat Intelligence вы используете и как они применяются к нашему профилю?»
- По команде: «Сколько аналитиков L2 и L3 будет закреплено за нашим аккаунтом? Какова их средняя экспертиза в годах и есть ли у них сертификации?»
- По скрытым затратам: «Что НЕ входит в базовую стоимость? Как тарифицируется донастройка правил, интеграция нового сервера приложений или расследование инцидента, которое заняло более 4 часов?»
- По отчётности для регулятора: «Предоставляете ли вы готовые отчёты или выписки из SIEM, которые можно представить в ФСТЭК для проверки выполнения требований о непрерывном мониторинге?»
Попросите показать демонстрационный доступ к порталу клиента и пример полного отчёта об инциденте. Обратите внимание на степень детализации: в хорошем отчёте будет не просто «обнаружена вредоносная активность», а цепочка событий от точки входа до потенциального ущерба с указанием IoC (Indicators of Compromise) и конкретных рекомендаций по нейтрализации.
Итог: на что делать ставку при выборе
Цена за endpoint — удобный, но поверхностный метрик. Дешевый MSSP может сэкономить бюджет, но оставить вас с ложным чувством защищённости, когда операторы SOC лишь закрывают тикеты, а не ищут угрозы. Дорогой — может предложить избыточную для вашего уровня зрелости экспертизу.
Ключевое решение лежит в определении вашей реальной потребности: вам нужен «сигнализация», которая громко сработает при взломе, или «частная охранная служба», которая будет патрулировать периметр и пресекать попытки? Для первой задачи подойдёт провайдер с чётким SLA на реакцию и стандартным набором датчиков. Для второй — поставщик, который делает акцент на проактивных услугах, охоте за угрозами и глубокой аналитике.
В российских реалиях дополнительным фильтром должно стать понимание технологического стека провайдера с точки зрения импортозамещения и требований регуляторов. Услуга, построенная на невалидированном ФСТЭК зарубежном ПО, в будущем может создать больше проблем, чем решить.
В конечном счёте, выбор MSSP, это выбор долгосрочного партнёра по безопасности. Его компетенции становятся продолжением ваших. Поэтому главный критерий — не цифра в прайс-листе, а степень доверия и ясность в ответах на неудобные вопросы о том, как всё будет работать в ночь реальной атаки.