16 Декабря 2025 16:56 16 Дек 2025 16:56 |

Поделиться

Евгений Пудовкин («Спикател»): Наибольшую популярность приобретает соуправляемая модель SOC

Сегодня даже большие компании часто выбирают не создание собственного SOC, а аренду коммерческого. Это экономически более оправданно, поскольку избавляет от значительных первоначальных затрат. К тому же, отказ от внутренних решений в большинстве ситуаций обеспечивает более надежную защиту. Особенно эффективна соуправляемая модель — когда политику безопасности формирует сам заказчик, а практическую работу с инструментами делегирует внешнему специалисту, отмечает технический директор компании «Спикател» Евгений Пудовкин.

CNews: Как трансформировалась сфера кибербезопасности в России за последние годы? Какие можно выделить ключевые итоги?

Евгений Пудовкин: Российский рынок информационной безопасности демонстрирует рост как по количеству участников, так и по объему доходов. По оценкам аналитиков, за пятилетний период число ИБ-компаний в стране выросло примерно на 40%. Общая величина рынка кибербезопасности по результатам 2024 года достигла около 600 млрд рублей, показав годовой прирост в 30%.

Если говорить о качественных сдвигах, то отрасль стала больше ориентироваться на продукты: компании концентрируются на практических решениях для оперативного выявления угроз, автоматизации устранения инцидентов и укрепления устойчивости ИТ-систем.

CNews: На что сегодня в первую очередь обращают внимание российские заказчики? Против каких атак защита сейчас наиболее востребована?

Евгений Пудовкин: Текущие требования клиентов включают: использование отечественных разработок, четкие соглашения об уровне услуг (SLA) и экономическую обоснованность внедрения.

В сфере кибербезопасности ключевой задачей является обеспечение доступности сервисов, в частности, противодействие распределенным атакам на инфраструктуру. Сегодня DDoS-атаки затрагивают компании всех масштабов и секторов экономики, что делает внедрение комплексных защитных механизмов на сетевом и прикладном уровнях насущной необходимостью. Серьезную опасность также представляют компрометация учетных данных, часто осуществляемая через фишинг и атаки методом перебора паролей, а также распространение вредоносных эксплойтов в корпоративных сетях. В зоне риска находятся популярные платформы, такие как Microsoft Exchange, Fortinet, VMware и другие. Растет частота атак с использованием злонамеренных вложений в деловой переписке, а также через цепочки поставок и обновления программного обеспечения.

Бизнес все активнее запрашивает инструменты для упреждающего выявления угроз, включая обнаружение горизонтального перемещения злоумышленников в сети, поведенческий анализ действий пользователей и систем, а также автоматизированное реагирование в реальном времени — блокировку скомпрометированных аккаунтов, IP-адресов и вредоносных процессов.

CNews: В мае вы объявили о запуске SOC — как сейчас продвигается этот проект?

Евгений Пудовкин: На данный момент Центр мониторинга и реагирования на инциденты полностью подготовлен к коммерческой эксплуатации: проведены пилотные испытания, заключены первые договоры и получена лицензия ФСТЭК. Мы собрали команду аналитиков уровней L1, L2 и L3. При этом специалисты первого уровня отбирались не просто как операторы, обрабатывающие заявки, а как сотрудники с фундаментальными знаниями в области защиты. Такой подход позволяет разрешать существенную часть инцидентов на начальном этапе, не привлекая более дорогостоящие и узкопрофильные ресурсы.

С технической точки зрения реализован полный цикл работ — от сбора информации до корреляции событий, реагирования, эскалации и расследования. На инфраструктуре заказчиков развернуты агенты, данные автоматически собираются и обрабатываются системой корреляции, которая выявляет взаимосвязи между различными событиями. Если система определяет инцидент как значимый, аналитик получает оповещение, проводит расследование и принимает решение.

По согласованию с клиентом возможен сценарий автоматического реагирования — команда SOC может выполнять действия в его инфраструктуре либо использовать SOAR-платформу для автоматической блокировки учетных записей и адресов.

CNews: Какие еще продукты и сервисы вы предлагаете рынку?

Кроме SOC, в наш портфель входят решения WAF, DLP, Anti-DDoS, Anti-Bot, а также услуги по обеспечению безопасности разработки. Из базовых предложений — аудит и усиление защищенности систем. Харденинг подразумевает построение политики безопасности, где по умолчанию все действия запрещены, а разрешения предоставляются через процедуру согласования. Это идеал, к которому стремится каждый специалист по безопасности, хотя на практике достичь такого уровня удается немногим.

Однако наибольший интерес по-прежнему вызывает модель SOC в формате совместного управления (co-managed), а также услуги, обеспечивающие оперативный эффект: наблюдение за угрозами, реагирование на инциденты и автоматизированное блокирование атак.

CNews: Что на практике подразумевает модель совместно управляемого SOC?

Евгений Пудовкин: Это подход, когда у клиента уже существует своя команда информационной безопасности, но нет необходимости собственными силами закрывать все задачи. Мы отвечаем за внедрение их политик безопасности и эксплуатацию соответствующих инструментов. В результате заказчик приобретает гибкость и оптимизирует расходы, а мы выстраиваем прозрачное сотрудничество и общую систему постановки задач.

Разумеется, в некоторых ситуациях компании выбирают создание собственного SOC. Например, чем выше уровень угроз и критичнее инфраструктура, тем больше доводов в пользу внутреннего решения. Однако собственный SOC требует значительных вложений в лицензии, персонал, инфраструктуру и процессы — это серьезные инвестиции, готовность растить команду, нанимать специалистов, что делает его создание долгим и затратным. Поэтому даже крупные организации часто отдают предпочтение коммерческому SOC в модели co-managed, которая сохраняет за клиентом контроль, но избавляет его от необходимости круглосуточного мониторинга и рутинных операций по реагированию.

CNews: Пожалуйста, расскажите подробнее — какие технологии применяются в SOC «Спикател».

Евгений Пудовкин: С технической стороны наш SOC поддерживает интеграцию с решениями различных вендоров, мы сотрудничаем с ведущими поставщиками на российском рынке. Например, для автоматизации реагирования была выбрана платформа Security Vision SOAR. Вообще, при выборе SOAR-решения ключевыми критериями стали возможности интеграции, гибкость создания сценариев и плейбуков, соответствие требованиям локальной инфраструктуры, а также способность минимизировать человеческий фактор при формировании уведомлений и автоматизации рутинных операций.

Security Vision SOAR в условиях российского рынка демонстрирует отличную совместимость с отечественными технологическими стеками, сокращает затраты времени на подготовку и отправку оповещений, в том числе регуляторам, и позволяет создавать индивидуальные сценарии реагирования под специфические задачи клиентов. На рынке это ведущее российское SOAR-решение, ориентированное на оркестрацию процессов и соответствие локальным нормативным требованиям.

CNews: Каковы дальнейшие планы по развитию SOC-центра «Спикател», появятся ли новые услуги и решения?

Евгений Пудовкин: На ближайшую перспективу мы планируем укрепить коммерческую операционную модель SOC, расширить предложения в формате co-managed и направления исследований и разработок. Кроме того, в планах — формирование продуктовой линейки (включая собственные компоненты для анализа логов и обеспечения наблюдаемости), развитие интеграций с решениями SASE/SD-WAN, а также добавление сервисов автоматизированного тестирования и проактивного мониторинга.

CNews: Есть ли новости относительно облачных сервисов?

Евгений Пудовкин: Да, мы запустили дополнительную облачную зону — внедрили географическое резервирование. Теперь можем предлагать клиентам мультизональную отказоустойчивость. Параллельно совершенствуем собственные сервисы — объектное хранилище S3, решения для резервного копирования и аварийного восстановления.

CNews: Российский сегмент информационной безопасности развивается опережающими темпами по сравнению с глобальным рынком. Что будет способствовать продолжению этой динамики?

Евгений Пудовкин: Рост отечественного рынка кибербезопасности возможен при одновременном действии нескольких условий: устойчивый корпоративный спрос на защитные сервисы, проводимая государством и бизнесом политика импортозамещения программного обеспечения. Также ключевую роль играют финансовые вложения — как бюджетные, так и частные — в российские технологические разработки. Не менее значима скоординированная инициатива компаний и государства в области подготовки квалифицированных специалистов. Эти тенденции уже наблюдаются в настоящее время, и в случае их укрепления, рынок имеет потенциал удвоиться в течение ближайших двух-трех лет.

CNews: Ощущается нехватка специалистов по ИБ. Стоит ли новичкам рассматривать карьеру в коммерческих SOC-центрах?

Евгений Пудовкин: По моему мнению, коммерческие центры мониторинга и реагирования на инциденты сегодня представляют собой наилучшую стартовую площадку для начинающих экспертов по безопасности. В такой среде сосредоточено множество инцидентов и разнообразных задач, что позволяет быстро набраться практического опыта и интенсивно развить профессиональные компетенции. Кроме того, во многих коммерческих SOC действуют продуманные программы обучения и четкие карьерные траектории. Работа в SOC также дает особую возможность развить гибкие навыки (soft skills), что является дополнительным существенным плюсом.