# Информационная безопасность 2025: SIEM и SOC

Canonical: https://www.kt-team.ru/blog/cybersecurity-2025-siem-soc-soar-edr-xdr-dlp-waf-cryptography

Source: https://www.kt-team.ru/blog/cybersecurity-2025-siem-soc-soar-edr-xdr-dlp-waf-cryptography

03.10.2025

Обзор SIEM, SOC, SOAR, EDR, XDR, DLP, WAF и криптографии для защиты ИТ-инфраструктуры и бизнеса.

Canonical URL: https://www.kt-team.ru/blog/cybersecurity-2025-siem-soc-soar-edr-xdr-dlp-waf-cryptography

Original URI: /blog/cybersecurity-2025-siem-soc-soar-edr-xdr-dlp-waf-cryptography

## SEO / GEO Metadata

- Title: Информационная безопасность 2025: SIEM и SOC

- Description: Обзор SIEM, SOC, SOAR, EDR, XDR, DLP, WAF и криптографии для защиты ИТ-инфраструктуры и бизнеса.

- Canonical: https://www.kt-team.ru/blog/cybersecurity-2025-siem-soc-soar-edr-xdr-dlp-waf-cryptography

- Robots: not specified

- JSON-LD blocks: 2

Каждая **вторая**российская компания [подверглась](https://www.kp.ru/daily/27747/5138291/?utm_source=chatgpt.com) кибератаке в 2025 году. **96%** компаний [имеют](https://rb.ru/news/dyry-v-kiberzashite-biznesa-96-rossijskih-kompanij-s-uyazvimostyami-spros-na-vneshnie-proverki-vyros-na-48/?utm_source=chatgpt.com) уязвимости в киберзащите. Злоумышленники чаще используют сложные целевые атаки, ущерб от которых - миллионные убытки, простои, потеря репутации, клиентов и бизнеса. Средства информационной безопасности становятся для компаний стратегическим направлением, от которого зависит устойчивость, доверие клиентов и соблюдение законодательства.

## Технологическое многообразие средств ИБ

### SIEM / SOC / SOAR

**SIEM**собирает данные логов / событий из СУБД, ОС, сетевого оборудования, приложений, нормализует, коррелирует и выявляет инциденты. **SOC**- это служба реагирования, которая обрабатывает тревоги, расследует и управляет инцидентами. **SOAR** автоматизирует реагирование: запускает плейбуки, создает тикеты, снижает нагрузку на сотрудников.

**Бизнес-ценность:**

- Снижение средних убытков от простоев, штрафов, утечек.

- Экономия на расследованиях и аудите на 30%: централизованные логи автоматически формируют доказательную базу.

- [Снижение](https://securitymedia.org/info/soar-v-promyshlennosti-kak-avtomatizatsiya-pomogaet-spravlyatsya-s-kiberatakami-v-usloviyakh-kadrovo.html) MTTR на 80%.

- Снижение нагрузки на команду на 50%.

- Возможность показать эффективность ИБ руководству через KPI.

**Критерии выбора:**

1. **Масштабируемость и производительность** - возможность обработки миллионов событий в секунду при росте ИТ-ландшафта.

2. **Наличие готовых коннекторов и адаптеров**под российские ОС, компоненты, СУБД, приложения и инфраструктуру.

3. **Корреляционные правила и интеллектуальные модели** - поддержка поведенческих моделей, машинного обучения, связи с [MITRE ATT&CK](https://www.anti-malware.ru/analytics/Technology_Analysis/MITRE-ATT-CK-for-cybersecurity-purposes).

4. **Инструментарий реагирования** - возможность автоматизации плейбуков, интеграция с тикетными системами и ИТ-СРМ.

5. **Сертификация / соответствие ФСТЭК / ФСБ,**особенно для госсектора и объектов критической инфраструктуры.

6. **SOC-услуги / поддержка 24×7** - наличие партнерской экосистемы SOC или возможность внешнего сопровождения.

7. **Общий TCO,** включая затраты на лицензии, содержание аналитиков, инфраструктуру и сопровождение.

### Защита конечных точек - EDR / XDR

EDR контролирует и реагирует на угрозы на рабочих станциях, мобильных устройствах, серверах. Технология фиксирует поведение процессов, сетевые соединения, попытки эскалации прав, скрытую активность. XDR расширяет эту модель, объединяя данные с других слоев - сеть, почта, облако.

**Бизнес-ценность:**

- [Снижение](https://www.securitylab.ru/news/550454.php?utm_source=chatgpt.com) критичных инцидентов на 15-25%.

- Сокращение времени простоя рабочих мест и серверов на 40%.

- Снижение риска массового шифрования данных, возможность сэкономить на выплатах и восстановлении.

- Удешевление страхования киберрисков на 10-20% при наличии сертифицированного EDR.

- Укрепление бренда благодаря защите данных клиентов и сотрудников.

**Критерии выбора:**

- Простота установки и управления агентами.

- Минимальное воздействие на производительность устройств.

- Возможность автоматического реагирования - отката, блокировки.

- Интеграция с SIEM / SOC / SOAR.

- Наличие анализа поведения.

- Среднее время обнаружения < 30 минут.

- Уровень автоматического реагирования > 70%.

### Защита от утечек данных (DLP)

DLP контролирует экспорт и импорт файлов - запись на USB и съемные носители, пересылки по почте и в мессенджерах. Система сканирует содержимое документов, мониторит доступ к хранилищам данных и облачным сервисам для предотвращения маскированных утечек.

**Бизнес-ценность:**

- Предотвращение утечек критичных данных - контрактов, чертежей, ноу-хау - на 60%.

- Снижение штрафов за нарушение законодательства о ПДн.

- Сохранение конкурентных преимуществ - патентов, НИОКР.

- Минимизация репутационных потерь и судебных исков.

**Критерии выбора:**

- Глубина анализа - контент, контекст, метаданные.

- Поддержка различных каналов: USB, облака, мессенджеры.

- Интеграция с классификацией данных / IDM / SIEM.

- Масштабируемость в распределенной инфраструктуре.

- Возможность гибкого управления политиками.

- Уровень ложных срабатываний < 3%.

### Сетевая безопасность: WAF, NGFW, Anti-DDoS, ZTNA

Эти классы средств работают "‎на границе"‎ инфраструктуры - защищают от внешних атак и DDoS, фильтруют веб-трафик, контролируют доступ к ресурсам.

| Средство | Суть | От чего защищает | Как работает |

| --- | --- | --- | --- |

| WAF | Файрвол для веб-приложений | SQL-инъекции;
 XSS;
 CSRF - подделка межсайтовых запросов;
 Внедрение команд, обход каталога, включение файлов | Проверяет запросы между пользователем и веб-приложением по сигнатурам и поведенческим правилам, блокирует вредоносные |

| NGFW | Совмещение файрвола с системами обнаружения и предотвращения вторжений, фильтрацией приложений и SSL / TLS-инспекцией | Несанкционированный трафик по IP / портам;
 Атаки внутри приложений | Анализирует пакеты до уровня приложений. Понимает протоколы, распознает атаки, может расшифровывать SSL-трафик. Предотвращает вторжения и контролирует контент |

| Anti-DDoS | Средства защиты от DDoS-атак | UDP-, SYN- и HTTP-флуд, многовекторные атаки;
 Слоевые и прикладные атаки | Перенаправляет трафик через фильтрующий центр или устройство, в котором анализирует пакеты и отбрасывает подозрительные |

| ZTNA | Модель доступа "нулевого доверия": не доверяет по умолчанию ни одному пользователю или устройству, даже если они "внутри сети" | Внутренние угрозы и компрометации учетных данных;
 Распространение атаки по сети;
 "Пробитый периметр" - актуально при удаленной работе | Предоставляет доступ к приложению или ресурсу только после проверки личности, устройства, контекста, риска;
Применяет принцип "минимально необходимого доступа" и постоянной проверки;
Работает через прокси, шлюзы или облачные платформы, которые авторизуют каждое соединение |

**Бизнес-ценность:**

- Уменьшение простоев онлайн-сервисов на 80-90% - сохранение выручки.

- Обеспечение SLA по доступности.

- Повышение отказоустойчивости e-commerce и финтех-сервисов.

- Снижение затрат на экстренное устранение последствий атак.

- Повышение доступности и скорости сервисов, которое увеличивает лояльность клиентов.

В 2025 году число DDoS-атак в России [выросло](https://cisoclub.ru/otchet-selectel-kolichestvo-ddos-atak-v-pervom-polugodii-2025-goda-uvelichilos-vdvoe-po-sravneniju-s-analogichnym-periodom-2024-goda/#:~:text=%D0%A1%D1%80%D0%B5%D0%B4%D0%BD%D1%8F%D1%8F%20%D0%BF%D1%80%D0%BE%D0%B4%D0%BE%D0%BB%D0%B6%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D0%BE%D1%81%D1%82%D1%8C%20%D0%BE%D0%B4%D0%BD%D0%BE%D0%B9%20%D0%B0%D1%82%D0%B0%D0%BA%D0%B8%20%D0%BD%D0%B5,%D0%BC%D0%BE%D1%89%D0%BD%D1%8B%D1%85%2C%20%D0%BD%D0%BE%20%D0%BA%D1%80%D0%B0%D1%82%D0%BA%D0%BE%D0%B2%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%BD%D1%8B%D1%85%20%D1%83%D0%B3%D1%80%D0%BE%D0%B7%C2%BB.) на **50%** по сравнению с 2024 годом, длительность - до **96,5 часов**.

**Критерии выбора:**

- Пропускная способность от 100 Гбит/с и масштабируемость.

- Латентность при обработке.

- Качество WAF-правил и защита от "атаки нулевого дня‎".

- Поддержка проверки SSL / TLS.

- Интеграция с SIEM / SOC.

- Надежность защиты против многовекторных атак.

### Криптография, PKI и шифрование

Криптографические системы и средства шифрования обеспечивают конфиденциальность и целостность данных при хранении или передаче. **PKI**автоматически выпускает и отзывает сертификаты, чтобы сотрудники, подрядчики и сервисы получали безопасный доступ к ресурсам без сбоев и ручных настроек.

**Бизнес-ценность:**

- Соответствие регуляторным требованиям - возможность работать без штрафов.

- Безопасная работа филиалов и подрядчиков увеличивает скорость процессов без риска утечек.

- Защита репутации, сохранение доверия партнеров.

- Возможность участвовать в тендерах, где шифрование по ГОСТ - обязательное условие.

**Критерии выбора:**

- Сертификация ГОСТ / соответствие ФСТЭК и ФСБ.

- Возможность интеграции с DLP, SIEM, приложениями.

- Управление жизненным циклом ключей: KMS, резервирование.

- Поддержка аппаратных криптомодулей.

- Время на выпуск сертификата < 10 минут.

- Уровень автоматизации жизненного цикла ключей > 80%.

### Аудит, тестирование на проникновение, Red Team

[**Аудит ИТ‑инфраструктуры**](https://www.kt-team.ru/product-pages/it-audit)**и оценка зрелости ИБ**- проверка соответствия стандартам, поиск уязвимостей, дублей и неэффективных узлов.

**Пентест** - тестирование на проникновение. Это проверка уязвимостей под конкретную цель, обнаружение брешей в ИБ "‎снаружи".

**Red Team** - моделирование продвинутых атак. Включает социальную инженерию, сценарии APT, исследование защищенности и реакции команды.

**Бизнес-ценность:**

- Выявление уязвимостей до того, как ими воспользуются злоумышленники.

- Прозрачность перед советом директоров, инвесторами, партнерами.

- Подготовка к сертификациям и тендерам, которые дают доступ к новым рынкам.

- Обоснование бюджета ИБ на реальных данных - результатах тестов.

- Повышение зрелости процессов ИБ.

**Критерии выбора:**

- Качество проделанных сценариев.

- Опыт работы с аналогичными инфраструктурами заказчика.

- Предоставление отчетов, дорожных карт и поддержки исправлений.

- Методологии - OWASP, OSSTMM, PTES.

## Кейсы, примеры, бизнес-эффекты

### Внедрение SIEM + SOC в банковском секторе

Банк с филиальной сетью ~200 отделений [внедрил](https://www.h-x.technology/ru/case-group/soc-cases-ru?utm_source=chatgpt.com) **MaxPatrol SIEM** и арендовал SOC-услугу от Positive Technologies. В течение первых **6 месяцев** число инцидентов снизилось, расследования ускорились на **40%**.

ROI достигнут через **18 месяцев** за счет избежания потерь, штрафов за утечки данных и репутационных рисков.

### DLP в финансовой компании

Крупная финансовая организация [внедрила](https://ixbt.pro/gotovye-reshenija/2023/06/30/dlp-v-finansovoi-organizacii-opyt-klienta-infowatch.html?utm_source=chatgpt.com) **InfoWatch Traffic Monitor + Activity Monitor** для контроля утечек через USB и почту. Результаты:

- За первые 3 месяца заблокировано 327 попыток пересылки конфиденциальных данных.

- Выявлено 12 инсайдерских сцен: утечки через "‎трояны от подрядчиков".

- Снижение рисков утечки позволило заключить контракт с иностранным партнером, который требовал высокий уровень защиты.

### Сетевая защита и защита веб-приложений

Провайдер услуг связи [внедрил](https://safe.cnews.ru/news/line/2020-05-13_solar_jsoc_vyyavil_10_tselevyh_atak?utm_source=chatgpt.com) WAF / NGFW + Anti-DDoS решение от **ГК Солар** для своих публичных порталов. Систему протестировали на высокую нагрузку, интегрировали с IRP и service desk. Было разработано более 300 правил выявления атак, благодаря которым:

- Объем DDoS-атак - до 200 Гбит/с - фильтруется по SLA.

- WAF-профили жестко настраиваются под сценарии атак на приложения - SQLi, XSS.

- Снизились простои и повысилась отказоустойчивость ключевых сервисов.

{{cta}}

## Методология выбора и внедрения средств ИБ: детальный чек-лист

### Подготовительный этап

1. **Инвентаризация активов.** Выявите все ИТ-активы, сервисы, базы данных, внешние каналы, удаленные точки.

2. **Оценка бизнес-рисков.** Приоритезируйте угрозы: утечки, шифровальщики, целевые атаки.

3. **Аудит текущего состояния ИБ.** Проанализируйте уязвимости, соответствие нормативам, зрелость SOC / процессов. В этом поможет [аудит цифровой зрелости](https://www.kt-team.ru/product-pages/digital-transformation-consulting) и инфраструктуры.

4. **Формирование целевой архитектуры защиты.** Решите, какие слои ИБ вам нужны: EDR, SIEM, DLP, WAF, криптография, SOC.

5. **Составление бюджета и бизнес-кейса.** Рассчитайте CAPEX и OPEX, сроки окупаемости, преимущества - предотвращенные потери и штрафы, сохранение репутации.

### Выбор поставщиков и решений

1. **Составьте перечень** из 3-5 вендоров, которые соответствуют вашим критериям.

2. **Запросите PoC / пилот** на реальной инфраструктуре на 4-8 недель.

3. **Оценивайте не только функциональность**, но и поддержку, сопровождение, SLA, локализацию.

4. **Смотрите на**[**экосистему безопасности**](https://www.kt-team.ru/solutions/informacionnaya-bezopasnost), а не на отдельное решение. Важно, как компоненты сочетаются между собой.

5. **Договоритесь об условиях сопровождения и обновлений**. Используя российское ПО, можно получить льготы и гранты от государства.

### Внедрение и интеграция

1. Проведите инструментальное подключение источников логов / событий.

2. Настройте корреляции, правила, сценарии реагирования.

3. Наймите или обучите персонал - аналитиков SOC, инженеров ИБ.

4. Проработайте процессы инцидент-менеджмента.

5. Проведите миграцию логики и политик с прежних систем.

6. Запустите пилот, проведите анализ и доработку систем.

7. Введите систему ИБ в полную эксплуатацию.

### Оценка эффективности и итерации

Проверка ROI позволяет понять, работают ли вложения в ИБ, и обосновывать руководству траты. Проверка оптимизации процессов выявляет, где система приносит реальный эффект.

**Метрики и KPI для оценки средств ИБ**

| Категория | Примеры KPI |

| --- | --- |

| Инциденты | Количество выявленных инцидентов, доля предотвращенных атак, снижение успешных атак |

| Реакция | Среднее время реакции и обнаружения, процент инцидентов, обработанных автоматически |

| Финансы | Экономия от предотвращенных инцидентов, снижение штрафов за несоблюдение законодательства |

| Регуляторика | Процент выполненных требований ФСТЭК / ФСБ, успешные аудиты и аттестации |

| Пользователи | Снижение числа жалоб на ИБ, удовлетворенность сотрудников процессами |

## Бизнес-риски и узкие места

### Недостаточная инвентаризация активов

**Суть:** Компании начинают внедрять SIEM, DLP, EDR без полного перечня систем, данных, пользователей.

**Почему критично:** Слепые зоны - незарегистрированные серверы, базы, филиалы - не мониторятся, не шифруются и остаются точкой входа.

**Что делать:** Сначала провести учет активов и потоков данных, чтобы четко знать, что защищать.

### Отсутствие классификации данных

**Суть:** Нет понимания, какие данные критичны, а какие второстепенны.

**Почему критично:** DLP и криптография работают "вслепую", политики слишком общие, много ложных срабатываний.

**Что делать:** Внедрить классификацию данных - метки конфиденциальности - и настроить DLP / шифрование под приоритеты.

### Нехватка кадров и компетенций

**Суть:** Даже при покупке современного SIEM / SOAR или EDR нужен штат аналитиков, инженеров, контент-менеджеров.

**Почему критично:** Без специалистов система "шумит", инциденты не расследуются, политики не обновляются.

**Что делать:** Сразу закладывать бюджет на SOC / аналитиков или аутсорсинг, планировать обучение персонала, [проводить корпоративные IT-тренинги](https://www.kt-team.ru/corporate-it-training).

### Сложная интеграция

**Суть:** Российский ИТ-ландшафт - смесь современных и устаревших систем: 1С, собственные разработки, старые ОС.

**Почему критично:** Нет готовых коннекторов, задержки внедрения, удорожание проектов.

**Что делать:** При выборе средств ИБ [проверять](https://www.kt-team.ru/blog/integrations-for-loosely-coupled-architecture) наличие API / SDK, готовых адаптеров, возможность кастомных интеграций.

### Зависимость от одного вендора

**Суть:** Закупка полного стека решений у одного производителя.

**Почему критично:** Риск роста цен, прекращения поддержки, ухода с рынка, несовместимости с новыми регуляторными требованиями.

**Что делать:** Смотреть на открытые стандарты, API, использовать многовендорный подход.

### Отсутствие процесса реагирования

**Суть:** После установки инструмента нет регламента действий при инциденте.

**Почему критично:** Инциденты висят в очереди, реакция занимает дни, ущерб растет.

**Что делать:** Прописывать плейбуки и эслакации, тренировать команду реагировать на инциденты.

### Слишком жесткие или мягкие политики

**Суть:**

- Жесткие политики приводят к ложным срабатываниям, недовольству и саботажу пользователей.

- Мягкие политики дают злоумышленникам совершать реальные атаки.

**Что делать:** Наладить процесс итерационной настройки правил: пилот → корректировка → масштабирование.

### Неполный охват инфраструктуры

**Суть:** Компании защищают только "ядро" - ЦОД, центральный офис, а филиалы, мобильные устройства, облачные сервисы остаются вне зоны контроля.

**Что делать:**Включать в проект весь периметр, использовать облачные агенты, ZTNA, прокси для SaaS.

### Недостаток тестирования

**Суть:** Системы внедрены, но не проверяются на обход.

**Что делать:** Раз в 6-12 месяцев проводить Red Team, пентест, имитацию APT, чтобы убедиться, что защита реально работает.

### Недооценка внутренних угроз

**Суть:** Фокус нацелен только на внешние атаки, а инсайдеры, подрядчики, удаленные работники остаются без контроля.

**Что делать:** Использовать DLP, IAM, ZTNA, мониторинг привилегированных аккаунтов.

### Как "разгрузить" узкие места

- **Проводить поэтапное внедрение:** пилот на одном участке, улучшить процессы, затем масштабировать.

- **Проводить регулярные обзоры.** Раз в квартал проверять KPI: MTTR, число инцидентов, ложные срабатывания.

- **Использовать комбинацию технологий и процессов.** Технология без регламента не работает.

- **Проводить обучение и развивать культуру ИБ.** Пользователи должны понимать суть ограничений.

- **Проводить аутсорсинг.** MSSP / SOC помогают закрыть кадровый дефицит и круглосуточный мониторинг.

## Дорожная карта для бизнеса

| Этап | Срок, месяцы | Основные задачи |

| --- | --- | --- |

| Подготовка | 0-3 | Аудит, инвентаризация, формулировка задач, выбор пилота |

| Пилот | 3-6 | Запуск ограниченного сценария, настройка, доработка |

| Внедрение | 6-12 | Полное покрытие, интеграции, обучение |

| Эксплуатация | 12+ | Поддержка, мониторинг, улучшения, контент |

| Развитие | 18-36 | Расширение: XDR, SOAR, поведенческое обнаружение |

Чтобы средства информационной безопасности приносили измеримый эффект, компаниям важно:

- провести аудит рисков и активов;

- внедрять решения поэтапно, начиная с пилота;

- регулярно проверять защиту через Red Team и пентесты;

- контролировать KPI: MTTR, ROI, доля предотвращенных атак;

- развивать внутренние компетенции или использовать поддержку MSSP / SOC.

Такой подход позволяет превратить ИБ в управляемый процесс: снижать убытки от атак, повышать выручку и показывать руководству прозрачную отдачу от инвестиций.

## FAQ

**Зачем компании инвестировать в информационную безопасность?**

Чтобы снизить риски утечек, простоя, штрафов и сохранить репутацию. Почти все российские компании имеют уязвимости в киберзащите, и средства ИБ помогают сохранять выручку и репутацию.

**Какие средства информационной безопасности в приоритете?**

SIEM / SOC-платформы, EDR / XDR, DLP-системы, криптография по ГОСТ, Anti-DDoS и сервисные модели MSSP.

**Можно ли построить киберзащиту только на российских решениях?**

Да. На рынке более 250 российских производителей и провайдеров ИБ-решений: Positive Technologies, "Лаборатория Касперского", Ростелеком-Солар, InfoWatch, Код Безопасности, С-Терра, КриптоПро. Они закрывают ключевые классы защиты.

**С чего начать малым компаниям?**

С базовых мер:

- установить EDR на критичные узлы;

- включить DLP для контроля утечек;

- защитить публичные ресурсы анти-DDoS;

- отдать мониторинг и реагирование на аутсорс - через MSSP или SOC.

Такой минимум позволяет закрыть основные угрозы и соответствовать требованиям регуляторов.

**Как оценить эффективность вложений в ИБ?**

Через KPI: количество инцидентов, среднее время реакции, снижение потерь от простоев и штрафов, выполнение регуляторных требований. Сопоставляйте затраты с потенциальным ущербом.

{{cta}}
