— Основной спрос — на решения, которые нужны здесь и сейчас. Например, в сегменте систем сетевой безопасности ранее было представлено большое количество зарубежных вендоров, и с их уходом вырос спрос на решения российских разработчиков.
Далее стоит выделить спрос на решения, связанные с защитой приложений и поиском уязвимостей. Естественная потребность компании в текущей ситуации — понимать, где и какие уязвимости у нее есть, чтобы сделать свои клиентские сервисы безопаснее. Отсюда спрос на пентесты — моделирование кибератак, которое позволяет выявлять бреши. За последний год количество запросов на управление уязвимостями выросло на 58%, а на защиту приложений удвоилось.
Безусловно, заметен спрос на аудит ИТ-инфраструктуры компаний, которые относятся к субъектам критической информационной инфраструктуры (КИИ), а также на аудит соответствия требованиям регулятора. Востребована оценка уровня киберграмотности в компаниях и услуги по ее повышению.
В частности, повысить уровень защиты от мошенников помогают киберучения — тренировки сотрудников компаний в смоделированных ситуациях, максимально приближенных к реальности. В ходе киберучений можно отработать подходы к защите инфраструктуры, определить уязвимые стороны — как их увидят злоумышленники, а также отработать командное взаимодействие по обнаружению и устранению ИБ-инцидентов. Киберучения позволяют компании понять, какие шаги в первую очередь нужны для усиления защищенности и какие меры позволят максимально быстро выявлять атаки.
Так, для Трубной металлургической компании (ТМК) Softline недавно провела киберучения: проверялись технические компетенции по выявлению и отражению кибератак, а также экспертиза сотрудников, чтобы сформировать программу подготовки к проведению анализа системы и настройки защиты периметра. На созданном двойнике инфраструктуры команда ТМК смогла протестировать разные продукты ИБ и усовершенствовать подход к обеспечению кибербезопасности.
В прошлом году Softline помогла открыть на базе Казанского национального исследовательского технологического университета (КНИТУ) первый в Приволжском федеральном округе киберполигон для обучения в сфере ИБ. Киберучения необходимы для развития у студентов навыков выявления атак, расследования инцидентов, а также командного реагирования в условиях жестких временных ограничений.
— В первую очередь на фоне ухода с российского рынка иностранных вендоров замещают поставки межсетевых экранов. Пока на рынке не так много отечественных решений, которые могли бы их заместить, поэтому спрос здесь колоссальный, и рост в 2022 году был кратный. Это основной сегмент импортозамещения для корпоративных заказчиков. Частично другие решения они все еще могут использовать, если успели выкупить лицензии, но уже без техподдержки вендора.
Также можно выделить спрос на решения для защиты веб-приложений (WAF — web application firewall) в связи с необходимостью обеспечивать безопасность приложений и клиентских сервисов.
— У этих компаний сейчас одна большая головная боль: найти все необходимые отечественные решения и мигрировать на них до 1 января 2025 года. Российских продуктов и сервисов ИБ в целом достаточно: тема КИИ активно продвигается с 2014–2015 года, и с тех пор было выпущено заметное количество работающих решений. Однако то, что они должны защищать (например, контроллеры), зачастую также зарубежные продукты, и вот им замена не всегда пока есть.
К примеру, на субъекте КИИ — в Тольяттинской энергосбытовой компании — мы установили системы защиты от физического и «цифрового» воздействия для умных счетчиков. Построение системы защиты проходило в несколько этапов: сначала был разработан технический проект, затем внедрены и настроены средства защиты информации. Кроме того, была построена защищенная сеть и развернуты дополнительные средства защиты. На разработку и внедрение ушло около двух с половиной лет. Вся система обеспечения безопасности построена на отечественных средствах защиты.
При этом, решая экстренно задачу соблюдения требований законодательства, эти компании параллельно должны защищаться от кибератак, чтобы обеспечить непрерывность операционной деятельности.
Со своей стороны мы здесь можем помочь ресурсами, которых на рынке ИБ по-прежнему не хватает: предлагаем услуги аудита и помощь при внедрении решений по защите субъектов КИИ. При разработке сопровождаем проверку кода и последующую аттестацию продукта (если это необходимо, например для госструктур).
У нас хорошая практика реализации комплексных — ИТ + ИБ — проектов. Все, что коллеги внедряют в части ИТ или цифровизации, сопровождается нашей же ИБ-составляющей, и заказчик получает законченное решение. Это крупные, интересные и длительные проекты, на которые мы делаем сегодня ставку.
— Заказчики, попадая в облако Softline, получают определенный пул сервисов информационной безопасности, в том числе сервисы оценки киберрисков, обучения пользователей основам ИБ и пр.
Сейчас мы разрабатываем упрощенный центр мониторинга и реагирования на инциденты ИБ (SOC — security operations center) — легкие в инсталляции модули, которые быстро дают первые и понятные заказчику результаты. Например, по мониторингу ПК, получению информации по инцидентам и пр. Это более типовое предложение, в основном для среднего бизнеса.
Безусловно, предлагаем и полноценный SOC для крупных клиентов, которые находятся в облаке. Наша команда по этому направлению — совокупно более 50 профильных экспертов, которые оперативно поддерживают и решают все вопросы заказчиков.
— К примеру, подключили к сервису SOC «Норвик Банк»: теперь за обработку данных и защиту от киберугроз отвечает центр мониторинга и реагирования на инциденты. Обработка событий и выявление угроз происходят в облаке, на базе платформы управления событиями информационной безопасности (ISOC SIEM — security information and event management). Это закрывает потребности банка в части соблюдения требований регуляторов, а также обеспечения защиты систем, с возможностью превентивного выявления кибератак.
SOC как сервис (SOC as a service *) от Softline использует теперь «MC Банк Рус». Мы провели быструю миграцию с ранее функционировавшего SIEM-решения от западного вендора. Чтобы снизить нагрузку на собственный ИТ-персонал банка, часть задач по кибербезопасности была передана специалистам Softline.
— На протяжении последних полутора лет идут массовые атаки на госучреждения, госкорпорации, коммерческие организации, и уровень и масштаб угроз не спадают. Количество кибератак на российские предприятия увеличивается, методы мошенников становятся все более продуманными и изощренными.
Кроме того, в последнее время наблюдаются массовые «сливы» баз пользователей ретейлеров. На этом фоне даже те, кто консервативно относились к вопросам утечки данных и взломов, озадачились: что делать, чтобы с ними такое не произошло.
— Поскольку утечки по-прежнему происходят, наверное, универсально работающих средств здесь нет. Вопрос больше в том, как уменьшить потенциальные потери от взлома. С одной стороны, поможет классическое применение средств информационной безопасности. Это уже базис и естественная составляющая любой компании, как своего рода гигиена. С другой стороны, необходимо применение проактивных методик: поиск и выявление возможных угроз, оценка рисков, проверка на устойчивость посредством пентестов и пр.
Утечки бывают разные, и не каждая приводит к действительно критической ситуации. Внешние сервисы позволяют заказчикам проверить, какие именно данные «утекли», чтобы спланировать дальнейшие действия и минимизировать потери.
— Мы сосредоточены на применении искусственного интеллекта: хотим встроить подобие чат-бота с искусственным интеллектом в наш SOC, чтобы собирать больше информации в рамках инцидентов. Ведем разработку в области автоматизации простых, а затем и более продвинутых функций SОС, например сбора информации с подключенных ПК и сетевых устройств, изоляции зараженных машин, смены пароля и пр. Система автоматически сможет совершать рутинные действия и высвобождать ресурс операторов под более серьезные задачи.
Наш основной фокус — это развитие SOC и его интеграция с другими продуктами, развитие управляемых сервисов ИБ (managed security service provider — MSSP-сервисов *, включая сервисы управления доступом — identity management (IdM *), обнаружения угроз — endpoint detection and response (EDR *) и др.) совместно с вендорами в рамках построения единой экосистемы.
— В мире уделяется много внимания автоматизации простых функций безопасности, роботизации, а также вопросам защищенности современных технологий: интернета вещей, искусственного интеллекта и пр. Сохраняется тренд, связанный с обеспечением безопасности критической инфраструктуры, практически во всех государствах.
В России в фокусе практические вопросы обеспечения защиты компаний и госструктур от киберугроз. Растет спрос на импортонезависимые решения ввиду соблюдения требований законодательства в области информационной безопасности.
Наша главная мотивация — стремление к развитию. Мы успешно решаем не только масштабные задачи в глобальных проектах, но и простые, «бытовые» вопросы, связанные с соблюдением требований законодательства, импортозамещением. Уверен, что в перспективе двух-трех лет эти задачи будут решены. Останутся небольшие ниши, в которых отечественные продукты ранее просто отсутствовали, в них и будет сфокусирована в дальнейшем тематика импортозамещения. Параллельно будут появляться новые технологии и сервисы, которые будут двигать рынок информационной безопасности вперед. Разработку и запуск таких продуктов мы сегодня стратегически планируем.
— Одним из драйверов будет стабилизация ситуации с импортозамещением. Это позволит сместить фокус с замены одного решения другим на другие перспективные направления.
Второй драйвер — это расширение российскими вендорами продуктовых линеек с охватом как можно большего количества сфер ИБ.
К третьему драйверу стоит отнести развитие сервисных, в том числе облачных моделей. Интерес к ним формируется у заказчиков на фоне дефицита ресурсов для закрытия всех вопросов и проблем в области ИБ.
Кроме того, регулирование рынка тоже является для отрасли серьезным стимулом. Это один из основных драйверов сектора ИБ с 2012 года, и в следующем году он по-прежнему будет двигать рынок вперед.
