17 Марта 2026 09:10 | 17 Мар 2026 09:10 | |

Поделиться

Дмитрий Беляев: Современные SOAR-решения автоматизируют до 70–90% рутинных шагов

CNews: Как за последние годы трансформировался ландшафт угроз для компаний, обеспечивающих массовое внедрение программного обеспечения, и какие новые вызовы стали приоритетными в защите распределенной инфраструктуры?

Дмитрий Беляев: За последние годы атаки сместились от единичных узлов к цепочке поставки и распределенной инфраструктуре, где проще ударить по разработчикам, интеграторам и облачным сервисам сразу с выходом на множество клиентов. В приоритете для многих компаний стала полная видимость активов и версий ПО и библиотек, управление рисками на уровне бизнес-сервисов и автоматизированное реагирование во всех контурах.

CNews: С каких инструментов и подходов начиналось построение системы безопасности несколько лет назад, чего не хватало в арсенале решений для эффективного противодействия атакам и митигации рисков?

Дмитрий Беляев: Если вспомнить, с чего все начиналось, то по сути, многие опирались на классический набор из сетевых средств защиты, разрозненных логов и минимальной инвентаризации, собранной в Excel или CMDB (при этом, у многих она не используется даже на 80% функционала), и пытались вручную «сшить» картину инцидентов и рисков.

Этого явно не хватало: не было актуальной и глубокой модели активов, не было единой витрины рисков, а реагирование оставалось реактивным и сильно зависело от компетенций отдельных аналитиков.

Сейчас эта проблема закрывается за счет платформенного подхода. Например, модуль «Управление активами и инвентаризация» Security Vision автоматически обнаруживает и категоризует устройства, базы данных, сетевое оборудование и ПО, притягивает данные из AD, CMDB, сканеров и СЗИ, формируя актуальную картину инфраструктуры как основу для ИБ.

Поверх этого Security Vision (Risk Management) собирает данные о рисках из SOAR, инвентаризации и уязвимостей, моделирует сценарии и считает ключевые риск-индикаторы. Этот модуль и грамотная техническая поддержка Security Vision помогли мне и моей команде грамотно построить процесс в компании не «из коробки».

CNews: Какие ключевые недостатки ранних версий систем мониторинга и реагирования приходилось компенсировать ручными процессами и как изменилась ситуация с появлением современных платформ автоматизации?

Дмитрий Беляев: Ранние системы мониторинга и реагирования в основном умели собирать и коррелировать события, но почти не помогали с самим процессом реагирования, поэтому многие проблемы приходилось закрывать руками аналитиков SOC. Уже, с появлением полноценных SOAR-платформ, значительная часть рутины автоматизирована, а роль человека сместилась к принятию решений и работе со сложными кейсами ну, и, разумеется, в разработку автоматизации по реагированию на них.

Существовали недостатки, которые приходилось компенсировать вручную. Во-первых, отсутствие сквозных процессов реагирования: SIEM показывал алерты, но кто, кому и что передает, кто владелец АС/ИС, кто владелец риска, в какие сроки эскалирует и как фиксирует результат, приходилось регламентировать и контролировать вручную.

Краткая биография

Дмитрий Беляев

• В 2015 г. закончил ЮФУ, получил образование в области юриспруденции и информационной безопасности телекоммуникационных систем. Начал работать в УФССП России
• 2015-2017 гг. работал в компании Datum Consulting
• 2017-2018 гг. работал в КБ «РостФинанс»
• 2018-2020 гг. работал в «Крок Инкорпорейтед»
• 2020-2022 гг. работал в «Промсвязьбанке»
• 2022-2023 гг. работал в «Первом инвестиционном банке»
• С 2023 работает в ИТ-компании
• Входит в «ТОП-100 лидеров ИТ», «ТОП‑25 директоров по кибербезопасности России», признан CISO года по версии комьюнити «Сайберус» и «КиберДом», «Кибергероем года» по версии «Время инноваций».

подробнее

Во-вторых, ручное обогащение: проверка IP, доменов, хешей, учеток в разных системах, запросы в TI, CMDB и сервис-деск выполнялись людьми, что занимало не мало времени на каждый потенциальный инцидент. В-третьих, неавтоматизированные действия: блокировки в AD и на межсетевых экранах, создание заявок, уведомления НКЦКИ и регуляторов, запуск скриптов на хостах делались по чек-листам, а не по единым сценариям.

Современные SOAR-решения агрегируют события, автоматически обогащают их контекстом, запускают заранее описанные сценарии реагирования и фиксируют ход расследования в едином контуре. В результате автоматизируются до 70–90% рутинных шагов: от проверки индикаторов и корреляции с инвентаризацией активов до блокировки учетных записей и IOC во всех задействованных системах и формирования отчетности для регуляторов.

CNews: Насколько критичной сегодня стала задача создания единой и непротиворечивой модели данных об активах, собираемой из разнородных источников, для качественного управления рисками в масштабах всей компании?

Дмитрий Беляев: Сегодня единая непротиворечивая модель данных об активах стала критичной: без нее риск-менеджмент превращается в «среднюю температуру по больнице», где вы не понимаете, что именно и для каких бизнес-сервисов действительно под угрозой.

Чтобы рисками управлять, а не просто рисовать матрицы, нужно опираться на согласованную картину активов, их связей и состояний, собранную из AD, CMDB, сканеров, СЗИ, облаков и бизнес-систем с дедупликацией и обогащением.

CNews: Как переход к централизованной обработке инцидентов из различных источников, включая внешние сервисы и средства защиты клиентов, повлиял на скорость реакции и качество аналитики в SOC?

Дмитрий Беляев: Переход к централизованной обработке инцидентов из всех источников кардинально сократил время реакции SOC и сделал аналитику более глубокой за счет полной картины атаки, а не разрозненных алертов. Когда в одном контуре сходятся логи СЗИ, облака, внешних сервисов и средств защиты клиентов, становится проще выстроить приоритеты, уменьшить шум и сфокусироваться на действительно критичных событиях.

Современные SOAR-платформы идут дальше простой централизации: они не только агрегируют события и инциденты, но и автоматически собирают окрестность инцидента (при наличии необходимых коннекторов для интеграции с дополнительными СЗИ), обогащают контекстом из внешних ИТ и ИБ-систем и выполняют управляющие воздействия на разных площадках.

За счет этого SOC получает готовый, уже обогащенный кейс, а рутинные шаги (проверка индикаторов, корреляция по активам, первичные блокировки) происходят без участия аналитика, что одновременно ускоряет реакцию и повышает стабильность качества расследований.

CNews: Какие возможности открыло внедрение SOAR для адаптации процессов под специфические бизнес-задачи и интеграции с уникальными системами заказчиков?

Дмитрий Беляев: SOAR, по сути, позволяет «подстроить» безопасность под бизнес, а не наоборот: это дает возможность описывать именно свои процессы, свои согласования и свои системы, а платформа просто исполняет этот сценарий сквозь все ИТ‑ландшафты.

CNews: Что стало решающим фактором при выборе платформы, способной параллельно поддерживать сложные проекты внедрения у разных заказчиков с абсолютно разными наборами интеграций?

Дмитрий Беляев: Мы выбрали Security Vision SOAR. Решающим фактором при выборе стало то, что платформа изначально спроектирована как low code/no code – основание с конструктором объектов, процессов и коннекторов, без искусственных ограничений на количество интеграций и их логику.

CNews: Как современные решения помогают формировать расширенную визуализацию и отчетность, дополняющую базовые данные систем мониторинга, для принятия обоснованных управленческих решений?

Дмитрий Беляев: Современные платформы уже не ограничиваются «красивой оберткой» над SIEM, а подтягивают к сырым событиям контекст по активам, рискам, SLA и бизнес-процессам и позволяют показывать это разным ролям в нужном разрезе.

CNews: Какие перспективы вы видите в развитии отечественных ИБ-платформ и как непрерывное совершенствование таких продуктов поможет отрасли справляться с будущими угрозами?

Дмитрий Беляев: Перспектива отечественных ИБ-платформ в том, что они из «наборов разрозненных продуктов» уже превращаются в единые low code/no code – платформы, которые закрывают автоматизацию процессов ИБ, интеграции и требования по суверенитету данных на уровне крупных гос- и корпоративных заказчиков. Если такие решения, как платформа Security Vision, продолжат развиваться текущими темпами — с упором на управляемую автоматизацию, расширение интеграций и повышение устойчивости под реальные нагрузки — отрасль получит не просто импортозамещение, а устойчивый контур киберзащиты, способный адаптироваться под новые классы угроз без полной перестройки инфраструктуры.

В зрелой кибербезопасности нет «магических коробок» — есть платформа и степень осознанности тех, кто ей пользуется. Системы класса Security Vision раскрывают свой потенциал только тогда, когда интеграции настраиваются не формально, а под реальные бизнес-процессы компании.

При этом каждая интеграция — это ощутимые трудозатраты: время ваших специалистов, экспертов вендора, совместная аналитика, тесты и корректировки. Именно поэтому критично, чтобы с вашей стороны было не абстрактное желание «повысить уровень ИБ», а четкое техническое задание и внятное представление целевой картины: как должен выглядеть процесс после внедрения, кто за что отвечает, какие решения система принимает автоматически, а какие — оставляет человеку.

Иначе платформа неизбежно начинается работать «по умолчанию», а не рационально — не так, как устроен ваш бизнес и ваша модель рисков, и это уже не киберустойчивость, а дорогостоящая иллюзия контроля.

Например, в одном из мест, где я работал, на внедрение продукта SecurityVisioncмодулями AM (Asset Management), SOAR, RM (Risk Management), CM (Compliance Management) силами вендора, но с доработкой под бизнес-процессы компании, ушел год. Это немалый срок, чтобы наладить не только внедрение, но и доработку продукта, и подключение необходимых источников и коннекторов, для того чтобы он был максимально полезным компании и моей команде. Команда внедрения отметилась положительно своим профессионализмом и клиентоцентричностью. Коллеги ответственно отнеслись к проекту и успешно его завершили.

Поделиться

Короткая ссылка