Почему ночной SOC спасает бизнес: угрозы, метрики реакции и цена отсутствия ночного мониторинга
Главная » Аналитика » Анализ технологий
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412
14 Ноября 2025 - 10:46

Что происходит в SOC, когда вся компания спит

Аватар пользователя Михаил Шеховцов
Михаил Шеховцов
Руководитель центра мониторинга Бастион
Вверх
Проголосовало: 12
...
Что происходит в SOC, когда вся компания спит

Ночная тишина для хакеров — лучшее время действовать. Пока офис спит, SOC ловит тени в сети: следы вымогателей, фишеров и скрипт-кидди. Постоянный мониторинг превращает ночь из слабого звена в щит, защищающий бизнес от киберударов.

 

 

 

 

 

 

  1. Введение
  2. Ночные инциденты: что происходит, когда компания спит
  3. Время на реакцию
  4. Почему злоумышленники выбирают ночное время
  5. Организация 24/7 работы SOC
  6. Метрики и SLA ночной смены SOC
  7. Цена отсутствия ночного мониторинга
  8. Выводы

Введение

ИБ-инциденты могут происходить в любое время, и для компаний критически важно иметь круглосуточный мониторинг. Ночные часы несут особую угрозу: во время отдыха большей части персонала службы безопасности остаются в рабочем режиме. Многие громкие кибератаки последних лет специально проводились ночью или в выходные. По данным экспертов, 87 % атак программам-вымогателей происходят в нерабочие и праздничные дни, когда большей части ИБ-специалистов нет на месте.

Для правильной организации защиты в ночное и «внеурочное» время нужно понять, как работает команда SOC ночью, с какими типами инцидентов сталкиваются аналитики, почему хакеры любят позднее время и как организована бесперебойная работа компаний. Критически важно определить, сколько времени есть у специалистов на реакцию до появления первых признаков ущерба и каковы риски для компаний, у которых отсутствует постоянное дежурство.

Ночные инциденты: что происходит, когда компания спит

Ночью активность в корпоративной сети заметно меняется. В это время снижается уровень рабочей активности и ложных срабатываний, потому что не выполняются пользовательские задачи. Однако могут идти регламентированные ИТ-процессы: резервное копирование, обновления, сканирования и т. д. Для SOC это период относительного затишья в привычной активности, поэтому любое отклонение становится заметным. Нередко ложные срабатывания происходят, когда запоздавший системный администратор может вносить изменения после полуночи: это станет причиной срабатывания систем безопасности, однако такие случаи единичны.

С другой стороны, ночь — время тихой работы злоумышленников. Если атакующим удалось днём незаметно скомпрометировать какое-то рабочее место, например, через фишинговое письмо или уязвимость, то развивать атаку они будут, когда все спят. Именно lateral movement (горизонтальное передвижение — прим. ред.) и разведка, которые проводят злоумышленники, — одни из наиболее частых боевых срабатываний ночью.

В целом типичные ночные инциденты в SOC включают:

  • Обнаружение вредоносной активности на скомпрометированных узлах: загрузка новых инструментов, сетевое сканирование, аномальные запросы к базам данных и прочие проявления разведки инфраструктуры злоумышленником.
  • Срабатывания на автоматические процессы, не проходившие днём (резервное копирование, обновление ПО), как правило, требуют проверки и подтверждения ложного характера.
  • Редкие события от пользователей, работающих вне графика: удалённые входы в систему во внеурочные часы, внезапная активность аккаунта ночью.
  • Попытки внешних атак на публичные сервисы компании в ночное время, например, DDoS-атака или попытки брутфорса учётных записей, когда администраторы могут сразу не заметить взлом.

Смена SOC вне рабочего дня должна фильтровать немногочисленные, но потенциально более значимые сигналы. Однако если компания только подключается к коммерческому SOC, злоумышленник ночью может быть замечен уже непосредственно за запуском шифровальщика, и тогда время на реакцию будет ограничено парой десятков минут. Каждое срабатывание требует внимательного анализа, ведь именно в этот момент велика вероятность поймать враждебную активность, которую днём проще замаскировать на общем фоне.

Время на реакцию

Нет однозначного ответа, сколько времени есть до начала ущерба, потому что всё зависит от характера атаки, целей злоумышленников и уровня подготовленности самой компании.

Продолжительные скрытые атаки. Современные сложные атаки редко наносят ущерб мгновенно: обычно им предшествует этап незаметного проникновения в инфраструктуру организации и разведки. Например, если говорить о программах-вымогателях (ransomware), то исследования показывают, что злоумышленники часто находятся в сети организации несколько дней, недель или месяцев до того, как наносят ущерб.

Быстрые атаки с использованием уязвимостей. Иной сценарий, когда счёт идёт на часы или даже минуты. Если атакующими являются хактивисты или скрипт-кидди, оперативно использующие найденную уязвимость во внешнем сервисе, их действия будут значительно быстрее. Цель таких атак — зачастую демонстративная, например, дефейс сайта (замена главной страницы — прим. ред.) или вывод ресурса из строя.

В реальности хорошо подготовленный SOC старается идентифицировать компрометацию и начать реагирование в течение первых 5–15 минут с момента сигнала о подозрении на инцидент. Если это удаётся, то развитие атаки останавливается на ранних этапах.

Почему злоумышленники выбирают ночное время

Многие типы кибератак не привязаны строго ко времени: например, фишинговые рассылки отправляются постоянно. Злоумышленники нередко специально планируют активную фазу атаки, исходя из нескольких соображений:

  1. Меньше защищающихся. Например, если компания ведёт процессы только днём по будням, то ночью у неё может не быть дежурных ИБ-специалистов. Даже если SOC работает всегда, при недостаточном количестве специалистов часть экспертизы может быть недоступна в режиме «здесь и сейчас».
  2. Часовой пояс атакующего. Если речь идёт о целевых атаках, например, от APT-групп из других стран, то активность может приходиться на позднее время. На практике зафиксированы случаи, когда в компаниях пик активности хакерской группы совпадал, например, с утренними часами других стран, что соответствовало глубокой ночи в Москве. Таким образом, геополитический фактор тоже играет роль: международные атаки часто неизбежно происходят вне локального рабочего графика.

Стоит оговориться, что не каждая атака случается ночью: многое зависит от целей. Финансовые мошенничества могут происходить и днём, когда работают банковские системы и наблюдается высокая пользовательская активность. Однако такие угрозы, как саботаж, шпионаж и вымогательство, которые требуют долгого присутствия в сети, часто используют в нерабочее время, когда защита ослаблена.

Организация 24/7 работы SOC

Чтобы противостоять круглосуточным угрозам, компании выстраивают соответствующий режим работы центров мониторинга. Идеальная модель SOC — это дежурство 24/7 в полную силу без перерывов в ночные часы. Организационно это реализуется двумя основными способами, нередко в комбинации:

  • Посменная работа команды. Штат собственных аналитиков SOC делится на дежурства, покрывающие 24 часа. Как правило, используются 2 или 3 рабочие группы в сутки. Например, при 12-часовых сменах — дневная и ночная; при 8-часовых — утренняя, дневная, вечерне-ночная. Подобный график строится так, чтобы нагрузка была равномерной, а сотрудники имели достаточный отдых. Однако у подхода есть недостаток: человек в ночное время менее сосредоточен и может допускать ложноотрицательные срабатывания.
  • Распределение по часовым поясам. Например, в России существует практика, когда ночное время по столице покрывается сотрудниками из других регионов. Так, известны примеры, когда коммерческие SOC, находящиеся в Москве, на вечерние часы привлекают аналитиков из Сибири или Дальнего Востока. Для них это уже день, и они работают в обычном режиме. Важно, что смены не должны уступать друг другу по квалификации и численности.

Сменная команда должна иметь чёткие инструкции, понимать, когда эскалировать проблему и кто из менеджмента доступен. Часто проводятся тренировки: имитация серьёзного инцидента, чтобы проверить, как аналитики будут работать и коммуницировать в нерабочее время. Всё это направлено на одно — чтобы в 3 часа ночи SOC функционировал так же эффективно, как в 3 часа дня.

Метрики и SLA ночной смены SOC

Работа оценивается по ряду метрик эффективности, и для ночной смены обычно применяются те же показатели, что и для дневной. Ключевые метрики и SLA для 24/7 SOC включают:

  • Время реакции на инцидент. Это один из главных параметров. В договорённостях или внутренних политиках прописано, за какое время инцидент определённой критичности должен быть обработан. Например, SLA может требовать реагирования на критический инцидент в течение 5 минут с момента поступления алерта в SOC, на менее критичный – в течение 15 минут.
  • Время на уведомление/эскалацию. Если SOC — сервисный центр для внешних клиентов, или если внутренние политики требуют уведомлять руководство, то также задаются сроки. Пример SLA: передать информацию ответственным лицам о критическом инциденте в течение 15 минут после подтверждения. Здесь метрикой может быть показатель MTTA, с помощью которого команда измеряет время от обнаружения атаки до начала работы с ней в минутах.
  • Полнота мониторинга и покрытие. Отдельно считывается, все ли события обрабатываются. Если днём SOC может сортировать тысячи событий и работать по приоритетам, то в другое время нагрузка ниже, и от смены ожидается, что ничего не будет пропущено. Метрика ложных срабатываний также важна: ночная смена фиксирует, сколько сработок оказалось ложными, корректирует фильтры.
  • SLA по расследованию и устранению. Кроме первого отклика, часто устанавливаются целевые сроки полного расследования инцидента или его закрытия. Например, в течение 4 часов предоставить рекомендации по нейтрализации угрозы. SOC может иметь внутренние нормативы: время на анализ инцидента до передачи в следующую линию поддержки, если есть разграничение L1/L2 у аналитиков. Все эти временные рамки для инженеров аналогичны дневным, их выполнение контролируется руководством SOC.

Важно, что метрики работы должны анализироваться отдельно, чтобы видеть, нет ли ухудшения качества работы. Например, руководство SOC может сравнивать среднее время реакции дневной и ночной смены. Показатели должны быть равны, однако, если ночью метрики хуже (увеличен промежуток реагирования, больше пропущенных событий), принимаются меры, например, усиление штата, дополнительное обучение, внедрение автоматизации.

Цена отсутствия ночного мониторинга

Некоторые организации по-прежнему надеются сэкономить, оставляя ИБ на перерыв вечером. Практика и исследования показывают, что это рискованный подход, способный вылиться в крупные убытки.

Точной статистики ущерба именно от «отсутствия SOC ночью» в открытом доступе мало: в России компании не склонны раскрывать подробности инцидентов и понесённые потери. Однако косвенные данные и мировая аналитика однозначно указывают, что чем быстрее обнаружен и пресечён инцидент, тем меньше его стоимость для организации.

Даже если конкретных цифр ущерба нет, бизнес-логика подсказывает, что круглосуточный SOC является инвестицией, которая окупится предотвращёнными инцидентами. В конечном счёте не иметь ночного мониторинга — играть в киберлотерею, ставкой в которой являются бизнес-процессы и репутация вашей компании.

Выводы

Кибербезопасность — это постоянная готовность к оперативному реагированию. Атаки происходят тогда, когда их не ждут, и нередко это случается глубокой ночью. Мы выяснили, что SOC может отлавливать как тихие фазы длительных проникновений, так и быстрые удары по внезапно обнаруженным уязвимостям. У аналитиков может быть от нескольких минут до недель, чтобы выявить атаку и предотвратить ущерб, однако во всех случаях цель одна — заметить и нейтрализовать угрозу раньше, чем она переросла в кризис.

Подводя итог: круглосуточный SOC является необходимостью в современных условиях. Инвестиции в ночную смену и чёткие процедуры реагирования окупятся предотвращёнными инцидентами. Непрерывную кибербдительность обеспечивает экспертная ИБ-команда, постоянно стоящая на страже, пока «вся компания спит».

Полезные ссылки: 
> 76% атак шифровальщиков на компании проводятся ночью или в выходные
> Момент истины: как победить ложные срабатывания при анализе open source
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.