Росіяни воюють не тільки боєприпасами, а ще й регулярно влаштовують цифрові атаки. Україна є головною мішенню кібератак у Європі та однією з ключових цілей російських хакерів, свідчать дані дослідження Microsoft Threat Intelligence. Секретар Ради економічної безпеки України Ілона Хмельова заявляла про 3000 кібератак проти України за перше півріччя 2025-го.
Тому сфера кіберзахисту в Україні за час повномасштабної війни сильно змінилася. Якщо раніше головним завданням Центрів операційної безпеки (SOC) було забезпечення стабільності та безперервності процесів, то зараз вони протидіють масованим хакерським атакам та намагаються зменшити навантаження на фахівців.
Разом з IT Specialist розповідаємо про виклики та рішення, що приймає команда Центру операційної безпеки під час війни.
Кадрова криза: як працює SOC в умовах обмежених ресурсів?
У сфері кіберзахисту наразі є низка проблем:
- навантаження на аналітиків різко зростає, адже команди менші, а інцидентів — більше;
- ускладнюється передача досвіду через відсутність єдиного центру знань;
- стають критичними ризики вигорання.
За таких обставин найбільш ефективним рішенням виявилася максимальна автоматизація процесів. Зокрема, команда IT Specialist впроваджує enterprise-рішення та використовує власні напрацювання. Тепер навіть базові завдання — навчання новачків, консультації чи генерація аналітичних звітів — частково делегують штучному інтелекту.
Як удари по цивільній інфраструктурі впливають на роботу SOC?
Атаки на енергетичні об’єкти та постійні перебої з електроенергією руйнують канали збору даних — зникає телеметрія, логи та потоки SIEM. У результаті знижується рівень видимості подій, ускладнюється координація між членами команди, а швидкість реагування на інциденти падає через непередбачувані технічні збої. Щоб утримувати контроль, SOC переходить до гібридної моделі. Вона містить резервні інфраструктурні вузли, локальні операційні центри на периферійних майданчиках (edge-SOC) та розподілені канали сповіщень, які забезпечують безперебійну роботу попри обстріли.
Кібервійна без вихідних
Паралельно з фізичними бойовими діями збільшується кількість загроз і в кіберсередовищі. Замість класичних корпоративних схем під удар дедалі частіше потрапляють персональні пристрої, домашні VPN та інфраструктура підрядників. У IT Specialist зазначають, часто технічні атаки поєднуються з інформаційними. Йдеться і про дефейсинг ресурсів, і про фішингові розсилки «від імені державних органів», і про масштабні дезінформаційні кампанії. До прикладу, у травні цього року шахраї здійснювали фейкову розсилку від імені ДПС. У листах були посилання, перехід на які надавав дозвіл шахраям керувати комп’ютерами користувачів. Тож варто не забувати про кібергігієну і завжди перевіряти джерела надходження електронних листів.
SOC змушений працювати на випередження. Це постійна робота на основі Threat Intelligence та регулярного Threat Hunting. Чіткий облік інфраструктури дає змогу швидше зрозуміти контекст подій, оперативно визначити пріоритети та не витрачати час на уточнення деталей інциденту.
Хмари та «сліпі зони» моніторингу
Через війну та часті кібератаки бізнесам стало надійніше переносити свої сервіси у хмару та розподіляти активи між регіонами. Але через таку тенденцію виникає інша проблема — зсув спостережності. Нові компоненти інфраструктури часто не встигають потрапляти у зону моніторингу, адже зміни відбуваються швидше, ніж адаптуються процеси. Без оновленого реєстру активів побудувати ефективний кіберзахист практично неможливо. Саме тому команда IT Specialist робить ставку на автоматизовану інвентаризацію, зокрема за допомогою власного рішення ITS Inventory.
Яким буде новий SOC?
Війна фактично спричинила прискорену еволюцію кіберзахисту. Сучасний Центр операційної безпеки перестає бути просто центром оперативного реагування — він переходить у більш гнучкий формат. Але, попри стрімкий розвиток технологій, фундаментом будь-якої системи залишаються люди. Без командної взаємодії, обміну досвідом і стійкої внутрішньої культури будь-які інструменти не працюватимуть на повну.
Фахівці ТОВ «ІТ Спеціаліст» щодня працюють у середовищі, де загрози змінюються швидше, ніж стандарти. Якщо ваш SOC потребує посилення, супроводу експертів чи впровадження сучасних інструментів — звертайтеся до спеціалістів.