Kā izvēlēties SOC pakalpojumu

SOC pakalpojuma izvēles ceļvedis — uz ko skatīties, kādus jautājumus uzdot sniedzējam, cenu modeļi, SLA prasības un securIT piedāvājums.

2026. gada 20. janvāris
securIT

Drošības operāciju centrs (SOC) ir kļuvis par nepieciešamību, nevis greznību — īpaši kontekstā ar NIS2 direktīvas prasībām un pieaugošo kiberuzbrukumu skaitu Latvijā. Tomēr SOC pakalpojumu tirgus ir plašs, un ne visi piedāvājumi ir vienādi. Nepareiza izvēle var nozīmēt neefektīvu drošības uzraudzību, slēptas izmaksas vai neatbilstošu pakalpojuma līmeni.

Šajā rakstā apskatīsim, kā izvēlēties SOC pakalpojumu sniedzēju — uz ko skatīties, kādus jautājumus uzdot un kā izvērtēt piedāvājumus.

Iekšējais vai ārpakalpojumu SOC?

Pirmais lēmums ir fundamentāls — veidot savu SOC vai izmantot ārpakalpojumu (Managed SOC).

Iekšējā SOC izmaksas:

  • SIEM platforma: 50 000–200 000 EUR gadā
  • SOC analītiķi (vismaz 6–8 diennakts maiņām): 300 000–500 000 EUR gadā
  • Papildu rīki (EDR, SOAR, TI platformas): 30 000–100 000 EUR gadā
  • Apmācības un sertifikācijas: 20 000–40 000 EUR gadā
  • Kopā: 400 000–840 000 EUR gadā

Managed SOC izmaksas:

  • Parasti no 15–50 EUR par iekārtu mēnesī, atkarībā no pakalpojumu līmeņa
  • securIT Managed SOC sākas no €20 par iekārtu mēnesī
  • 50 iekārtām tas ir ~12 000 EUR gadā — salīdziniet ar iekšējā SOC izmaksām

Lielākajai daļai Latvijas uzņēmumu — īpaši MVU — ārpakalpojumu SOC ir vienīgā ekonomiski pamatotā opcija.

Galvenie kritēriji SOC izvēlē

1. Tehnoloģiskais steks

Ne visi SOC izmanto vienādas tehnoloģijas. Pārbaudiet:

  • SIEM platforma — kādu SIEM izmanto? Vai tā ir nozarē atzīta (Splunk, Microsoft Sentinel, Elastic, Wazuh)? Vai tā atbalsta jūsu infrastruktūras žurnālu avotus?
  • EDR integrācija — vai SOC spēj uzraudzīt un reaģēt uz galapunktu līmenī? Kādu EDR platformu izmanto?
  • Mākoņa integrācija — vai SOC var uzraudzīt mākoņpakalpojumus (Microsoft 365, AWS, Azure, GCP)?
  • SOAR automatizācija — vai ir automatizēta reaģēšana uz standarta draudiem, vai viss tiek darīts manuāli?

2. Pakalpojumu līmenis (tiers)

SOC pakalpojumi parasti tiek piedāvāti vairākos līmeņos:

Pamata līmenis — žurnālu vākšana, brīdinājumu ģenerēšana, ziņojumi. Bieži vien nav aktīvas reaģēšanas.

Standarta līmenis — aktīva uzraudzība, brīdinājumu triāža (nodalīšana starp viltus un reāliem draudiem), paziņošana klientam par incidentiem.

Premium līmenis — pilna incidentu reaģēšana, draudu meklēšana (threat hunting), ievainojamību pārvaldība, regulāri drošības novērtējumi.

Pārliecinieties, ka saprotat, ko tieši ietver jums piedāvātais līmenis. Lētākais variants ne vienmēr nodrošina faktisku drošību.

3. Cilvēku kompetence

Tehnoloģija ir tikai instruments — to lietpratīgi jāizmanto cilvēkiem:

  • Analītiķu sertifikācijas — vai SOC komandai ir atzītas sertifikācijas (GIAC, CEH, OSCP, CompTIA Security+)?
  • Komandas lielums — vai pietiekams analītiķu skaits, lai nodrošinātu reālu 24/7 uzraudzību?
  • Reģionālās zināšanas — vai komanda saprot Latvijas un Baltijas draudu ainavu? Vai spēj strādāt latviešu valodā?
  • Pieredze jūsu nozarē — vai SOC ir pieredze ar uzņēmumiem jūsu sektorā?

4. SLA (Pakalpojuma Līmeņa Līgums)

SLA nosaka, ko tieši SOC apņemas nodrošināt. Galvenie SLA parametri:

  • Pirmās atbildes laiks (MTTR) — cik ātri SOC uzsāk darbu pēc brīdinājuma? Kritiskiem incidentiem — 15 minūtes vai mazāk.
  • Brīdinājumu triāžas laiks — cik ātri SOC nosaka, vai brīdinājums ir reāls vai viltus trauksme?
  • Pieejamība — 24/7/365 vai tikai darba laikā? Kiberuzbrukumi neievēro darba laiku.
  • Eskalācijas procedūra — kā un kam tiek eskalēti kritiski incidenti? Vai ir noteikts eskalācijas ceļš?
  • Regulāri ziņojumi — cik bieži saņemat drošības ziņojumus? Ko tie ietver?

5. Atbilstība un regulējums

  • NIS2 atbilstība — vai SOC pakalpojums palīdz izpildīt NIS2 prasības?
  • GDPR — vai SOC apstrādes procesi atbilst GDPR prasībām? Kur tiek glabāti un apstrādāti žurnāli?
  • Datu rezidence — vai dati paliek ES/EEZ, vai tiek nosūtīti ārpus tās?
  • Audita iespējas — vai varat veikt neatkarīgu pakalpojuma auditu?

Jautājumi, ko uzdot SOC sniedzējam

Pirms parakstāt līgumu, uzdodiet šos jautājumus:

  1. Kāds ir jūsu vidējais brīdinājumu daudzums uz klientu un cik no tiem ir viltus trauksmes? (laba SOC atsijā >95% viltus trauksmes)
  2. Vai varat parādīt piemēru, kā reaģējāt uz reālu incidentu?
  3. Kāds ir jūsu darbinieku mainības līmenis? (augsta mainība = zināšanu zudums)
  4. Kas notiek, ja pamanāt aktīvu uzbrukumu — vai varat aktīvi reaģēt (izolēt iekārtu, bloķēt IP), vai tikai paziņojat?
  5. Kā notiek onboarding process un cik ilgs tas ir?
  6. Kādas integrācijas ir pieejamas ar mūsu esošajiem drošības rīkiem?
  7. Vai ir minimālais līguma termiņš un kādi ir izbeigšanas nosacījumi?
  8. Kā tiek nodrošināta jūsu pašu drošība? (SOC, kas tiek kompromitēts, apdraud visus klientus)

Cenu modeļi

SOC pakalpojumu cenas var būt strukturētas dažādi:

Par iekārtu/mēnesī — visizplatītākais modelis. Cena par katru uzraugāmo iekārtu (darbstacija, serveris, tīkla iekārta). Paredzams, viegli plānojams budžets.

Par notikumu/žurnālu apjomu — cena piesaistīta apstrādāto žurnālu apjomam (GB vai EPS — Events Per Second). Var radīt neparedzētas izmaksas, ja žurnālu apjoms strauji palielinās.

Fiksēta mēneša maksa — viss iekļauts par fiksētu summu. Vienkārši, bet var būt dārgi maziem uzņēmumiem vai neadekvāti lieliem.

Hibridais modelis — pamata maksa + mainīgā daļa atkarībā no notikumu apjoma vai papildu pakalpojumiem.

securIT izmanto modeli par iekārtu/mēnesī, sākot no €20, kas ir vispārskatāmākais un paredzamākais.

Onboarding process — ko sagaidīt

Kvalitatīva SOC pakalpojuma ieviešana ietver:

  1. Infrastruktūras audits — SOC komanda iepazīst jūsu tīkla arhitektūru, sistēmas un esošos drošības rīkus.
  2. Žurnālu avotu konfigurēšana — SIEM integrācija ar jūsu infrastruktūru — ugunsmūri, serveri, mākoņpakalpojumi, galapunkti.
  3. Bāzlīnijas izveide — normālas darbības modeļu noteikšana, lai spētu identificēt anomālijas.
  4. Brīdinājumu noteikumu pielāgošana — noteikumu konfigurēšana atbilstoši jūsu specifiskajai videi, lai minimizētu viltus trauksmes.
  5. Eskalācijas procedūru saskaņošana — kas jūsu organizācijā saņem paziņojumus un kā notiek komunikācija incidenta laikā.
  6. Testēšana — simulēts incidents, lai pārliecinātos, ka viss darbojas kā plānots.

Tipisks onboarding process ilgst 2–4 nedēļas.

Biežāk uzdotie jautājumi (BUJ)

Vai SOC pakalpojums aizstāj iekšējo IT komandu? Nē. SOC papildina IT komandu, neaizstāj to. SOC fokusējas uz drošības uzraudzību un incidentu reaģēšanu — jūsu IT komanda joprojām pārvalda infrastruktūru, lietotāju atbalstu un ikdienas uzdevumus. Ideālā gadījumā SOC un IT komanda strādā kopā — SOC identificē draudus, IT komanda palīdz ar labošanu.

Cik ilgi nepieciešams, lai SOC sāktu pilnvērtīgi darboties? Tipisks onboarding aizņem 2–4 nedēļas. Pirmajā mēnesī SOC izveido normālas darbības bāzlīniju un pielāgo brīdinājumu noteikumus. Pilnvērtīga efektivitāte parasti tiek sasniegta 2–3 mēnešu laikā, kad SOC komanda ir iepazinusi jūsu infrastruktūras specifiku.

Kas notiek, ja SOC konstatē incidentu ārpus darba laika? Kvalitatīvs SOC darbojas 24/7/365. Ja incidents tiek konstatēts naktī vai brīvdienā, SOC komanda uzsāk reaģēšanu nekavējoties — izolē apdraudēto sistēmu, bloķē ļaunprātīgu trafiku — un eskalē jūsu atbildīgajai personai saskaņā ar iepriekš noteikto procedūru. Pārliecinieties, ka jūsu SLA skaidri nosaka šo procedūru.

Vai securIT SOC uzrauga arī mākoņpakalpojumus? Jā. securIT SOC pakalpojums uzrauga ne tikai tradicionālo infrastruktūru, bet arī mākoņpakalpojumu žurnālus — Microsoft 365 audita žurnālus, Azure/AWS drošības notikumus un citus mākoņa avotus. Tas ir īpaši svarīgi uzņēmumiem, kas izmanto hibrīdo infrastruktūru. Lasiet arī par kiberdrošību mākoņpakalpojumiem.

Vai vēlaties uzlabot sava uzņēmuma kiberdrošību? Sazinieties ar securIT[email protected] vai +371 27555221.