Константин Мушовец, УЦСБ SOC: 30% атак через подрядчиков — это уже не пик, а устойчивый тренд

Всего 48 минут — среднее время от первичного доступа хакеров в ИТ-периметр до остановки производства. При этом скорость самых быстрых атак — меньше минуты. Без автоматизации реагирования за такой промежуток не успеть даже обнаружить взлом, не говоря уже о блокировке. Руководитель УЦСБ SOC в интервью CNews раскрывает результаты исследования киберразведки, делится кейсами внедрения SOAR и описывает концепцию поэтапного перехода от коммерческого SOC к собственному центру мониторинга.

CNews: Как изменился подход ваших заказчиков к кибербезопасности за последние 2-3 года? Какая мотивация ими движет?

Константин Мушовец: За последние несколько лет подход изменился существенно. Раньше заказчики часто действовали по принципу «купим фаервол — и защищены». Сегодня в компаниях понимают, что любые средства защиты можно обойти. Сюда еще добавляется человеческий фактор, который непременно надо учитывать. Поэтому надо воспринимать систему защиты информации как динамическую систему и, конечно же, быть способным увидеть злоумышленника, если ему все же удалось обойти средства защиты. Главный двигатель — страх не столько самого взлома, сколько его последствий: простой бизнеса, утечка данных, репутационные потери, штрафы регуляторов.

Мотивация стала более прагматичной: хотим реально управлять рисками и иметь объективные доказательства этого для регуляторов, страховщиков, аудиторов и собственников. Заказчикам нужна понятная отчетность и уверенность, что услуга работает. Поставщик услуги должен не просто продавать решение, а обеспечивать результат.

CNews: Какие угрозы и вызовы сейчас преобладают и чем их блокируют?

Константин Мушовец: Специалисты нашей команды киберразведки Threat Intelligence из УЦСБ SOC как раз недавно подготовили подробный обзор ландшафта киберугроз на 2025 год и прогноз на ближайшее будущее. Основные выводы мы представили на форуме ЦИПР.

Главные киберугрозы для бизнеса — это взлом подрядчиков (например, вы предоставили доступ исполнителю, который обслуживает вашу инфраструктуру, а его систему скомпрометировали) и использование старых уязвимостей, таких как CVE трехлетней давности, для которого так и не установили патч. Такое поведение злоумышленников вполне предсказуемо: зачем искать новый zero-day, если есть проверенный старый способ.

Для блокировки таких угроз применяется комплексный подход: многофакторная аутентификация, сегментация сети, решения EDR/XDR. Однако ключевой фактор — скорость реакции. Среднее время развития атаки от начального доступа до целевых действий составляет 48 минут, а самые быстрые случаи занимают меньше минуты. За этот промежуток нужно не только выявить нарушителя, но и успеть остановить атаку. Без автоматизации справиться с этим крайне сложно. Поэтому мы акцентируем внимание не только на мониторинге, но и на инструментах автоматизированного реагирования.

CNews: В вашем отчете указано, что в 2025 году около 30% атак на российские компании произошло через подрядчиков. Это пиковые показатели, которые пойдут на спад, или такой высокий уровень киберугроз становится неизбежной реальностью ведения бизнеса?

Константин Мушовец: Данные о 30% атак через цепочки поставок основаны на нашей собственной аналитике, дополненной сводкой открытых исследований других компаний в сфере информационной безопасности. Речь идет о подтвержденных инцидентах, которые мы или наши коллеги зафиксировали и проанализировали. Главный вывод: к сожалению, это уже не пик, а устойчивая тенденция, которая сохранится надолго. В 2026 году она только усилится, поскольку число подрядчиков увеличивается, цифровой периметр становится все более размытым, а контроль за их безопасностью у большинства потенциальных целей для хакеров остается слабым. Привлекательность такого сценария атаки в том, что у подрядной организации есть административный доступ к инфраструктуре жертвы, и злоумышленнику не нужно долго и осторожно развивать вектор от начального проникновения до повышения привилегий. Он сразу оказывается в ядре целевой инфраструктуры.

Также напомню о двух других важнейших векторах: эксплуатация давно известных, но неисправленных уязвимостей (44% приходится на операционные системы и рабочие станции, среди атакуемых продуктов лидирует Microsoft) и рост активности APT-группировок (+25–30%). Вместе эти три вектора составляют до 80% всех инцидентов, которые мы расследуем.

CNews: Какие меры вы рекомендуете для защиты от атак через подрядчиков и эксплуатации уязвимостей? Нужно ли отзывать все доступы?

Константин Мушовец: Вовсе нет, в первую очередь необходимо автоматизировать процессы и ужесточить контроль за выдачей, хранением и обновлением данных. Если конкретнее: внедрить многофакторную аутентификацию для всех удаленных подключений, разделить сеть на сегменты и придерживаться принципа минимальных привилегий. Однако ключевое — вы должны отслеживать подозрительную активность в реальном времени и реагировать на нее за минуты, а не за дни. Для этого требуется организовать систему мониторинга либо привлечь специалистов. Важно собирать все значимые события безопасности, способные указывать на присутствие злоумышленника, верно их анализировать и предпринимать все шаги для локализации и устранения атаки. Это непростая комбинация процессов и технологий, подкрепленная опытом экспертов. В УЦСБ SOC это реализовано, в том числе за счет внедренияSOARот Security Vision.

Платформа автоматически дополняет инциденты данными из TI, EDR/XDR, SIEM и запускает наши playbooks. Например, если подрядчик через AnyDesk подключается в 3 часа ночи с незнакомого IP, система сверяет параметры подключения с TI на совпадение с IoC известных группировок и отправляет запрос на подтверждение в Telegram заказчика. В итоге время реакции сократилось в среднем на 30%. Заказчик видит ситуацию и управляет ею в своем личном кабинете — прозрачно и оперативно.

CNews: Не отходя от темы Threat Intelligence. Как в УЦСБ SOC решается задача объединения разнородных систем: SIEM, EDR, тикетирования и той же киберразведки?

Константин Мушовец: Именно SOAR служит шиной, связывающей все компоненты. Благодаря гибкости платформы Security Vision, SOAR интегрирована со всеми инструментами SOC — будь то SIEM, EDR/XDR, базы знаний, TIP, ИИ и цифровые ассистенты. С помощью возможностей оркестрации и автоматизации можно выстроить различные сценарии обработки этих данных и принятия решений. Учитывая, что организационная структура SOC очень сложна, без оркестрации здесь не обойтись.

CNews: Что изменилось в тактике APT-группировок за последний год?

Константин Мушовец: Они активнее применяют легальные средства администрирования — PowerShell, AnyDesk — и сочетают шифрование с кражей данных под угрозой публикации. Возросло количество атак на промышленные системы и критическую инфраструктуру. Противостоять этому способен только поведенческий анализ в сочетании с автоматизированным реагированием.

CNews: Каких новых угроз ждать до конца года? И какую роль сыграет ИИ?

Константин Мушовец: Если нынешние тенденции сохранятся, количество комбинированных атак будет увеличиваться — в таких случаях DDoS-атака используется как инструмент давления с целью получения выкупа. Искусственный интеллект позволяет злоумышленникам создавать адаптивный трафик, который копирует поведение человека и обходит стандартные средства защиты. Кроме того, возрастут угрозы для промышленного интернета вещей и умных датчиков. Эти устройства привлекают атакующих, так как их взлом способен остановить производственные процессы.

CNews: Создание собственного SOC — это дорогостоящая и ресурсоемкая задача. Как компании принимают решение: выбрать готовый сервис или все же построить свой центр?

Константин Мушовец: Потребность в собственном SOC остается актуальной. Однако всем уже ясно, что строить свой центр мониторинга с нуля чрезвычайно сложно и затратно. Поэтому ключевое значение имеют зрелость бизнеса и реалистичная оценка имеющихся ресурсов. Многие уже пытались пойти этим путем, но не справились и застряли на полпути, так и не сумев наладить полноценное реагирование. Процесс часто тормозится, например, на этапе приобретения и внедрения SIEM.

Для многих оптимальной стратегией становится не жесткий выбор между двумя вариантами, а поэтапное развитие. У нас есть собственная концепция для тех, кто все же стремится к созданию своего SOC. Это плавный переход от коммерческого SOC через гибридный SOC к инхаус-решению.

CNews: Эксперты рынка все чаще упоминают тренд на киберстрахование. Чувствуете ли вы это на себе? Требуют ли заказчики услуги SOC или строительство собственного центра мониторинга как условие для получения льготной киберстраховки?

Константин Мушовец: Наличие собственного SOC или расширенного SOC-сопровождения от УЦСБ или других участников рынка действительно может служить подтверждением зрелости процессов информационной безопасности и снижать риски взломов. Наличие SOC с автоматизированными playbooks, контролем подрядчиков и прозрачным SLA — это убедительный аргумент для получения полиса по разумной ставке. Наша сервисная модель предоставляет клиенту готовую доказательную базу. В случае наступления страхового события для получения компенсации от страховой компании потребуется доказать, что вы приняли все необходимые меры для защиты от кибератаки. И SOC отлично подходит для этой цели.

CNews: Как вы видите развитие УЦСБ SOC в ближайшие пару лет?

Константин Мушовец: Мы намерены и дальше усиливать автоматизацию рабочих процессов с использованием технологий машинного обучения и больших языковых моделей. В планах — развитие в сферах управления уязвимостями и ИТ-активами, чтобы охватить контроль состояния информационной безопасности максимально полно. SOC УЦСБ будет еще теснее взаимодействовать с клиентами — не в смысле «мы находимся внутри их инфраструктуры», а в том, что «решение подгоняется индивидуально». Если заказчику нужно киберстрахование — поможем собрать необходимые показатели. Если компания предпочитает оставить у себя лишь базовый уровень реагирования, а сложные расследования передать нам — без проблем. Сервисная модель — это адаптивность: мы подстраиваемся под нужды бизнеса и ищем вариант для любого запроса.

Касательно партнерских отношений — с Security Vision мы готовим новый совместный проект, точнее, очередной этап сотрудничества на стыке SOC и безопасной разработки.

Пока сохраним некоторую загадочность. Отмечу лишь, что первыми обо всем узнают участники конференции, посвященной трендам в ИТ и кибербезопасности, IT IS conf, организатором которой выступает УЦСБ. Крупнейшее ИТ-событие на Урале состоится 19 июня в Екатеринбурге. Конференция готовится совместно с ведущими вендорами, включая Security Vision. На ней специалисты вместе обсудят актуальные вопросы ИТ и кибербезопасности, разберут новые кейсы, выскажут мнения о проблемах и найдут способы их решения. Будет доступен как офлайн-, так и онлайн-формат.

■ Рекламаerid:2W5zFGKSyMsРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/ Вот переписанный HTML-контент на русском языке с сохранением всех тегов без изменений: Короткая ссылка

Печать