11 Февраля 2026 17:12 | 11 Фев 2026 17:12 | |

Поделиться

Виталий Масютин, «Линза»: Спрос на модель «кибербезопасность как сервис» существенно вырос

CNews: Какие существенные изменения произошли в российской отрасли кибербезопасности за последние годы?

Виталий Масютин: За последние пять лет российская информационная безопасность прошла путь ускоренной трансформации и вышла на принципиально новый уровень зрелости. Пандемия 2020 года сделала удаленный формат работы массовым, резко расширила цифровой периметр компаний и ускорила цифровизацию ключевых бизнес-процессов. В 2022 году к этим факторам добавился новый вызов — полномасштабное киберпротивостояние с организованными, мотивированными и хорошо подготовленными противниками.

Рост количества и сложности атак привел к осознанию реальности киберрисков и их последствий. Сегодня речь идет не только о кражах данных, но и о сценариях полной остановки бизнеса, потери управляемости и разрушения ИТ-инфраструктуры. Кибербезопасность стала фактором устойчивости и непрерывности бизнеса.

В ответ на эти вызовы государственные и коммерческие организации начали системно инвестировать в защиту цифровых активов, выстраивая ее в новой реальности — преимущественно на базе российских решений.

В новых условиях также оказались отечественные ИБ-вендоры и системные интеграторы. Их решения и экспертиза заняли место ушедших зарубежных игроков, которые долгое время формировали ожидания рынка за счет гибкой ценовой политики и зрелых продуктов. Перед российской ИБ-отраслью встала задача не просто заменить, а обеспечить сопоставимый уровень качества, надежности и эффективности.

За последние три года была проделана колоссальная работа. Сегодня можно с уверенностью говорить о кратном росте как количества, так и уровня зрелости отечественных ИБ-продуктов и сервисов. Российская кибербезопасность перестала быть догоняющей — она стала самостоятельной, практико-ориентированной и способной решать реальные задачи бизнеса в условиях повышенного давления.

Именно в этом контексте формируется новая модель рынка: фокус на результат, доверие к отечественным технологиям и понимание того, что безопасность — это не разовая покупка, а системный и управляемый процесс.

CNews: Как изменилось восприятие кибербезопасности в отечественных государственных и частных организациях различного масштаба?

Виталий Масютин: Если раньше вопросы информационной безопасности в первую очередь волновали крупный бизнес, то события последних лет наглядно показали реальность атаки на компании любого масштаба. Средние и небольшие организации становятся не только прямыми жертвами атак, но и промежуточным звеном в цепочках атак на крупные корпорации.

В государственном секторе произошел не менее важный сдвиг: от формального соблюдения регуляторных требований рынок перешел к фокусу на реальную безопасность. Изменилась сама культура отношения к ИБ — на уровне руководства и сотрудников. Бюджеты на кибербезопасность согласуются быстрее, при этом возрастает и персональная ответственность ИБ-руководителей за непредотвращенные киберинциденты.

Повысилась также осознанность и среди пользователей: требования к паролям и предупреждения о фишинге перестали восприниматься формально на фоне широкого освещения последствий кибератак в СМИ.

При этом рост внимания к ИБ обострил кадровую проблему: дефицит специалистов усилился, а действующие команды вынуждены одновременно отражать атаки, участвовать в проектах импортозамещения и выполнять усложняющиеся требования регуляторов.

CNews:Насколько организации заинтересованы сейчас в аутсорсинге ИБ, какие услуги им интересны? Готов ли отечественный бизнес доверять коммерческим SOC свою кибербезопасность?

Виталий Масютин: Аутсорсинг функций — одно из очевидных бизнес-решений в условиях кадрового дефицита и нежелательности значительных капитальных затрат. В этом отношении кибербезопасность — не исключение.

Наряду с классическими ИБ-услугами — аудитом, пентестами, консалтингом и внедрением средств защиты — за последние три года существенно вырос спрос на модель «кибербезопасность как сервис». Компании все чаще выбирают управляемые сервисы мониторинга и реагирования на атаки (SOC-as-a-Service, MDR), расследование инцидентов и форензику, поиск следов компрометации и проактивное выявление угроз, а также услуги по анализу и сокращению поверхности атаки.

Массовые кибератаки, начавшиеся в 2022 году, заставили бизнес трезво оценить свою готовность к предотвращению, выявлению и расследованию инцидентов. При этом для многих организаций создание собственных круглосуточных ИБ-подразделений оказалось слишком затратным в долгосрочной перспективе, что дополнительно ускорило переход к сервисной модели защиты.

Логичным выходом стало обращение к профильным внешним поставщикам услуг. Отечественные коммерческие SOC получили мощный стимул для развития, и могут предложить заказчикам необходимые сервисы с разным уровнем вовлеченности, показателями качества и назначения.

Ключевой вызов аутсорсинга ИБ — не технологии, а доверие заказчиков. Именно поэтому репутация и практическая экспертиза коммерческого SOC имеют решающее значение. Эффективные MSS-провайдеры выходят за рамки формальных регламентов, выявляя неочевидные признаки сложных атак и выстраивая с клиентами долгосрочные отношения, основанные на измеримом результате.

CNews: Какова общая структура SOC компании «Линза»? Какие услуги вы предоставляете?

Виталий Масютин: Наш SOC был открыт летом 2023 года как структурное подразделение системного интегратора «Платформикс», который работает на российском рынке с 1992 года и является дочерним предприятием группы компаний «Базовые Решения».

В 2024 году в составе группы была основана компания «Линза» («Лаборатория инновационной защиты») — ИБ-интегратор и разработчик собственных продуктов.

Наш коммерческий центр SOC был создан на основе и с учетом многолетнего опыта выполнения проектов по внедрению комплексных систем защиты и специализированных решений, обеспечению соответствия требованиям законодательства, формализации и запуску в операционную деятельность процессов обеспечения и управления ИБ, а также создания in-house SOC для крупных коммерческих и государственных заказчиков.

Услуги SOC компании «Линза» на данный момент включают мониторинг и реагирование на инциденты ИБ; выявление и противодействие кибератакам (MDR); анализ защищенности инфраструктуры, ПО и веб-приложений; анализ безопасности и контроль конфигураций.

Основная ценность нашего SOC для заказчиков заключается в том, что мы предлагаем надежную основу для процессов ИБ — инфраструктуру, подготовленных экспертов по кибербезопасности, а также процессы и методики, выстроенные с использованием нашего богатого опыта создания систем мониторинга и SOC.

Кроме того, мы уделяем большое внимание аналитике и отчетности по результатам работы сервисов центра, чтобы предоставлять заказчикам таргетированную и контекстную информацию о кибератаках, инцидентах, уровне защищенности организации, поверхности атаки и других результатах работы сервисов центра.

CNews: Какие основные решения используются в SOC компании «Линза»? Какова доля российских ИТ и ИБ продуктов?

Виталий Масютин: При формировании технологического стека для оказания услуг в рамках SOC мы изначально стремились минимизировать системные риски и учитывать ключевые направления и тренды развития отрасли информационной безопасности в России. Поэтому наш SOC с самого начала создавался с опорой на отечественные решения и с минимальным использованием open-source-продуктов.

В технологическом ядре центра используется платформа Security Vision. Она обеспечивает стандартизацию и автоматизацию процессов SOC, поддерживает совместную работу аналитиков по инцидентам за счет встроенных средств коммуникации и обмена информацией, а также выступает в роли базы знаний и накопленной экспертизы. Дополнительно платформа используется как аналитический инструмент для формирования статистики и представления результатов работы заказчикам.

Security Vision также обеспечивает независимость от конкретных средств защиты, применяемых при оказании SOC-услуг. В зависимости от задач заказчика используются решения классов SIEM, EDR, VM, NTA/NAD и другие.

Такой подход позволяет нам гибко адаптироваться под требования конкретных заказчиков, поддерживать различные форматы предоставления услуг (in-house, облачный или гибридный), а также обеспечивать работу как с широко распространенными решениями Positive Technologies и «Лаборатории Касперского», так и с менее массовыми отечественными и все еще встречающимися зарубежными продуктами.

По запросу заказчика в ландшафте SOC могут использоваться различные программные продукты и сервисы, в том числе специализированные решения для повышения базового уровня защищенности инфраструктуры. Так, в рамках сервисов центра может применяться «2К: Контроль конфигураций» — программное обеспечение собственной разработки компании «Линза», предназначенное для задач харденинга ИТ-инфраструктур. Решение позволяет выявлять и устранять небезопасные настройки систем и прикладного ПО, снижая поверхность атаки и повышая эффективность последующих процессов мониторинга и реагирования.

CNews: Как можно ускорить процесс выявления и реагирования на киберинциденты? Какие инструменты для этого используются в SOC компании «Линза»?

Виталий Масютин: В этом вопросе важно в первую очередь определить конечную цель ускорения. Для заказчиков SOС — это гарантия или максимальная уверенность, что они не будут взломаны, зашифрованы, не потеряют инфраструктуру, не получат паузу в работе, которая напрямую скажется на бизнес-процессах, финансовых показателях или репутации компании.

Скорость реакции тут не просто важна, но и зачастую критична. Однако кроме скорости, важна осмысленность действий аналитика, возможность максимально точно выстроить и понять последовательность событий и картину произошедшего по событиям, собираемым с инфраструктуры, результатам работы средств защиты и вердиктам на основе корреляции событий.

Ускорение процесса реагирования на инциденты напрямую зависит от того, насколько мы сможем «освободить» голову и руки аналитика от рутинных и типовых задач. Сможем ли дать ему возможность думать над тем, что произошло, строить гипотезы и находить данные для их подтверждений или опровержений, искать связи между растянутыми во времени или на первый взгляд не связанными между собой событиями.

И на этом этапе мы можем полностью использовать возможности и потенциал SOAR-систем. В основе эффективного реагирования на инциденты лежит процесс. А в основе процесса лежит алгоритм, который определят последовательность действий, взаимосвязи между действиями, условия перехода от одного действия к другому.

Система SOAR позволяет шаблонизировать и автоматизировать прохождение по алгоритму реагирования. Система будет подсказывать аналитику, что и в какой момент он должен сделать в зависимости от этапа работы по инциденту, контексту и полученным ранее данным и принятым решениям.

Например, на этапе первичного анализа, система подскажет аналитику, по каким критериям он должен проверить инцидент на ложноположительное срабатывание (нелегитимная активность, аномальное поведение, репутация активов, затронутых инцидентов, деградация уровня защищенности и т.д.). А на этапе расследования причин возникновения (Root Cause Analysis) система напомнит до какой глубины надо реконструировать цепочку событий (ограничиться конкретной системой, периметром организации или устройствами и сервисами в сети интернет). Аналитику не надо думать, какой должен быть следующий шаг. Вместо этого он сосредоточится на том, что нужно сделать и изучить на каждом шаге работы по инциденту.

Следующая важная функция — это автоматическое обогащение информации по инциденту. Практически все технические средства, которые регистрируют инциденты, не присылают по умолчанию, да и априори не могут прислать всю информацию, необходимую для расследования.

Например, доменное имя интернет-ресурса — это просто имя, даже если NGFW подсветил его как потенциально опасное. Очень часто для анализа необходимо добавить контекст — как давно оно существует, на кого зарегистрировано, в какой стране находится. Проверить репутацию этого ресурса в нескольких источниках. Все это типовые и достаточно простые действия. Но необходимость выполнения этих действий по несколько раз в день, день за днем, неделя за неделей отнимает много времени, отвлекает от главного и шаблонирует восприятие. Поэтому любые типовые операции и действия, предполагающие получение однозначного результата, необходимо автоматизировать за счет функционала обобщения информации об инцидентах, реализуемого с помощью SOAR.

Когда аналитик сразу видит всю необходимую информации об объектах и субъектах, рассматриваемых в рамках инцидента – активах, учетных записях и других артефактах – у него остается больше времени и сил для выполнения более важных задач. Например, чтобы выяснить, кто и в какое время взаимодействовал с интернет-ресурсом, какие протоколы использовались, есть ли аномалии или признаки атаки в методах взаимодействия или объеме передаваемых данных. Это позволяет повысить скорость работы по инциденту, не пренебрегая качеством и глубиной анализа.

Третья, но не менее важная функция, — это возможность поиска взаимосвязей между инцидентами. Действительно опасная атака — это цепочка действий злоумышленника, которая может состоять из нескольких десятков событий. Эти события детектируются разными средствами защиты и другими компонентами инфраструктуры и чаще всего попадают в SOС в виде нескольких десятков зарегистрированных инцидентов.

Иногда связи между ними очевидны, например одна и таже учетная запись, иногда связи опосредованы, например, первый и последний инцидент в цепочке технически напрямую не связаны между собой ни по одному свойству. Всегда есть риск, что при таком сценарии несколько аналитиков будут работать по инцидентам и «не видеть леса за деревьями».

Но SOAR-система, выступающая в роли агрегатора и нормализатора инцидентов, позволяет строить автоматические цепочки соответствий по наборам критериев и с использованием сложной логики соответствий. Это значительно повышает вероятность максимально быстрого выявления направленной комплексной атаки и позволяет правильно сфокусировать аналитиков на противодействие реальной угрозе, а не «отработке» отдельных инцидентов.

Четвертая функция SOAR-системы — это визуализация, аналитика и отчетность на основе данных, которые агрегируются в системе. Это данные по времени и скорости работы над инцидентами, статистка по отдельным компонентам или активам инфраструктуры, причинам возникновения инцидентов, принятым оперативным мерам и долгосрочным рекомендациям. Интерпретация и представление данных в разных наборах и разрезах позволяет быстро и осмысленно отвечать на многие важные вопросы, такие как:

• Достаточно ли ресурсов у аналитиков и насколько сбалансирована их работа?
• На какие слабые места в инфраструктуре заказчика стоит обратить внимание?
• Куда нужно направить усилия по повышению уровня защищенности?
• Какие базовые механизмы и концепции ИБ не реализованы в полной мере?
• Насколько «человеческий фактор» является проблемой?
• Насколько пугающие публичные отчеты и исследования распространяются на конкретного заказчика?

Кроме того, информация, полученная из системы, может быть эффективно использована для обоснования и приоритезации затрат на ИБ: внедрения систем, запуска процессов и обеспечения соответствия требованиям законодательства.

Отдельного упоминания заслуживает также функционал автоматического реагирования на инциденты, который также значительно упрощает и ускоряет работу над инцидентами. Но эта опция востребована в наших интеграционных проектах по внедрению SOAR on-premise в инфраструктуре заказчиков. Для коммерческих SOС это скорее исключение.

CNews:Какое решение SOAR используется в SOC компании «Линза»?

Виталий Масютин: Мы используем решение Security Vision SOAR, которое интегрировано с системой KUMA. Оно создает объекты по инцидентам и выстраивает их связи. SOAR-платформа от Security Vision позволяет обогатить сведения по инциденту из внешних и внутренних аналитических сервисов, выполнить процедуры реагирования в соответствии с динамическими плейбуками, например, в зависимости от типа атаки заблокировать учетную запись или поместить хост в сетевой карантин, а также упрощает работу аналитикам нашего SOC за счет выдачи экспертных рекомендаций по реагированию в конкретной ситуации.

Интеграции и сценарии реагирования в Security Vision SOAR настраиваются в графическом интерфейсе с применением технологий low-code/no-code, что упрощает администрирование системы и позволяет быстрее освоиться с решением новым сотрудникам центра. Кроме того, SOAR-решение от Security Vision обладает богатыми возможностями по визуализации данных, формированию отчетности и отправке уведомлений по различным каналам, включая почту и мессенджеры, что упрощает взаимодействие с заказчиками, контроль за соблюдением SLA-нормативов и метрик реагирования, таких как среднее время обнаружения инцидента MTTD, и среднее время реагирования на инцидент MTTR.

CNews:Актуальны ли для потребителей MSSP-услуг такие продвинутые направления, как киберразведка, проактивный поиск киберугроз, поведенческий анализ и выявление аномалий?

Виталий Масютин: Эти направления востребованы у зрелых заказчиков, которые уже выстроили базовые процессы управления активами, уязвимостями, мониторинга и реагирования и осознают, что сложные целевые атаки не всегда выявляются традиционными средствами, а взлом возможен даже при высоком уровне защищенности.

При работе с киберразведкой ориентируются на индикаторы компрометации и учитываются тактики, техники и процедуры атакующих, а также операционный и стратегический контекст угроз. Это позволяет выстраивать проактивный поиск угроз на основе понимания киберландшафта, сценариев атак и «почерка» кибергрупп, а также дополнять защиту услугами Compromise Assessment для выявления следов ранее незамеченных компрометаций.

Дополнительным инструментом обнаружения скрытых угроз является поведенческая аналитика и выявление аномалий на основе анализа телеметрии и сетевого трафика. Рост интереса к этим подходам поддерживается развитием профильных технологий и платформ, включая платформу Security Vision TIP (Threat Intelligence Platform) для управления данными киберразведки и решения для поведенческой аналитики (Security Vision UEBA) и выявления аномалий (Security Vision AD+ML).

CNews:С какими вызовами и ограничениями сейчас сталкиваются коммерческие SOC? Как на них отвечать?

Виталий Масютин: Ключевой вызов для российской ИБ сегодня — острый дефицит квалифицированных специалистов. Рынок отвечает на него развитием образовательных инициатив, собственных учебных центров и программ подготовки кадров, а также активным внедрением средств автоматизации. Решения классов SIEM, SOAR и TIP позволяют снизить нагрузку на команды, уменьшить влияние человеческого фактора и повысить эффективность работы SOC.

Дополнительными ограничениями остаются разнородность технологического ландшафта SOC и сложности с аппаратным обеспечением. Частично эти риски снимаются за счет экосистемных решений российских вендоров с подтвержденной совместимостью, однако вопросы доступности и сроков поставки оборудования по-прежнему требуют взвешенного подхода.

CNews:Каковы ваши прогнозы по развитию российской ИБ и рынка MSSP-услуг в среднесрочной перспективе?

Виталий Масютин: На фоне дефицита ИБ-кадров и роста требований к уровню защиты спрос на модель «кибербезопасность как сервис» будет расти, при этом ожидания заказчиков все больше смещаются в сторону комплексных и долгосрочных услуг. Точечные меры уступают место непрерывным сервисам — таким как Red Team-проекты, постоянная оценка поверхности атаки и программы Bug Bounty, ориентированные на реальное снижение рисков.

Заказчики все чаще формулируют измеримые цели по снижению киберрисков, что способствует взрослению рынка MSSP. Параллельно в индустрии усиливается тренд на использование ИИ и ML для выявления угроз, автоматизации процессов SOC и компенсации кадрового дефицита — как инструмента поддержки экспертов, а не их замены.

Поделиться

Короткая ссылка