Почему на рынке растет спрос на услуги центров мониторинга кибератак
О том, в каком состоянии находится рынок информационной безопасности, как меняется характер киберугроз и как им эффективно противостоять, рассказал директор Центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Александр Матвеев
— Как вы оцениваете динамику киберугроз для бизнеса в последнее время?
— По нашим данным, в первом полугодии 2024 года количество атак на российские компании выросло примерно на 30% по сравнению с аналогичным периодом прошлого года. Серьезной проблемой остаются программы-вымогатели, с помощью которых злоумышленники требуют выкуп — как правило, в биткоинах. В первом полугодии ущерб от таких киберпреступлений в России вырос примерно на 25%.
Количество киберугроз для бизнеса постоянно увеличивается, растет их вариативность. Хакеры становятся изобретательнее, атаки — сложнее. Если ранее крупный бизнес был главной целью хакеров, то сейчас ущерб наносится самым разным компаниям, даже тем, которые не представляли себя мишенью для злоумышленников, например учебным заведениям, социальным организациям, малому бизнесу.
Финансовая составляющая, конечно, остается основным интересом злоумышленников. Однако сложившаяся международная обстановка активизировала хактивистов, которые нацелены на деструктивные действия — например, целенаправленно уничтожить инфраструктуру. За первое полугодие количество деструктивных атак выросло на 40%. И такие атаки несут большую опасность. Дело в том, что в финансово мотивированных инцидентах хакеры не уничтожают данные и инфраструктуру, иначе им будет просто нечем шантажировать жертву. Хактивистам же нужно нанести как можно больше вреда, а значит, они будут уничтожать все без оглядки.
— Каков объем рынка кибербезопасности сегодня, что его стимулирует?
— Рынок ИБ находился в упадке после пандемии, как и вся мировая экономика в целом. В 2022 году начался стремительный рост, который был простимулирован процессом импортозамещения из-за санкций против России. В 2022 году, по усредненной оценке, доходы игроков рынка информационной безопасности подскочили на 40%. В 2023–2024 годах на рынке сохраняются высокие темпы развития, за прошлый год доходы компаний с выручкой от 1 млрд руб. выросли на 50%, а в целом выручка составила, по разным оценкам, от 250 млрд до 280 млрд руб. Общий объем рынка ИБ-решений эксперты сейчас оценивают в 300 млрд руб. В 2023 году более половины российских компаний увеличили бюджеты на кибербезопасность, в среднем организации стали тратить на 20% больше.
При этом на рынке сохраняется ряд серьезных проблем. Главная из них — недостаток специалистов, кадровый дефицит составил около 50 тыс. человек в 2023 году. В 2016 году, например, он составлял около 20 тыс. специалистов, то есть он постоянно растет и пока, кажется, будет только увеличиваться.
— Какие факторы увеличивают киберриски для организаций?
— Во-первых, хакеры усложняют методы атак, что затрудняет и мониторинг, и возможность подготовиться заранее к их отражению. Например, группировка Dark Angels начала использовать тактику массированной атаки на одну цель вместо традиционной практики нападения на несколько компаний сразу, что принесло им рекордный выкуп в $75 млн в начале этого года. Или группировка Evasive Panda разработала стратегию атак через компрометацию третьей стороны — интернет-провайдера.
Второй важный фактор — это недостаточная осведомленность и грамотность сотрудников. Многие компании не придают большого значения их подготовке и повышению квалификации в вопросах кибербезопасности. Хотя 60% утечек данных связаны именно с человеческим фактором. Инсайдеры — не всегда злоумышленники, часто это просто невнимательные сотрудники, которые нажали, например, не на ту ссылку. Мы, со своей стороны, фиксируем рост общей фишинговой активности примерно на 25% в год, и количество успешных фишинговых атак не уменьшается.
Согласно оценкам нескольких игроков рынка, Россия по итогам первого полугодия текущего года заняла первое место в мировом рейтинге по количеству утечек данных. Конечно, я бы не был настолько уверен в первом месте, существуют разные подходы к методологии исследования, разная статистика используется и так далее. Но, безусловно, Россия, как одна из самых технологически развитых стран мира, где огромное количество цифровых технологий интегрировано в совершенно разные сферы жизни, входит в пятерку государств по утечкам банально из-за большого объема данных и технологий.
В-третьих, обозначился комплекс проблем в связи с импортозамещением средств информационной безопасности (ИБ). Пока не все организации, которые законодательно обязаны перейти на отечественные средства защиты, успели это сделать. А те, кто быстро мигрировали в последние два года, к сожалению, в спешке могли допустить ряд ошибок. Еще пару лет назад найти адекватную замену зарубежным средствам защиты информации (СЗИ) было проблематично. Часто выбирались не лучшие решения, с определенными недостатками, а каким-то продуктам прямой замены просто не было. Такая технологическая ситуация приводит к возникновению уязвимостей, а значит, и к росту рисков. Теперь неудачно выбранные импортозамещенные решения, видимо, будут еще раз замещаться на более функционально полные либо дорабатываться и модернизироваться.
Кроме того, коммерческие организации не спешат с импортозамещением. Многие не видят очевидной целесообразности такого шага — ранее внедренные зарубежные системы работают, есть сформированные команды и компетенции, никто не хочет переучиваться в процессе. При этом вендоры отказывают в официальной поддержке таких решений, а значит, они не получают актуальных обновлений и появляются различного рода уязвимости, которые злоумышленники могут эксплуатировать. С точки зрения безопасности использование сегодня зарубежных СЗИ несет достаточно большие риски.
— Говоря о практических шагах, может ли бизнес оценить уровень своей защищенности — и с помощью каких инструментов?
— Бизнес не только может, но и должен проводить оценку своей защищенности. Для этого существуют разные инструменты. Во-первых, проведение тестов на проникновение, или, как их называют в профессиональной среде, пентестов. Они могут быть внешними, для моделирования атаки через интернет, и внутренними, когда специалисты имитируют действия злоумышленника изнутри компании. Цель — поиск уязвимостей в информационных системах.
Во-вторых, это red teaming, или киберучения, то есть имитация проведения целевых атак на компанию, как если бы действовали настоящие хакеры. В отличие от пентеста цель red teaming — понять все возможные векторы атак на организацию и в том числе проверить готовность команды SOC к их отражению.
В-третьих, метод purple teaming, который сочетает усилия атакующей (red team) и защищающей (blue team) команд, чтобы создать более эффективную систему защиты.
В-четвертых, аудит информационной безопасности, когда проводится оценка архитектуры, конфигурации инфраструктуры, существующих технических средств защиты информации.
И в-пятых, регулярная проверка внешнего периметра за счет непрерывного анализа защищенности путем внешних сканирований (Attack Surface Management).
По результатам всех этих видов проверок составляется отчет по уязвимостям и разрабатывается план дальнейшего развития системы кибербезопасности.
— Какие сервисы и продукты кибербезопасности сегодня нужны для эффективной системы ИБ в компании?
— В следующем году «Информзащите» исполняется 30 лет. За столько мы пережили несколько революций информационной безопасности, появление новых систем ИБ и так далее. Нужно сказать, что прожить формирование своей отрасли — это огромный опыт и конкурентное преимущество. Поэтому мы максимально точно выясняем, с учетом накопленной экспертизы и анализа перспектив, что компаниям надо интегрировать в свою систему информационной безопасности сегодня.
В первую очередь это SOC, то есть центр мониторинга и противодействия кибератакам. Компания может выстроить такой центр внутри, создать команду аналитиков ИБ, архитектуру для мониторинга угроз в режиме 24/7 собственными ресурсами. Мы помогаем в создании таких SOC, но у них есть большой недостаток — обычно это дорого и долго. Альтернативный вариант — сервисный SOC, или «SOC как услуга», то есть привлечение сторонней компании для реализации функции центра по контролю, мониторингу и реагированию. По востребованности эта услуга сегодня занимает первое место. Среди преимуществ такого формата — быстрое подключение, моментальный доступ к экспертизе, круглосуточная работа, меньшие затраты, гибкость. Более того, использование сервисного SOC позволяет параллельно строить собственный без необходимости спешить и принимать не до конца продуманные решения.
Если собственный SOC больше подходит для крупных компаний, то сервисный — в первую очередь для малого и среднего бизнеса или организаций, которым центр нужен срочно. Существует еще гибридный вариант: совмещение услуги и собственного SOC. Этот вариант сегодня набирает большую популярность. Самый частый сценарий — когда компания приобрела средства защиты, но не имеет собственной команды подготовленных аналитиков. В этом случае мы предоставляем команду специалистов, которые будут работать с технологическими решениями и СЗИ в инфраструктуре заказчика.
Кроме того, компаниям нужны услуги по управлению инцидентами и уязвимостями. У более зрелых с точки зрения ИБ заказчиков востребованы услуги по защите бренда, анализу утечек данных, а также услуги purple team, чтобы определить направления дальнейшего развития ИБ в компании.
В целом на рынке растет спрос на решения и услуги, которые обеспечивают реальную безопасность. Это, к примеру, услуга форензики — расследования причин киберинцидентов.
— Как я понимаю, форензика — это киберкриминалистика?
— Совершенно верно. Это отдельная и очень интересная сфера информационной безопасности. Специалисты по компьютерной криминалистике занимаются раскрытием киберпреступлений. Они ищут цифровые доказательства, исследуют, как было совершено преступление, воссоздают всю картину инцидента целиком. Затем они проводят ее анализ и выдают заключение.
Это важная услуга, особенно в случае крупных инцидентов, разбирательство по которым проходит в суде. Отчет киберкриминалистов со всеми доказательствами позволяет определить виновных и помочь компании добиться справедливого решения и компенсации потерь.
Конечно, такие специалисты — редкость, так как эксперту здесь необходимо сочетание знаний по информационной безопасности и криминалистике. Компаниям обычно невыгодно держать такого эксперта в штате. Это очевидно — инциденты происходят не каждый день. Поэтому в основном пострадавшие организации обращаются к сторонним компаниям, например к нашей.
— Если говорить с технологической точки зрения, какие практики киберзащиты инфраструктуры сегодня нужны больше всего?
— Постоянное технологическое развитие ведет к расширению спектра решений и услуг ИБ. Их выбор и использование зависит от рода деятельности компании, ее размера, бизнес-рисков, критичности защищаемых активов и бюджета. Бизнес обеспечивает свою кибербезопасность по-разному. Кто-то довольствуется антивирусом, кто-то организует собственный центр мониторинга и реагирования на киберугрозы (Security Operation Center, SOC), кто-то использует технологии машинного обучения для повышения эффективности своей ИБ.
В числе наиболее эффективных практик — межсетевые экраны нового поколения (Next Generation Firewall, NGFW), сервис защиты веб-приложений (Web Application Firewall, WAF), защита конечных точек (Endpoint Security), системы для сбора и анализа информации о событиях безопасности (SIEM) и автоматизации и реагирования на инциденты безопасности (SOAR). Из услуг — это SOC, пентесты, комплексная симуляция кибератак (Breach and Attack Simulation, BAS), непрерывный мониторинг внешнего периметра организации, сервис управления поверхностью атаки (Attack Surface Management, ASM), а также услуги комплексной защиты бренда (Brand Protection) для более зрелых организаций.
Реклама. АО НИП «Информзащита», erid: F7NfYUJCUneP4WLev1P1