Сучасні центри моніторингу та реагування на кіберінциденти (SOC) залишаються перевантаженими, фрагментованими та реактивними, попри великі інвестиції в інструменти безпеки. Проблема не в нестачі технологій, а в їхній роз’єднаності — вони не забезпечують цілісної видимості та швидкої відповіді на загрози. Згідно з дослідженням SANS 2025, SOC страждають від надлишку сповіщень, браку ресурсів і розриву між виявленням та реагуванням.

Айрін Голдштейн, генеральний директор UltraViolet Cyber, закликає трансформувати SOC у програмно-орієнтовану, стійку модель із підходом Detection-as-Code (DaC) — коли логіка виявлення загроз створюється як код, має версійний контроль і постійно перевіряється. Майбутній SOC повинен поєднувати наступальні й оборонні підходи, використовувати єдину телеметрію, автоматизацію (SOAR), безперервні симуляції атак та аналітику загроз.

CISO рекомендується інвестувати у п’ять стратегічних напрямів: розвідку загроз, DaC, централізовані озера даних, автоматизацію реагування та регулярне моделювання реальних атак. Такий підхід дозволить зробити SOC менш реактивним і більш проактивним та стійким до сучасних, зокрема AI-керованих, загроз.