исследование 3 июня 2026

MSSP, MDR и SOCaaS: чем отличаются управляемые услуги ИБ

MSSP, MDR и SOCaaS — три модели управляемых услуг ИБ, которые легко перепутать, потому что их часто продают под общим словом «аутсорсинг безопасности». Но различаются они в главном: в объёме охвата, в том, кто отвечает за реагирование на инцидент, и в том, остаётся управление у провайдера или у вас. **Если коротко:** MSSP управляет средствами защиты и инфраструктурой ИБ (firewall, SIEM, антивирус) — это про эксплуатацию. MDR ставит во главу угла обнаружение угроз и активное реагирование на конечных точках и в сети — это про охоту за атакующим. SOCaaS даёт «центр мониторинга по подписке» — людей, процессы и платформу SOC как сервис. Часто модели комбинируют. Выбор зависит от зрелости вашей ИБ, наличия своей команды и того, что вы хотите отдать наружу. Ниже — таблица сравнения трёх моделей, чек-лист выбора и ответы на частые вопросы. Сравнить конкретных поставщиков по подтверждённым сигналам можно в [рейтинге MSSP, MDR и аутсорсинга SOC](/rating/mssp-mdr-soc).

8 мин. чтения Блоки данных: 7 Позиции: не продаются Авторы: Полина Лебедева

Короткий вывод

managed detection

SOC-сервис нужно оценивать по видимости и реакции

MSSP и MDR различаются глубиной мониторинга, ответственностью за triage и способностью быстро доводить инцидент до действия.

Тематическое фото для исследования: MSSP, MDR и SOCaaS: чем отличаются управляемые услуги ИБ — Тематическая иллюстрация к исследованию: MSSP, MDR и SOCaaS: чем отличаются управляемые услуги ИБ. AMORIE SAM / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Полина Лебедева Исследователь рынка ИБ-поставщиков

Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.

5 лет в market research, digital-аналитике и конкурентных обзорах
Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему эти три аббревиатуры путают

Рынок управляемых услуг ИБ вырос быстро, и маркетинг провайдеров размыл границы: один и тот же поставщик может называть свою услугу и «MSSP», и «MDR», и «SOC как сервис» в зависимости от того, что ищет клиент. На деле за словами стоят разные модели операционной ответственности.

Корень различий — в ответе на три вопроса: **что** именно отдаётся на сторону (отдельные средства защиты, обнаружение угроз или весь центр мониторинга), **кто реагирует** на инцидент (только уведомляет или сам гасит атаку), и **где остаётся управление**. Пока вы не ответили на них для своей компании, сравнивать ценники бессмысленно — за одинаковой ценой могут скрываться принципиально разные обязательства.

Три модели управляемых услуг ИБ: суть в одной строке

MSSP Эксплуатация средств защиты

Держать СЗИ в рабочем состоянии и под управлением

MDR Обнаружение и реагирование

Найти атакующего и активно остановить его

SOCaaS Центр мониторинга по подписке

Дать людей, процессы и платформу SOC как сервис

MSSP, MDR и SOCaaS: чем отличаются по сути

**MSSP (Managed Security Service Provider)** — управляемая эксплуатация средств защиты. Провайдер берёт на себя настройку, мониторинг работоспособности и сопровождение firewall, NGFW, антивируса, шлюзов, иногда SIEM. Это про то, чтобы инфраструктура ИБ работала и обновлялась. Реагирование на сложные атаки в «классическом» MSSP — ограниченное: уведомление и базовая обработка, но не охота за атакующим.

**MDR (Managed Detection and Response)** — управляемое обнаружение и реагирование. Здесь центр тяжести смещён на выявление активной атаки (часто на базе EDR/XDR-телеметрии), проактивный поиск угроз (threat hunting) и активные действия: изоляция хоста, блокировка, сдерживание. MDR отвечает не за «чтобы работало», а за «чтобы атакующего нашли и остановили».

**SOCaaS (SOC as a Service)** — центр мониторинга безопасности по подписке. Вы получаете аналитиков 1–3 линий, процессы реагирования, платформу (SIEM/SOAR) и сервис-уровни как услугу, не нанимая свою команду SOC и не строя собственный центр. По охвату SOCaaS обычно шире MDR: это полноценный мониторинг и корреляция событий по всей инфраструктуре, а не только детект-энд-респонс на конечных точках.

Сравнение MSSP vs MDR vs SOCaaS

Критерий	MSSP	MDR	SOCaaS
Основной фокус	Эксплуатация СЗИ	Детект и активное реагирование	Мониторинг и корреляция по всей инфраструктуре
Что отдаётся наружу	Управление средствами защиты	Обнаружение угроз на хостах/в сети	Весь центр мониторинга (люди + процессы + платформа)
Реагирование на инцидент	Уведомление, базовая обработка	Активное сдерживание (изоляция, блокировка)	Полный цикл по согласованным сценариям
Threat hunting	Обычно нет	Да, ключевая функция	Часто да, в зависимости от пакета
Кто отвечает за результат	За работоспособность СЗИ	За остановку атаки	За работу SOC и SLA
Своя команда ИБ нужна	Минимально	Желательна для эскалаций	Можно почти без неё
Типичный охват	Точечные сервисы	Конечные точки и сеть	Вся ИТ-инфраструктура
Кому подходит	Низкая–средняя зрелость	Средняя зрелость, есть что защищать	Нет своего SOC, нужен мониторинг 24/7

Глубина охвата и реагирования по моделям

Усреднённая редакционная оценка типового объёма услуги по моделям (0–100), а не сравнение конкретных провайдеров. Реальный охват и SLA определяются договором.

Эксплуатация СЗИ 90 /100

90 /100

Обнаружение угроз 45 /100

45 /100

Активное реагирование 35 /100

35 /100

Threat hunting 20 /100

20 /100

Охват инфраструктуры 55 /100

55 /100

Кто представлен на российском рынке

Ниже — ориентир по известным игрокам управляемых услуг ИБ. Это не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/mssp-mdr-soc). Цель — показать, что один и тот же провайдер часто закрывает сразу несколько моделей, поэтому выбирать нужно по составу услуги, а не по названию.

Поставщик (ориентир)	Чаще ассоциируется с	Комментарий
Solar JSOC (Ростелеком-Солар)	SOCaaS, MSSP, MDR	Один из крупнейших коммерческих SOC на рынке
BI.ZONE	MDR, SOCaaS	Сильная экспертиза по реагированию и threat intelligence
Positive Technologies	MDR, мониторинг	Развитая продуктовая база для детекта (SIEM, EDR/XDR)
Innostage	SOCaaS, MSSP	Управляемые услуги SOC и сопровождение ИБ
Jet CSIRT (Инфосистемы Джет)	MDR, реагирование	Команда реагирования на инциденты и расследований

Что выбрать под вашу зрелость ИБ

Модель выбирается не по моде, а по тому, что у вас уже есть и что вы готовы отдать наружу.

- **Низкая зрелость, нет команды ИБ.** Если задача — просто привести в порядок и сопровождать средства защиты, начните с **MSSP**: провайдер снимет с вас эксплуатацию firewall, антивируса, шлюзов. - **Есть что защищать, но команды на 24/7 не хватает.** Когда инфраструктура уже не маленькая и риск целевых атак реален, нужна **MDR**: активное обнаружение и реагирование закрывают самый дорогой риск — незамеченную атаку. - **Нужен полноценный мониторинг, но строить свой SOC дорого.** Если хочется централизо- ванного контроля по всей инфраструктуре без найма команды и капзатрат на платформу — **SOCaaS**. Часто его берут с опциями MDR. - **Средняя/высокая зрелость, свой SOC уже есть.** Тогда наружу отдают точечно: threat hunting, ночные смены, отдельные сервисы (гибридная модель).

Подробный расчёт «свой SOC против аутсорсинга» — в материале [свой SOC или аутсорсинг](/research/svoj-soc-ili-autsorsing).

Чек-лист выбора модели управляемых услуг ИБ

Определите цель что отдаёте наружу: эксплуатацию СЗИ, реагирование или весь мониторинг.

Оцените свою зрелость есть ли своя команда ИБ, дежурства 24/7, выстроенные процессы.

Уточните реагирование провайдер только уведомляет или сам останавливает атаку (изоляция, блокировка).

Зафиксируйте SLA время реакции, время обнаружения, время сдерживания — в цифрах и в договоре.

Проверьте охват какие источники, хосты и сегменты реально под мониторингом, а какие вне периметра услуги.

Разграничьте ответственность кто принимает решение об активных действиях и кто отвечает за последствия.

Проверьте комплаенс статус в реестре отечественного ПО и сертификаты ФСТЭК под вашу задачу (КИИ, госсектор).

Сравните цену по объёму одинаковый ценник может скрывать разный объём; считайте стоимость на единицу охвата.

Сверьте поставщиков сравните кандидатов по подтверждённым внедрениям в [рейтинге MSSP, MDR и SOC](/rating/mssp-mdr-soc).

Как перейти на управляемую услугу: 5 шагов

01 Аудит текущего состояния
Зафиксируйте, какие средства защиты есть, что мониторится, где дыры в покрытии и дежурствах.
02 Выбор модели
По чек-листу выше определите, что отдаёте наружу — MSSP, MDR, SOCaaS или их комбинацию.
03 Шорт-лист и сравнение SLA
2–3 поставщика, сравнение по реагированию, охвату, времени реакции и ответственности, а не только по цене.
04 Пилот и интеграция
Подключение источников событий, настройка сценариев реагирования, обкатка эскалаций на реальных событиях.
05 Выход на промышленную эксплуатацию
Согласованные SLA, регулярная отчётность, периодический пересмотр сценариев и охвата.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом MSSP, MDR и аутсорсинга SOC](/rating/mssp-mdr-soc): здесь — модели и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Определились с моделью — переходите к сравнению поставщиков: **[рейтинг MSSP, MDR и аутсорсинга SOC →](/rating/mssp-mdr-soc)**. Полезно прочитать рядом: [свой SOC или аутсорсинг](/research/svoj-soc-ili-autsorsing), [рейтинг MSSP и MDR-провайдеров России 2026](/research/rejting-mssp-mdr-2026) и [как подключить SOC к ГосСОПКА через сервис-провайдера](/research/podklyuchenie-soc-gossopka).

Частые вопросы

В чём главное отличие MDR от MSSP?

В реагировании. MSSP управляет средствами защиты и держит инфраструктуру ИБ в рабочем состоянии, но активно атакующего не останавливает. MDR сфокусирован именно на обнаружении активной атаки и активном реагировании — изоляции хоста, блокировке, сдерживании.

SOCaaS — это то же самое, что MDR?

Нет. SOCaaS — это центр мониторинга по подписке: люди, процессы и платформа SOC как услуга с охватом по всей инфраструктуре. MDR уже по охвату, но глубже в детекте и реагировании на конечных точках и в сети. На практике их часто комбинируют: SOCaaS с функциями MDR.

Что выбрать, если у нас нет своей команды ИБ?

Зависит от задачи. Если нужно просто сопровождать средства защиты — MSSP. Если нужен полноценный мониторинг 24/7 без найма команды — SOCaaS. Если главный риск — целевые атаки и их быстрое сдерживание — MDR. Часто стартуют с базовой модели и расширяют объём по мере роста зрелости.

Чем аутсорсинг SOC выгоднее своего SOC?

Свой SOC — это найм и удержание дефицитных аналитиков, лицензии на платформу и круглосуточ- ные дежурства. Аутсорсинг (SOCaaS) переводит это в подписку с предсказуемой стоимостью и готовой экспертизой. Детальный расчёт — в материале свой SOC или аутсорсинг.

На что смотреть в договоре в первую очередь?

На SLA по реагированию (время обнаружения и сдерживания в цифрах), на реальный охват (какие источники и сегменты под мониторингом), на разграничение ответственности за активные действия и на статус поставщика в реестре отечественного ПО и сертификаты ФСТЭК под ваши требования.

Где сравнить конкретных провайдеров между собой?

В рейтинге MSSP, MDR и аутсорсинга SOC — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России

Рейтинг MSSP, MDR и аутсорсинга SOC Сравнить поставщиков по подтверждённым сигналам Свой SOC или аутсорсинг: расчет стоимости и сравнение Рейтинг MSSP и MDR-провайдеров России 2026 Как подключить SOC к ГосСОПКА через сервис-провайдера