MDR, MSSP и SOC — три модели киберзащиты, которые часто путают. SOC (Security Operations Center) — это ваша собственная команда, процессы и технологии мониторинг сайтов, которые вы строите и содержите сами. MSSP — аутсорсинг управления устройствами безопасности и обработки алертов. MDR — сервис, ориентированный на результат: обнаружение угроз и активное реагирование, а не только уведомления.
Чем отличается MDR от MSSP
Ключевое различие лежит в том, за что именно отвечает поставщик и чем измеряется его работа. MSSP (Managed Security Service Provider) исторически вырос из аутсорсинга управления инфраструктурой безопасности: провайдер обслуживает межсетевые экраны, IDS/IPS, антивирус, шлюзы и SIEM, генерирует алерты и передаёт их вам. Его метрика — доступность устройств и объём обработанных событий. Реагирование на инцидент, как правило, остаётся на стороне клиента: MSSP говорит «мы видим подозрительную активность», а расследовать и останавливать атаку вы должны сами.
MDR (Managed Detection and Response) устроен иначе. По определению Gartner, MDR-сервисы предоставляют клиентам удалённо оказываемые функции современного центра управления безопасностью (SOC), направленные на быстрое обнаружение, анализ, расследование и активное реагирование через смягчение угроз и их сдерживание. Метрика MDR — это результат: среднее время обнаружения (MTTD) и среднее время реагирования (MTTR), а не число закрытых тикетов. Провайдер MDR не просто присылает алерт — он проводит триаж, отсеивает ложные срабатывания, а при подтверждённой угрозе изолирует хост, блокирует учётную запись или откатывает вредоносный процесс.
На практике граница между моделями размывается: многие MSSP добавили MDR-предложения, а некоторые MDR-провайдеры берут на себя и управление устройствами. Но принципиальная разница сохраняется: MSSP управляет вашими инструментами, MDR управляет вашим риском.
- Фокус MSSP: технологии, устройства, эксплуатация, соответствие требованиям, объём событий.
- Фокус MDR: угрозы, поведение атакующего, скорость реагирования, снижение ущерба.
- Технологии: MSSP чаще работает поверх вашего SIEM; MDR обычно приносит собственный стек на базе EDR/XDR и телеметрии.
- Реагирование: у MSSP оно уведомительное, у MDR — активное, вплоть до удалённого сдерживания.
Если вы хотите глубже разобраться в терминах, читайте отдельные материалы: что такое MDR и что такое MSSP.
MDR vs собственный SOC
Собственный (in-house) SOC — это когда организация полностью строит и содержит центр мониторинга безопасности: нанимает аналитиков, покупает и настраивает SIEM, EDR и системы оркестрации (SOAR), разрабатывает плейбуки и держит смены круглосуточно. NIST в SP 800-61 и связанных документах описывает такой центр как основу процессов обработки инцидентов: обнаружение, анализ, сдерживание, устранение и восстановление. Полный контроль над данными и процессами — главное преимущество своего SOC.
Но у этой модели высокая стоимость входа и удержания. Круглосуточное покрытие 24/7 требует минимум пяти-шести смен аналитиков, чтобы закрыть все часы без выгорания. К этому добавляются лицензии на SIEM (часто тарифицируемые по объёму логов), инженеры по детектированию, которые пишут и поддерживают правила, а также постоянная борьба с «алерт-усталостью». Дефицит кадров в кибербезопасности делает найм и удержание сильных аналитиков особенно тяжёлым.
MDR снимает большую часть этой нагрузки: провайдер приносит готовую команду, обкатанные плейбуки и телеметрию по множеству клиентов, что даёт более широкий контекст об угрозах. Компромисс — меньше контроля и зависимость от чужого стека и SLA. Многие зрелые организации приходят к гибриду: держат небольшой внутренний SOC для управления, контекста бизнеса и владения инцидентом, а ночное покрытие, триаж первой линии и охоту за угрозами (threat hunting) отдают MDR-провайдеру.
Правило простое: своё строят те, кому критичны контроль, кастомизация и суверенность данных и у кого есть бюджет на команду. MDR выбирают те, кому нужен результат и скорость без многолетней стройки SOC с нуля.
Что входит в каждую модель
Чтобы сравнение было предметным, разложим типовой объём работ. Границы у конкретных провайдеров различаются, но общая картина такова.
- Собственный SOC: сбор и хранение логов, настройка и сопровождение SIEM/EDR/SOAR, разработка правил детектирования, мониторинг 24/7, триаж алертов, расследование инцидентов, полное реагирование и восстановление, отчётность для руководства и регуляторов.
- MSSP: управление устройствами безопасности (межсетевые экраны, IPS, шлюзы), базовый мониторинг и корреляция в SIEM, генерация и эскалация алертов, управление уязвимостями и патчами, отчётность по соответствию. Реагирование обычно консультативное.
- MDR: развёртывание сенсоров (EDR/XDR/NDR), непрерывный мониторинг и обнаружение на основе поведения, экспертный триаж и расследование, проактивный threat hunting, активное реагирование (изоляция хоста, блокировка аккаунта, сдерживание), рекомендации по устранению первопричины.
Важно понимать, что ни MSSP, ни MDR не заменяют полностью внутренние функции управления рисками. Владелец бизнеса всё равно определяет критичность активов, согласует допустимые действия по сдерживанию и отвечает за долгосрочное восстановление и уроки после инцидента. И MSSP, и MDR — это усиление, а не полное делегирование ответственности.
SIEM и EDR — это технологический фундамент под всеми тремя моделями. Если вам не хватает базовых понятий, посмотрите что такое SIEM: без централизованного сбора событий ни один SOC не работает.
Сравнительная таблица: SOC vs MSSP vs MDR
| Критерий | Собственный SOC | MSSP | MDR |
|---|---|---|---|
| Что это | Ваш внутренний центр мониторинга: люди, процессы, технологии | Аутсорсинг управления устройствами безопасности и алертами | Управляемый сервис обнаружения и активного реагирования на угрозы |
| Кто управляет | Ваша команда | Провайдер управляет инструментами, вы владеете риском | Провайдер управляет обнаружением и реагированием |
| Объём | Полный цикл: логи, SIEM/EDR, детекты, мониторинг 24/7, реагирование | Устройства, базовая корреляция, эскалация алертов, соответствие | Телеметрия EDR/XDR, поведенческое обнаружение, threat hunting, триаж |
| Реагирование | Полное, своими силами | Уведомительное (консультативное) | Активное: изоляция, блокировка, сдерживание |
| Модель стоимости | CAPEX + постоянный OPEX (зарплаты, лицензии SIEM) | По устройствам / объёму логов / источникам | Подписка по конечным точкам / пользователям / активам |
| Кому подходит | Крупным и регулируемым организациям с бюджетом и требованием контроля | Тем, кому нужна эксплуатация устройств и соответствие | Малому и среднему бизнесу и всем, кому важны скорость и результат |
Стоимость и SLA
Модели различаются не только объёмом, но и тем, как формируется цена и какие обязательства фиксируются в SLA.
Собственный SOC — это в основном капитальные и постоянные операционные расходы: зарплаты аналитиков и инженеров, лицензии SIEM (часто по объёму данных — гигабайтам или событиям в секунду), инфраструктура хранения, обучение и удержание персонала. SLA здесь внутренний: вы сами задаёте целевые MTTD/MTTR и сами за них отвечаете. Плюс — предсказуемость и контроль; минус — высокий и растущий с масштабом фонд затрат.
MSSP обычно тарифицируется по числу управляемых устройств, объёму логов или количеству источников. SLA у MSSP чаще про доступность сервиса и время реакции на алерт (например, эскалация в течение N минут), но не про фактическую остановку атаки. Ответственность за исход инцидента остаётся размытой.
MDR чаще всего тарифицируется по числу конечных точек, пользователей или объёму защищаемых активов, по подписке. Ключевое отличие — SLA привязан к результату: провайдер обязуется по времени обнаружения и, что важнее, по времени реагирования и сдерживания. Именно наличие обязательств по активному реагированию в SLA — практичный способ отличить настоящий MDR от «MSSP с красивым маркетингом».
Не сравнивайте предложения только по строчке цены. Одинаковый на первый взгляд прайс может скрывать принципиально разный объём: включён ли threat hunting, кто платит за расследование, есть ли лимит на число инцидентов в месяц, входит ли активное сдерживание или только уведомление. Всегда запрашивайте матрицу RACI и конкретные метрики SLA в письменном виде.
Как выбрать под размер компании
Единственно правильного ответа нет — выбор зависит от зрелости, регуляторики, бюджета и терпимости к риску. Но есть работающие ориентиры по масштабу.
- Малый бизнес (до ~100 сотрудников). Строить свой SOC почти всегда нерентабельно. Оптимально — MDR: быстрый запуск, активное реагирование и экспертиза без найма команды. MSSP подойдёт, если основная боль — управление устройствами и базовое соответствие, а не продвинутое обнаружение.
- Средний бизнес (~100–1000 сотрудников). Чаще всего выигрывает гибрид: MDR для обнаружения и реагирования 24/7 плюс, возможно, MSSP для эксплуатации инфраструктуры. Небольшая внутренняя группа безопасности управляет провайдерами и владеет контекстом бизнеса.
- Крупные предприятия (1000+ сотрудников, регулируемые отрасли). Обычно оправдан собственный SOC ради контроля, кастомных детектов и суверенности данных, часто дополненный MDR для ночных смен, пиков и специализированной охоты за угрозами.
Практический алгоритм принятия решения:
- Оцените зрелость: есть ли у вас люди, процессы и технологии для мониторинга 24/7? Если нет — не пытайтесь строить SOC «на вырост».
- Определите главный дефицит: не хватает рук для эксплуатации инструментов (→ MSSP) или экспертизы для обнаружения и реагирования на реальные атаки (→ MDR)?
- Проверьте регуляторные требования к локализации и владению данными — они могут диктовать собственный или локальный SOC.
- Считайте полную стоимость владения (TCO), а не только прайс: люди, лицензии, обучение, простой при инциденте.
- Требуйте SLA с метриками реагирования и сдерживания, а не только с доступностью.
Чтобы объективно оценить текущее состояние периметра до разговора с провайдерами, начните с базовой самопроверки поверхности атаки: проверьте заголовки безопасности, TLS-сертификаты, открытые проверку портов и DNS вашими собственными силами — это даст фактуру для предметного разговора о том, MDR, MSSP или SOC вам нужен.
FAQ
MDR заменяет SIEM?
Нет. SIEM — это платформа сбора и корреляции событий, а MDR — сервис поверх телеметрии. Многие MDR-провайдеры приносят собственный стек на базе EDR/XDR и могут не требовать вашего SIEM, но сама функция централизованного логирования никуда не исчезает — она встроена в сервис.
Может ли MSSP выполнять реагирование?
Некоторые MSSP расширили услуги до реагирования, но классически MSSP уведомляет об инциденте, а расследование и остановку атаки ведёт клиент. Если провайдер обещает активное сдерживание с SLA по MTTR — по сути это уже MDR-функция, как её определяет Gartner.
Нужен ли свой SOC, если есть MDR?
Не обязательно. Малому и среднему бизнесу MDR часто закрывает потребность целиком. Крупным организациям выгоден гибрид: внутренний SOC для управления и контекста плюс MDR для покрытия 24/7 и охоты за угрозами.
Что дешевле — MDR или собственный SOC?
Для большинства компаний до крупного масштаба MDR дешевле по полной стоимости владения: не нужно нанимать пять-шесть смен аналитиков и содержать лицензии SIEM. Свой SOC начинает окупаться на больших объёмах и при жёстких требованиях к контролю и локализации данных.
Чем MDR отличается от EDR?
EDR (Endpoint Detection and Response) — это технология на конечных точках; MDR — управляемый сервис, который использует EDR (и другую телеметрию) вместе с людьми-аналитиками. Купить EDR без команды — значит получить инструмент без операторов. Подробнее — в материале что такое EDR.
С чего начать выбор?
С честной оценки зрелости и главного дефицита. Если не хватает экспертизы обнаружения и скорости реагирования — смотрите MDR. Если нужна эксплуатация устройств и соответствие — MSSP. Если критичны контроль и суверенность данных и есть бюджет — стройте SOC, при необходимости усиливая его MDR.