Меньше трети компаний справляются с расследованием 90% инцидентов

Параллельно растет доля компаний, перешедших в категорию компаний со стабильным уровнем реагирования. В эту группу – охватывающую тех, кто закрывает от 70% до 89% инцидентов в течение суток – в 2025 году вошли 49,7% организаций, тогда как в 2024-м их было 39,9%. Несмотря на кажущуюся положительную динамику, эксперты предупреждают: рост этой группы отражает не повышение зрелости, а скорее перегрузку процессов реагирования. Многие SOC-команды просто перестают справляться с возрастающим количеством сигналов и не успевают уделять внимание значительной части событий.

Количество компаний с критически низкой скоростью реагирования, обрабатывающих менее 70% инцидентов в сутки, сократилось с 25,1% до 21,7%. Однако специалисты подчеркивают, что это снижение не является признаком улучшения общей картины. Часть организаций лишь «подтянулась» до среднего уровня за счет увеличения нагрузки и перераспределения ресурсов, но при этом остается далека от уровня скорости, необходимого для эффективного противодействия современным угрозам.

Аналитики «Информзащиты» называют несколько причин происходящей деградации скоростей расследований. Прежде всего это нехватка квалифицированных кадров: свыше 42 % компаний испытывают дефицит специалистов, способных выполнять глубокий анализ инцидентов. Вторая ключевая проблема – чрезмерное количество алертов, ежедневно поступающих в SOC. Более 35% организаций признают, что сталкиваются с объемом событий, который значительно превышает возможности команды. Международные данные показывают схожую картину: значительная часть аналитиков способна полноценно обработать лишь порядка трети ежедневных оповещений, что делает системный недоразбор инцидентов скорее нормой, чем исключением. Высокая доля ложных срабатываний, около 53%, создает дополнительную нагрузку и способствует выгоранию сотрудников, снижая концентрацию на действительно значимых сигналах.

Серьезным барьером остается и фрагментированность инструментов безопасности. Около 29% компаний отмечают, что используют несвязанные между собой решения, каждое из которых генерирует собственные события без сквозной корреляции. Специалисты также подчеркивают, что почти треть организаций испытывает нехватку контекста при анализе инцидентов, что вынуждает тратить дополнительные минуты и часы на ручное сопоставление данных – время, критичное для минимизации ущерба. Эта проблема усугубляется быстрым ростом числа решений на рынке ИБ: по оценкам аналитиков, только в России сегодня работают тысячи поставщиков кибербезопасности, и без продуманной архитектуры даже формально «закрытая» всеми продуктами инфраструктура остается трудноуправляемой.

Наиболее остро проблему падения скорости расследований ощущают отрасли, традиционно подвергающиеся повышенному уровню атак. По данным экспертов, финансовый сектор сталкивается примерно с 22% всех целевых атак, что делает оперативность расследований ключевым фактором предотвращения инцидентов. На втором месте – телеком- и ИТ-компании, на которые приходится около 18% автоматизированных и целевых атак, требующих быстрого анализа в условиях больших распределенных инфраструктур. Государственные организации с долей около 12% атак также испытывают растущее давление, особенно с учетом расширения облачных сред и увеличения требований к контролю безопасности. Дополнительно в 2025 году заметно усилилась нагрузка на промышленность и критическую инфраструктуру: по отдельным оценкам, на эти сегменты уже приходится до четверти всех киберинцидентов, что делает время реакции не только экономическим, но и технологическим фактором устойчивости.

Для снижения рисков специалисты рекомендуют компаниям последовательно укреплять архитектуру безопасности. Существенную роль играет внедрение унифицированных платформ, обеспечивающих сквозную корреляцию событий и автоматизированную фильтрацию ложных алертов. Использование систем анализа на базе искусственного интеллекта помогает быстрее выявлять аномалии и формировать необходимый контекст для аналитиков. При этом особенно важно обращаться к профессионалам, обладающим передовыми знаниями и инструментами для оперативного расследования инцидентов. Практика показывает, что наибольший эффект дает сочетание внутреннего SOC с внешней экспертизой MDR и киберразведки, когда собственная команда опирается на внешние источники TTP-данных, отраслевые индикаторы компрометации и отработанные плейбуки реагирования. 

Организации, начавшие эту трансформацию уже сейчас, смогут удержаться в числе компаний с высоким уровнем операционной готовности, тогда как остальные рискуют оказаться среди перегруженных команд, теряющих возможность оперативно реагировать на инциденты. С учетом роста доли облаков и автоматизированных атак речь фактически идет о новой норме: скорость расследования становится таким же базовым параметром устойчивости бизнеса, как отказоустойчивость инфраструктуры или зрелость процессов резервного копирования.