Аналитики отмечают, что в последние годы компании стали не только больше внимания уделять своей информационной безопасности — но и чаще говорить о выборе своих решений, делиться опытом. Что особенно ценно в ситуации, когда этот рынок активно перестраивается, формируется новое предложение от российских игроков.
Статистика неумолима: количество киберугроз, с которыми сталкивается бизнес, не сокращается — более того, растёт их многообразие, говорят эксперты. DDoS, целевые, фишинговые, а также атаки с использованием программ-шифровальщиков; продолжение тренда на утечки данных — перечисляет руководитель Центра мониторинга кибербезопасности в "Лаборатории Касперского" Сергей Солдатов. Однако прослеживаются определённые закономерности, уточнил он.
“
Финансовая мотивация по-прежнему популярна среди атакующих — и здесь на первом месте атаки шифровальщиков или маскирующиеся под них атаки с уничтожением данных. В последнее время мы наблюдаем рост практики приобретения вредоносных инструментов и схем по модели услуг, вроде Malware-as-a-Service, что значительно снижает порог входа для начинающих злоумышленников. Кроме того, последние громкие "сливы" инструментов ещё больше усугубляют ситуацию. С февраля 2022 года наблюдался всплеск хактивизма, однако в 2023-м это уже не носило настолько массовый характер, хотя среди атакующих в качестве мотивации сохранилась цель — уничтожение данных. Нередко здесь наблюдается многоэтапная схема, когда данные воруются с целью публикации их слива, а параллельно за них запрашивается выкуп по схеме атак с шифровальщиками", — рассказал Сергей Солдатов.
Согласно исследованиям актуальных киберугроз, которые регулярно проводит компания Positive Technologies, 74% успешных атак на бизнес имеют целенаправленный характер, строятся под конкретную коммерческую или государственную организацию. Наибольший интерес злоумышленники проявляют к госучреждениям, медицинским, финансовым, научным организациям, промышленным и ИТ-компаниям.
"Самым частым последствием успешных атак является утечка конфиденциальной информации (56 %), вторым по частоте последствием успешных атак является нарушение основной деятельности (36%), на третьем месте по распространённости — прямые финансовые потери, — уточняет заместитель директора экспертного центра безопасности Positive Technologies Владимир Дмитриев. — Одним из лидирующих методов успешных атак на организации является эксплуатация уязвимостей (37%), по-прежнему активно применяется вредоносное ПО (45%), также одним из основных векторов атак на организации является социальная инженерия. При этом если ранее социальная инженерия в основном касалась электронной почты, то сейчас злоумышленники всё чаще используют для данных целей популярные мессенджеры".
Подтверждают тенденцию роста атак с использованием социальной инженерии и в "МегаФоне".
“
Методы адаптируются под социальную среду. Например, был замечен рост вредоносной рекламы в выдачах поисковых систем. А также набирает обороты атаки с использованием QR-кодов", — уточняет Александр Голубчиков, руководитель направления по развитию продуктов кибербезопасности "МегаФона". Он также отметил, что государство отреагировало на прошедшую череду сообщений о крупных утечках персональных данных в различных компаниях в 2023 году — и сейчас активно обсуждается изменение в законодательстве об ужесточении наказания за халатное отношение к персональным данным. А их защита сегодня требует более комплексного подхода. И здесь эксперты наиболее релевантным решением называют SOC (Security Operations Center), центр мониторинга и контроля ИБ, который позволяет избежать крупных вложений в информационную безопасность как минимум в части дефицитных человеческих ресурсов, говорит Александр Голубчиков.
А рынок коммерческих SOC активным ростом в 2023-м подтверждает данную мысль. Эксперты прогнозируют, что по итогам года спрос на эту услугу увеличится до 70% по сравнению с 2022-м.
Не на тех напали
"Тема SOC в 2023 году стала более популярна, поскольку расширившийся ландшафт угроз спровоцировал потребность в профессиональном обеспечении сервисов операционной безопасности. Специалистов в ИБ всегда не хватало, и это ощутимо именно в SOC, где работа сложная и ответственная. Сложившаяся ситуация с количеством атак и злоумышленников создала ещё больший спрос на аналитиков служб мониторинга и специалистов по реагированию на инциденты", — объясняет растущую востребованность услуги Сергей Солдатов.
В "МегаФоне" уточняют, что бизнес интересует либо комплексная услуга SOC, либо внедрение в их контур отдельных элементов SOC, например SIEM-систем (систем мониторинга событий безопасности, Security Information and Event Management. — Ред.). При этом российский рынок аутсорсинговых услуг SOC сложился в середине 2010-х — и здесь всегда доминировали отечественные компании, поэтому массовый уход зарубежных производителей не оказал такого влияния, как в других сегментах сферы кибербезопасности, замечает Владимир Дмитриев.
Эффективность таких центров объясняется тем, что благодаря объединению компетенций специалистов, процессов и технологий высока результативность выявления и реагирования на ИБ-инциденты — будь то внешние или внутренние нарушения в системе безопасности. Соответственно, в зависимости от видов угроз наиболее релевантными для компании могут быть различные услуги SOC: от простых до самых актуальных идей против атак от злоумышленников. Тем не менее решения считаются дорогими и сложными — и это пока ограничивает спрос.
“
Решение SOC всё же больше подходит для среднего и крупного бизнеса с развитой инфраструктурой и сетью, — говорит Александр Голубчиков. — Самая большая польза для любого бизнеса — это получаемая экспертиза. Для тех компаний, где трудится один или несколько специалистов в области ИБ, заказчик получает огромную экспертизу, в крупных компаниях с развитым штатом дополнительную экспертизу и данные об атаках, которые SOC-центр анализирует, получая сведения из разных инфраструктур своих заказчиков".
Впрочем, клиенты всё чаще смотрят в сторону аутсорсинга или комбинированного SOC, замечает директор по развитию IT-компании Qubit Иван Рудианов. "Наиболее востребованные функции SOC: активный мониторинг IT-среды и сбор данных об инцидентах; анализ подозрительных событий; реагирование на угрозы; восстановление системы после инцидента; расследование инцидентов; ведение реестра ресурсов, — перечисляет эксперт. — Ключевыми выгодами внешнего SOC являются отсутствие необходимости приобретения и техсопровождения дорогостоящих инструментов, запуск здесь и сейчас, а не трудоёмкое формирование квалифицированной команды, соответствие требованиям регуляторов".
Кроме того, так называемая "гибридная" модель использования услуг — когда компания планирует строительство собственного SOC в рамках переходного периода и привлекает стороннего сервис-провайдера к задачам по оптимизации, адаптации и эксплуатации — решает для предприятия задачу подготовки собственной команды защиты, говорит Владимир Дмитриев. По его мнению, это даёт не только дополнительное время на поиск и обучение необходимых специалистов по безопасности, но также позволяет получить от сервис-провайдера практические знания и опыт по предупреждению, обнаружению и реагированию на киберугрозы.
В поисках релевантных решений
"Наиболее востребованный состав услуг повторяет имеющееся предложение от лидеров рынка, поскольку крупные игроки проактивно видят потребность и соответствующим образом реорганизуют своё предложение", — уверены в "Лаборатории Касперского".
Так, в "МегаФоне" коммерческий SOC запустили лишь в 2022 году — но этот шаг стал логичным продолжением многолетнего развития экосистемы решений для блокировки целевых и массовых атак. В основе — собственные разработки и предложения от российских вендоров. Сервис возможно подключить отдельно или в тандеме с другими решениями оператора, а преимуществом являются уникальные метрики киберразведки, которые собираются со всей сети, что расширяет ландшафт и помогает развивать процесс проактивного поиска угроз. Так, в зоне внимания в том числе мобильные гаджеты и устройства IoT. В том числе поэтому оператор сегодня активно наращивает свою долю рынка коммерческих SOC.
В компании говорят, что сегодня услуга переживает новый этап развития. "На сегмент влияют два фактора: возрастает осознанность компаний в области ИБ и законодательная инициатива развивается в сторону ужесточения требований по ИБ, что определяет перспективы на дальнейший рост и развитие данного рынка", — уверен Александр Голубчиков.
Сергей Солдатов также добавляет, что это связано не только с уже упомянутым увеличением количества атак, но и с постепенным импортозамещением. Чем выше будет популярность отечественного ПО, тем больший интерес к нему будет со стороны злоумышленников, а практики обеспечения ИБ этих новых отечественных решений ещё формируются, говорит эксперт.
"Со временем всё больше компаний будут требовать от своих сервис-провайдеров предоставления услуг SOC, основанных на принципах результативной кибербезопасности, цель которой — исключение недопустимых событий и ущерба, вызванных кибератаками", — резюмирует Владимир Дмитриев.