SOC vs MDR vs MSSP — czym się różnią i co wybrać?

Trzy skróty, trzy obietnice, trzy różne rzeczywistości

Rynek cyberbezpieczeństwa nie ułatwia wyboru. MSSP, MDR, SOC — każdy dostawca używa tych terminów trochę inaczej, a granice między nimi celowo się rozmywają. Bo w rozmytych granicach łatwiej sprzedać mniej za więcej.

Oto jak te modele wyglądają w praktyce — nie w folderach sprzedażowych.

MSSP — ktoś zarządza Twoimi narzędziami

MSSP (Managed Security Service Provider) to najstarszy model outsourcingu bezpieczeństwa. Dostawca zarządza Twoimi firewallami, antywirusem, IDS/IPS. Monitoruje alerty. Gdy coś zobaczy — powiadamia Twój zespół.

I tu jest granica. MSSP zazwyczaj nie analizuje głęboko, nie izoluje zagrożonych systemów, nie prowadzi threat huntingu i nie bierze odpowiedzialności za reakcję. Widzi alert — przekazuje Ci informację. Co z nią zrobisz — to Twoja sprawa.

To jak firma monitoringowa, która obserwuje kamery i dzwoni do Ciebie, gdy coś zobaczy. Ale nie wchodzi do budynku, żeby sprawdzić.

MSSP ma sens, gdy masz własny zespół IT zdolny do reagowania na incydenty i potrzebujesz kogoś do zarządzania narzędziami. Ale nie łudź się, że masz „SOC" — masz forwarding alertów.

MDR — głęboka ochrona, ale wąska

MDR (Managed Detection and Response) poszedł krok dalej. Zamiast tylko monitorować — wykrywa i reaguje. Izoluje zainfekowany endpoint, usuwa malware, prowadzi threat hunting.

Problem w tym, co MDR nie robi.

Większość dostawców MDR koncentruje się na endpointach — stacjach roboczych i serwerach. To daje głęboką ochronę jednej warstwy. Ale nie widzi reszty. Phishing przechodzący przez pocztę? Przejęte konto w Entra ID? Eksfiltracja danych przez OneDrive? Lateral movement w sieci? MDR tego nie zobaczy, bo nie monitoruje tych źródeł.

To jak specjalistyczna ochrona, która pilnuje drzwi wejściowych. Robi to świetnie. Ale jeśli ktoś wejdzie przez okno na piętrze — nie zauważy.

MDR ma sens, gdy Twoje największe ryzyko to zagrożenia na endpointach i masz już osobny monitoring sieci, poczty i tożsamości. Ale jako jedyny element ochrony — zostawia luki.

SOC — pełna widoczność, pełna reakcja

SOC (Security Operations Center) to model, który łączy ludzi, technologię, procedury i AI w jednym centrum operacyjnym widzącym całą infrastrukturę — od endpointów przez pocztę, tożsamość, chmurę, po sieć.

Gdzie MSSP powiadamia, SOC reaguje. Gdzie MDR widzi endpoint, SOC widzi łańcuch ataku od phishingowego maila po eksfiltrację danych. Gdzie oba modele kończą pracę na „incydent zamknięty", SOC aktualizuje reguły detekcji, żeby ten sam scenariusz nie powtórzył się u żadnego klienta.

SOC to nie „droższy MSSP". To inny model pracy — z pętlą ciągłego doskonalenia: zbieraj → koreluj → analizuj → reaguj → ucz się.

Scenariusz: ten sam atak, trzy różne doświadczenia

Piątek, 23:40. Pracownik kliknął link w phishingowym mailu. Atakujący przejął jego konto w Microsoft 365, nadał sobie uprawnienia administratora w Entra ID i zaczął eksfiltrować pliki z SharePointa. Jednocześnie na dwóch stacjach roboczych uruchomił Cobalt Strike — przygotowanie do ransomware.

Z MSSP: O 23:41 system generuje alert. MSSP widzi go i o 23:55 wysyła e-mail do Twojego IT: „Alert HIGH — podejrzana aktywność na endpoincie". Nikt nie czyta maila do poniedziałku rano. W sobotę rano ransomware szyfruje serwery plików.

Z MDR: O 23:42 MDR widzi aktywność Cobalt Strike na endpointach i izoluje dwie stacje robocze. Dobrze — endpointy uratowane. Ale MDR nie monitoruje poczty ani tożsamości. Nie widzi, że konto jest przejęte i eksfiltracja z SharePointa trwa. W poniedziałek rano okazuje się, że 40 GB danych klienckich wyciekło.

Z SOC: O 23:41 AI koreluje trzy sygnały: phishing w poczcie, anomalię w Entra ID, Cobalt Strike na endpointach. Analityk na zmianie nocnej widzi pełny łańcuch ataku w jednym widoku. O 23:47 — endpointy izolowane, konto zablokowane, sesja SharePointa zamknięta. O 23:55 — zarząd powiadomiony, raport do CSIRT przygotowany. Eksfiltracja zatrzymana po 4 GB zamiast 40.

Trzy modele, ten sam atak, trzy fundamentalnie różne wyniki.

Porównanie — co konkretnie dostajesz

Ostatni wiersz zaskakuje wielu. Managed SOC od SecIQ zaczyna się od 1 499 PLN/mies. (pakiet Starter) — taniej niż większość rozwiązań MDR. Różnica: SOC daje szerszą widoczność i wsparcie compliance w pakiecie.

A co na to KSC 2.0?

KSC 2.0 (Dz.U. 2026 poz. 252) wymaga od podmiotów kluczowych i ważnych rzeczy, które nie wszystkie modele spełniają:

Ciągły monitoring. MSSP może formalnie monitorować 24/7. Ale jeśli „monitoring" oznacza „widzimy alert i wysyłamy Ci maila o 3 w nocy" — to spełnienie litery, nie ducha przepisu.

Raportowanie incydentów w 24h. Tu nie wystarczy wykryć. Trzeba przeanalizować, sklasyfikować i zgłosić do CSIRT. Sam alert to za mało — potrzebujesz zespołu, który w weekendy robi analizę, nie tylko forwarding.

Logi odporne na manipulację. Atakujący zamrażają lub usuwają logi na lokalnych serwerach. Jeśli Twój dostawca ich nie archiwizuje w chmurze — tracisz dowody i nie dotrzymasz terminów raportowania.

Nadzór nad łańcuchem dostaw. SOC z korelacją cross-domain widzi połączenia z dostawcami. MSSP i MDR — zwykle nie.

Pytanie nie brzmi „SOC czy MDR". Brzmi: czy mój dostawca potrafi więcej niż tylko zgłosić incydent?

Prawdziwe pytania decyzyjne

Zamiast zastanawiać się nad skrótami, sprawdź cztery rzeczy u swojego obecnego lub przyszłego dostawcy:

1. Czy reaguje w nocy i weekendy z tym samym SLA co w dzień? Bo tam dzieje się 76% ataków ransomware.
2. Czy przechowuje logi poza zasięgiem lokalnego ataku? Logi na Twoim serwerze = dowody, które atakujący zniszczy.
3. Czy widzi pełny łańcuch ataku — nie tylko endpointy? Phishing + przejęte konto + lateral movement to jeden atak widoczny w trzech systemach. Jeśli dostawca monitoruje tylko endpointy — widzi jedną trzecią.
4. Czy potrafi pomóc w raportowaniu do CSIRT w wymaganych terminach? Nie w poniedziałek — w 24 godziny od wykrycia, niezależnie od dnia tygodnia.

Jeśli na wszystkie cztery odpowiedź brzmi „tak" — masz dobrego dostawcę, niezależnie od tego, jak się nazywa. Jeśli na którekolwiek brzmi „nie wiem" — czas na rozmowę.

Hybrydy i szare strefy — co rynek celowo rozmywa

Warto wiedzieć, że granice między modelami są celowo rozmywane przez dostawców. MDR, który dodał monitoring logów SIEM, zaczyna nazywać się „SOC". MSSP, który dodał automatyzację reakcji na endpointach, mówi „mamy MDR". SOC, który tak naprawdę ma jednego analityka i skrypt automatyzujący, reklamuje „zespół ekspertów 24/7".

Nie ufaj etykietom. Pytaj o konkrety: ilu ludzi jest na zmianie nocnej? Jakie źródła danych monitorujecie? Co się dzieje, gdy analityk potrzebuje eskalacji do L3 w sobotę o 4 rano?

Dostawca, który odpowiada na te pytania bez wahania i z detalami — jest wart uwagi. Dostawca, który odpowiada ogólnikami — prawdopodobnie ma więcej do ukrycia niż do pokazania.

Jak SecIQ to łączy

SecIQ nie jest „czystym SOC" w tradycyjnym rozumieniu. Łączy elementy trzech modeli — i dodaje czwarty filar, którego żaden z nich sam nie ma:

• SIEM/XDR (jak SOC) — Microsoft Sentinel + Defender XDR, korelacja cross-domain
• Endpoint protection (jak MDR) — Defender for Endpoint z pełnym containmentem
• Zarządzanie narzędziami (jak MSSP) — konfiguracja, strojenie, aktualizacje
• AI — triage alertów w sekundach, anomaly detection, wsparcie analityka 24/7 z taką samą dokładnością o północy co w południe

Plus elementy, których żaden z trzech modeli sam nie daje: dedykowany opiekun, który zna Twoje środowisko. vCISO do compliance. Logi w chmurze Azure. Codzienne doskonalenie reguł detekcji — po każdym incydencie u każdego klienta cała baza wiedzy rośnie.

Poznaj szczegóły SecIQ SOC → | Umów bezpłatną konsultację →

Źródła

• Gartner Market Guide for Managed Detection and Response 2025 — definicje i klasyfikacja rynku
• KSC 2.0 — obowiązki podmiotów kluczowych — kogo dotyczą wymagania
• NIST Cybersecurity Framework — model Identify, Protect, Detect, Respond, Recover