Rambler's Top100
Статьи
Николай НОСОВ  12 сентября 2024

Российские MSSP: рынок и тенденции

Услуги SOC и удаленной эксплуатации средств защиты помогают повысить уровень информационной безопасности компании в условиях дефицита кадров и недостаточной экспертизы.

Спасение утопающих – дело спасателей

В 90-е годы в московском банке, где я тогда работал, неожиданно вышел из строя выделенный канал связи с отделением, что парализовало работу филиала в Архангельске. Провайдер заявил, что у него проблем нет, наши пакеты, хоть и медленно, но доходят. Собственной экспертизы не хватило, пришлось срочно вызывать сторонних специалистов, которые, проанализировав трафик на сетевых устройствах, выявили внутреннюю атаку «отказ в обслуживании» – вирус полностью занял канал с отделением, пытаясь найти доступ в интернет, чтобы связаться со своим управляющим сайтом. Зараженный сервер нашли и отключили, вирус удалили, а банк осознал важность сетевой безопасности, ведь отделение не работало, что приносило убытки.

Времена, когда на информационную безопасность не обращали внимания, а меры защиты сводились к установке антивируса, давно прошли. Бизнес понял, что ИБ – это не разовое мероприятие по закупке очередной «серебряной пули», а сложная многоплановая работа, требующая непрерывного централизованного контроля ситуации.

Для оперативного мониторинга ИT-среды и работы систем защиты информации, а также для реагирования на киберинциденты в крупных организациях стали появляться специальные структурные подразделения – центры мониторинга безопасности (Security Operation Center, SOC). В примере с банком такой центр оперативно отключил бы подозрительное устройство. Причины проблем с сервером могли бы выяснить позже, но канал связи с отделением уже заработал бы и банк не простаивал.

Можно и не доводить дело до недопустимого для бизнеса события. Если за малый промежуток времени изменилось много файлов, то стоит проверить, не начал ли работать вирус-шифровальщик, который впоследствии потребует выкуп за доступ к зашифрованным данным. Если обнаружился нетипичный интернет-трафик, то, возможно, в системе появился бот, использующий вашу инфраструктуру для организации DDoS-атаки.

Сильно размыла периметр безопасности пандемия COVID-19, сделавшая удаленную работу нормой. Риски выросли, но иметь собственный SOC могли позволить себе только самые крупные компании – из-за дороговизны и острого дефицита квалифицированных специалистов. Услуги сетевой безопасности (Managed Security Services, MSS) начали отдавать на аутсорсинг провайдерам (Managed Security Service Providers, MSSP), что привело к развитию рынка сервисов информационной безопасности: услуг SOC и удаленной эксплуатации средств защиты.

Рынок MSSP в мире и в России

Передача обеспечения сетевой безопасности на аутсорсинг отнюдь не новация. Первым провайдером MSS стала американская компания US West, которая еще в 1997 г. начала предлагать клиентам использовать ей принадлежащий и ею управляемый файрвол – Сheck Point Firewall-1. В дальнейшем спектр предлагаемых услуг расширился, специалисты провайдера контролировали и администрировали не только файрволы (FW, NGFW, UTМ), но и системы обнаружения и предотвращения вторжений, агентов для сбора и автоматического анализа информации о событиях безопасности (Security Information and Event Management, SIEM), шлюзы безопасности для почтового и веб-трафика, а также анализировали журналы безопасности, сканировали активы заказчика на уязвимости и защищали его от DDoS-атак.

Компании оценили преимущества аутсорсинговой модели при обеспечении безопасности и стали отдавать на откуп провайдерам услуг все больше сервисов. В 2019 г. Gartner относила к MSS круглосуточный удаленный мониторинг событий безопасности; администрирование и управление ИБ; обеспечение безопасности с помощью удаленных SOC. Аналитики отмечали, что основная услуга большинства MSSP – мониторинг событий безопасности и реагирование на них при обнаружении угроз, прежде всего с помощью удаленных SOC. 

В список дополнительных услуг вошли:
  • администрирование средств безопасности и управление файрволом, унифицированное управление угрозами, обнаружение и предотвращение вторжений, обнаружение вредоносной активности на конечных точках и реагирование на них (Endpoint Detection & Response, EDR), использование комплексной платформы защиты конечных точек (Endpoint Protection Platform, EPP), а также шлюзов безопасности для почтового и веб-трафика;
  • реагирование на инциденты;
  • оценка уязвимостей и управление уязвимостями (например, сканирование, анализ и рекомендации/устранение);
  • анализ угроз (например, анализ машиночитаемых каналов, мониторинг даркнета для конкретных клиентов и социальных сетей);
  • управляемое обнаружение и реагирование (Managed Detection and Response, MDR). MDR включает в себя EDR, а также обнаружение вредоносной активности в сетевом трафике и реагирование на нее (Network Detection and Response, NDR), совместное применение EDR и NDR, использование решений EPP и SIEM.
Источник: iKS-Consulting
Крупнейшие по выручке мировые игроки MSSP в 2023 г.

Сформировался мировой рынок MSSP, который, согласно исследованию «iKS-рейтинг. Рынок MSSP в мире: итоги 2023», проведенному аналитическим и консалтинговым агентством iKS-Consulting, возглавляют французские компании Thales и Orange Cyberdefence (см. табл.), до 2022 г. предлагавшие услуги и на российском рынке.

На 15-м месте в этом списке – российская ГК «Солар», которая лидирует на отечественном рынке (30%). Без учета внутригрупповой выручки «Ростелекома» выручка «Солар» на рынке MSSP составила 6,9 млрд руб.
Источник: iKS-Consulting 
Структура рынка SOC/MSSP в России по игрокам, 2023 г.

Российский рынок SOC, по оценке iKS-Consulting, в 2023 г. составил 22,9 млрд руб. В основном рынок формируют специализирующиеся на рынке кибербезопасности игроки, такие как «Солар», BI.ZONE, «Информзащита», Innostage, «Инфосистемы Джет». Из числа отсутствующих на диаграмме компаний следует назвать Angara SOC и Qrator Labs, которая выступает и как вендор, и как MSSP (выручка за 2023 г. – 1,4 млрд руб.). Кроме того, заметны телеком-операторы (МТС RED, «Мегафон»), которым тоже интересен этот рынок. Стоит отметить интерес к рынку и у компаний, воспринимаемых как поставщики аппаратных решений кибербезопасности: весной 2024 г. предложила рынку услуги SOC компания UserGate. 

 
Мы вышли на рынок коммерческих SOC только весной и пока в значительной степени находимся на этапе тестирования и пилотирования своих услуг. Однако важно отметить, что наш коммерческий SOC – это не просто сторонний сервис, который мы поддерживаем. В первую очередь эксперты центра обеспечивают нашу собственную безопасность. Они тесно взаимодействуют с нашими инженерами и аналитиками, которые постоянно изучают ландшафт угроз и внедряют защитные механизмы в наши продукты. То есть на рынок мы вышли, уже обладая опытом.

Александр Луганский, менеджер по развитию, UserGate

Среди российских MSSP и вендоров решений для SOC отметим Positive Technologies и «Лабораторию Касперского», продукты которых активно используют лидеры рынка, а также компанию «Вебмониторэкс», чьи системы расширяют функционал SOC. 

Услуги MSSP востребованы на рынке. Так, компании «Солар» и BI.ZONE обеспечивают защиту более 200 тыс. конечных точек каждая. В оказании помощи клиентам у «Солар» задействовано более 800 экспертов, более 200 работают в BI.ZONE, более сотни – в МТС RED и в компании «Инфосистемы Джет». В общей сложности «Солар» обрабатывает более 200 млрд событий в сутки, сервис BI.ZONE TDR – более 250 тыс. «сырых» событий кибербезопасности в секунду, которые в 2024 г. в результате срабатывания правил корреляции ежемесячно генерировали в среднем 26 тыс. подозрений на инциденты (так называемых алертов), анализируемых специалистами компании. За 2023 г. компания «Инфосистемы Джет» обработала не менее 50 тыс. подозрений на инциденты, «Лаборатория Касперского» проанализировала около 431 тыс. событий безопасности, примерно 32 тыс. из которых оказались следствием около 14 тыс. инцидентов. Более 120 млрд событий ежемесячно обрабатывает SOC МТС RED.

Тенденции рынка SOC/MSSP в России

Опрошенные «ИКС-Медиа» руководители компаний, активно работающих на рынке MSSP, выделили целый ряд тенденций развития этого рынка:
  • рост спроса со стороны заказчиков; 
  • появление новых игроков – вендоров, операторов связи и облачных провайдеров;
  • усиление импортозамещения;
  • развитие гибридных моделей;
  • появление новых направлений;
  • внедрение новых технологий;
  • повышение удобства работы с сервисами.
Рост спроса

В сложной геополитической обстановке, когда мир балансирует на грани полномасштабной кибервойны, риски увеличиваются и спрос на сервисы кибербезопасности постоянно повышается. О защите начинают задумываться все больше и больше компаний, в том числе те, которые раньше этого не делали. Растет потребность в экспертизе и специалистах, а они и без того в дефиците. Поэтому компании все чаще обращаются к внешним SOC/MSSP, и их востребованность растет и будет расти.


Мы наблюдаем явную смену тренда – мотивация хакерских атак поменялась с финансовой на политическую, злоумышленники переключились со шпионажа и кражи данных на прямое деструктивное воздействие (число таких атак увеличилось на порядок). На темной стороне формируется практически неограниченный список целей. Как следствие, во всех сегментах экономики РФ растет спрос на кибербезопасность, в том числе на реагирование и на поддержку процессов восстановления (не только в момент атаки, но и на этапе планирования и проектирования систем кибербезопасности). 

Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC, ГК «Солар»

Новые игроки

Выход на рынок операторов связи, вендоров аппаратных средств и других не специализировавшихся ранее на сервисах информационной безопасности компаний, например облачных провайдеров, – еще один, вполне естественный тренд растущего российского рынка MSSP. 

Все больше и больше вендоров будут предлагать сервисы к своим продуктам, становясь сервис-провайдерами. А сервис-провайдеры, сами разрабатывающие элементы своих технологических платформ оказания сервисов, будут пытаться превращать их в самостоятельные продукты и выводить на рынок, превращаясь таким образом в вендоров. 


Аналогичную тенденцию мы ожидаем увидеть и у облачных провайдеров. Они интегрируют сервисы кибербезопасности в свои классические облачные сервисы, и функции кибербезопасности органически встраиваются и становятся частью ИT-сервисов. Часть облачных провайдеров будут создавать и развивать свои сервисы кибербезопасности самостоятельно, а часть – в партнерстве с вендорами и MSSP. По нашему мнению, в перспективе двух-трех лет в России не останется ни одного серьезного облачного провайдера, который не интегрировал бы сервисы кибербезопасности в свои ИT-сервисы. А для ускорения возврата инвестиций и увеличения выручки они станут не только предоставлять эти сервисы кибербезопасности пользователям своих облаков, но и будут пытаться выходить с ними на общий рынок, тем самым конкурируя с MSSP. 

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE


Импортозамещение

Освободившиеся после ухода с рынка западных игроков ниши начали занимать российские компании. Возросшие риски киберугроз подстегнули процессы импортозамещения. Переход на российское ПО энергично стимулируют регуляторы. Импортозамещение стало трендом и на рынке SOC/MSSP.


Тренды рынка MSSP задает импортозамещение. Освободилось много ниш, которые успешно заполняют российские поставщики. Кроме того, происходит консолидация рынка, т.е. крупные игроки покупают более мелких, чтобы расширить свое портфолио релевантных сервисов. При этом есть соблазн быстро сделать что-то похожее на рабочий продукт и сразу выйти с ним в рынок. Поэтому, к сожалению, есть много незрелых продуктов, которые работают пока только в теории и в случае киберстолкновения неэффективны. Именно поэтому в сети осуществляются взломы и проходят нашумевшие атаки. Безусловно, у таких решений есть перспективы, и в ближайшие пять лет мы ожидаем качественный скачок в развитии продуктов. 

Дмитрий Ткачев, генеральный директор, Qrator Labs


Гибридные модели

С моделью MSSP конкурирует аутстаффинг, т.е. подход, в рамках которого внешние специалисты на объекте заказчика проводят расследования и решают проблемы информационной безопасности. Аутстаффингом можно считать приведенный в начале статьи пример приглашения внешних специалистов в банк для расследования сложной ситуации с сетью. 

SOC, как правило, предоставляет стандартизированные услуги, не заточенные под особенности клиента. С другой стороны, чистый аутстаффинг с постоянным привлечением внешнего персонала не всегда возможен и экономически обоснован. Поэтому получают распространение гибридные схемы, когда MSSP не только предлагает стандартизированные услуги своего SOC, но и выделяет сотрудников для работы на площадке клиента с его системами ИБ и даже с потребляемыми по модели SECaaS сервисами безопасности из облака.


Среди крупных компаний заметна тенденция к выстраиванию защиты внутри себя. Это особенно характерно для объектов критической информационной инфраструктуры. Дефицит кадров в отрасли подталкивает их к гибридной модели, когда средства защиты устанавливаются внутри компании и информация об инцидентах не покидает ее периметра, но события ИБ обрабатывают аутсорсинговые команды экспертов с необходимым опытом и знаниями. Мы получали десятки запросов на гибридную модель оказания сервисов центра мониторинга.

Ильназ Гатауллин, технический руководитель направления МТС RED SOC, МТС RED


Новые направления

Современные MSS могут включать не только сервисы противодействия внешним угрозам (DDoS и таргетированным атакам), управление репутациейкиберразведку, но и защиту от утечек данных.

Также растет интерес к решениям класса deception, которые сбивают злоумышленника с толку и заставляют его ошибаться при горизонтальном продвижении к намеченной цели во внутреннем контуре жертвы. Некоторые игроки уже начали внедрять такие инструменты в свой портфель сервисов. Следом придет черед решений для защиты сред контейнеризации, которые позволят повысить качество мониторинга тех инфраструктур, где активно применяются контейнеры и контейнерная оркестрация.


Наибольшие перспективы имеют сервисы управления уязвимостями и уменьшения поверхности атаки, сервисы защищенной разработки, противодействие целенаправленным угрозам и киберразведка. В SaaS уже много лет растет популярность защиты ресурсов на уровне приложений. Хороший потенциал есть у сервисов межсетевого экранирования с глубокой инспекцией графика.

Алексей Мальнев, директор по развитию сервисного и техно-логического партнерства, Positive Technologies

Новые технологии

Автоматизация затрагивает все направления развития ИТ, в частности MSS, куда активно проникают новые технологии, позволяющие уменьшить долю ручного труда, в том числе за счет применения систем искусственного интеллекта.


Использование ИИ и машинного обучения для автоматизации процессов обнаружения и реагирования на инциденты распространяется все шире. Это помогает повысить эффективность SOC и уменьшить нагрузку на аналитиков. При этом нужно помнить, что целевые атаки сейчас планируются все тщательнее, а следовательно, становятся все опаснее. Поэтому, несмотря на эффективную работу автоматизированных решений, таких как XDR или EPP, крайне важна результативная работа аналитиков SOC в рамках MDR.

Сергей Солдатов, руководитель Центра мониторинга кибер-безопасности, «Лаборатория Касперского»

Увеличивается и количество атак, и их сложность. В таких условиях компаниям необходимо пересматривать технологический стек своих SOC. «Профессиональные атаки все реже могут быть выявлены при помощи простого анализа логов и SIEM и требуют применения на защищаемом канале или объекте специализированных сенсоров – систем анализа трафика (Network Traffic Analysis, NTA), EDR, Sandbox – для эффективной обработки утилит», – подчеркнул В. Дрюков. 

Эксперт отметил, что сегодня инструменты, направленные на нарушение доступности сайтов (магистральные и прикладные DDoS-атаки), эволюционируют. Атаки на каналы связи в основном направлены на сети провайдеров, а DDoS уровня приложений все чаще мимикрируют под легитимный трафик. При этом злоумышленники готовят специализированный профиль атаки для каждого конкретного ресурса. Все это требует совершенствования механизмов защиты и повышения уровня компетенций служб кибербезопасности.

Т. Хеирхабаров прогнозирует дополнительное оснащение SOC решениями для повышения эффективности обнаружения угроз и реагирования на них. Сейчас повсеместно внедряются решения EDR и NTA. 

Удобство и гибкость

Конкуренция заставляет MSSP уделять больше внимания гибкости и удобству сервисов для заказчиков: объединению разрозненных панелей управления отдельными сервисами в единые личные кабинеты, упрощению обучения новых сотрудников, предоставлению все большего количества «ручек» для самостоятельного управления теми или иными параметрами сервисов. Кроме того, по мнению Т. Хеирхабарова, хорошие перспективы имеет введение единой подписки на несколько сервисов, в рамках которой заказчик приобретенные условные единицы может по своему усмотрению тратить на различные сервисы провайдера.

Также эксперт полагает, что все больше предложений сервисов кибербезопасности будет предназначаться для SMB. В настоящее время такие сервисы потребляют преимущественно крупные компании, а предложений для SMB практически нет. 

Сегодня и завтра

Рынок SOC/MSSP достаточно быстро растет. Как уже говорилось выше, драйверы этого роста – увеличивающееся количество и повышающееся «качество» (сложность и разнообразие) кибератак, а также дефицит квалифицированных кадров. Для обеспечения безопасности компании будут все чаще обращаться к MSSP.


Стабильный спрос на SOC сегодня подпитывают несколько факторов. Во-первых, SOC становятся все более автоматизированными, что позволяет быстрее обнаруживать возникающие киберугрозы и реагировать на них. Во-вторых, SOC оснащаются современными инструментами для мониторинга и анализа данных, благодаря чему угрозы эффективно выявляются не только в головной организации, но и у подрядчиков. Кроме того, использование ИИ и машинного обучения дает возможность выявлять угрозы и принимать решения в режиме реального времени.

Валерий Степанов, руководитель направления Центра компетенций по информационной безопасности, «Т1 Интеграция»


По оценкам iKS-Consulting, рост выручки российского рынка SOC/MSSP в ближайшие годы составит 20–25%. Текущие тенденции подтверждают оптимизм аналитиков.

Будущее рынка MSSP будет определяться способностью провайдеров адаптироваться к новым угрозам, работать в различных условиях, например в контейнерных средах, использовать передовые технологии и интегрировать безопасность во все корпоративные бизнес-процессы.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!