16 Декабря 2025 16:56 16 Дек 2025 16:56 |

Поделиться

Евгений Пудовкин, «Спикател»: Наибольший спрос на SOC наблюдается в формате co-managed

CNews: Как изменилась российская отрасль кибербезопасности за последние несколько лет? Какие главные результаты этих перемен?

Евгений Пудовкин: Российский ИБ-рынок растет как по числу игроков, так и по выручке. Так, по экспертным оценкам, за последние 5 лет количество ИБ-компаний в нашей стране увеличилось на 40%. Объем российского рынка кибербезопасности по итогам 2024 года составил порядка 600 млрд рублей, увеличившись на 30% за год.

Если же говорить о качественных изменениях рынка, то отрасль за последние годы стала более продуктово-ориентированной: компании фокусируются на практических инструментах для быстрого обнаружения уязвимостей, автоматизации реагирования и повышении киберустойчивости инфраструктур.

CNews: Каковы приоритеты и предпочтения отечественных заказчиков на сегодняшний день? Защита от каких киберугроз наиболее актуальна?

Евгений Пудовкин: Запрос клиента сейчас: отечественное решение, предсказуемые SLA и экономическая эффективность внедрения.

Если говорить о киберугрозах, то, в первую очередь, это защита от атак, нарушающих доступность сервисов (например, от DDoS-атак на инфраструктуру). В настоящее время с DDoS-атаками сталкиваются игроки любого размера и фактически из любых отраслей, и потому внедрение решений по защите от сетевых атак и на уровне приложений уже для многих must have. Также актуальны такие угрозы как компрометация учетных записей (в том числе через фишинговые кампании и атаки типа password spraying), и распространение эксплойтов в корпоративных сетях. Например, эксплуатация уязвимостей в популярных продуктах Microsoft Exchange, Fortinet, VMware и других корпоративных системах. Набирают обороты атаки с использованием вредоносных вложений в деловой переписке, цепочек поставок (supply chain attacks) и внедрения через обновления ПО.

Также наблюдается высокий спрос со стороны бизнеса на инструменты для проактивного обнаружения атак, в том числе раннее выявление lateral movement внутри сети, поведенческий анализ активности пользователей и узлов, и оперативную автоматизацию реагирования — блокировку скомпрометированных учетных записей, IP-адресов и вредоносных процессов в режиме реального времен.

CNews: В мае вы анонсировали запуск SOC — на каком этапе проект сейчас?

Евгений Пудовкин: Сейчас SOC полностью готов к коммерческому запуску, проведены пилоты, заключены первые контракты, есть лицензия ФСТЭК. Мы сформировали команду аналитиков уровней L1 и L2, L3. При этом L1-аналитики подбирались не просто как операторы, принимающие инциденты, а как специалисты с базовыми компетенциями в безопасности. Это позволит закрывать значительную часть инцидентов на первой линии, не вовлекая более дорогие и узко специализированные ресурсы.

С технической стороны реализован полный цикл — от сбора данных до корреляции событий, реагирования, эскалации и форензики. В инфраструктуре клиентов устанавливаются агенты, данные автоматически собираются и анализируются движком корреляции, который выявляет связи между событиями. Если система считает, что инцидент значим, аналитик получает уведомление, проводит разбор и принимает решение.

По договоренности с заказчиком возможен вариант автоматического реагирования — команда SOC может выполнять действия в контуре клиента либо использовать SOAR-систему для автоматизации блокировок учетных записей и адресов.

CNews: Какие еще решения и услуги вы предлагаете рынку?

Помимо SOC, у нас представлены решения WAF, DLP, Anti-DDoS, Anti-Bot, безопасная разработка. Из базовых услуг — аудит и харденинг. Харденинг — это выстраивание политики безопасности, где по умолчанию запрещено все, а разрешения выдаются через процедуру согласования. Это то, к чему стремится любой безопасник, хотя в идеале этого уровня почти никто не достигает.

Но наибольший спрос все же на SOC в формате co-managed (совместно управляемый) и на услуги, которые позволяют получить быстрый операционный результат: мониторинг, реагирование и автоматизация блокировок.

CNews: Когда говорить о co-managed модели SOC, что это значит на практике?

Евгений Пудовкин: Это формат, при котором у заказчика есть собственная команда ИБ, но нет необходимости полностью покрывать все процессы. Мы берем на себя реализацию их политики безопасности и эксплуатацию инструментов. Таким образом, клиент получает гибкость и экономию бюджета, а мы — прозрачное взаимодействие и единый бэклог задач.

Безусловно, в отдельных случаях бизнес предпочитает строить собственный SOC. Например, чем выше уровень угроз и выше критичность инфраструктуры, тем больше аргументов в пользу инхаус. Однако внутренний SOC требует затрат на лицензии, персонал, инфраструктуру и процессы, и все это серьезные инвестиции, готовность развивать команду, искать новых людей — создавать его долго и дорого. Потому даже крупные игроки часто выбирают коммерческий SOC по модели co-managed, когда у заказчика есть контроль, но нет круглосуточного мониторинга и рутинного реагирования.

CNews: Расскажите подробнее – какие решения используются в SOC «Спикатела».

Евгений Пудовкин: Технически SOC поддерживает мультивендорную интеграцию, мы работаем с ведущими вендорами российского рынка. Например, для автоматизации реагирования был выбран Security Vision SOAR. Вообще при выборе SOAR-платформы ключевыми критериями стали интеграционные возможности, гибкость скриптов/плейбуков, соответствие требованиям локальной инфраструктуры и способность снизить влияние человеческого фактора при подготовке уведомлений и автоматизации рутинных действий.

Security Vision SOAR в российских реалиях показывает хорошую интеграционную совместимость с отечественным стеком, сокращает трудозатраты на подготовку и рассылку уведомлений, в том числе регуляторным органам, и позволяет строить кастомизированные плейбуки для специфичных кейсов клиентов. По рынку — это лидирующее российское SOAR-решение с акцентом на оркестрацию и соответствие локальным требованиям.

CNews: Какие дальнейшие планы по развитию SOC-центра «Спикател», какие новые услуги, решения появятся?

Евгений Пудовкин: Планы на ближайшее будущее — закрепить коммерческую операционную модель SOC, расширять co-managed предложения и R&D-направление. Кроме того, в планах — создание продуктовой линии (включая собственные компонентные решения для анализа логов/наблюдаемости), развитие интеграций с SASE/SD-WAN и добавление сервисов автоматизированного тестирования и проактивного мониторинга.

CNews: Есть ли обновления по облачным сервисам?

Евгений Пудовкин: Да, мы открыли второе плечо облака — реализовали георезервирование. Теперь можем предоставлять мультизональную доступность для клиентов. Также развиваем внутренние сервисы — S3-хранилище, backup-и-disaster-recovery-решения.

CNews: Российский рынок ИБ растет быстрее среднемирового. При каких условиях эта тенденция сохранится?

Евгений Пудовкин: Отечественный рынок кибербезопасности будет расти при сочетании следующих факторов: сохранение спроса бизнеса на сервисы защиты, государственная и корпоративная политика в пользу локализации ПО. Кроме того, необходимы инвестиции как государства, так и частного капитала в отечественные разработки. Также важна совместная проактивная работа бизнеса и государства в сфере подготовки новых кадров. Все эти тренды мы видим уже сейчас, и если они сохранятся, то возможен рост рынка вдвое на горизонте 2-3 лет.

CNews: Кадровый дефицит в ИБ — стоит ли начинающим идти в коммерческие SOC-центры?

Евгений Пудовкин: На мой взгляд, на сегодняшний день коммерческие SOC являются оптимальным стартом для молодых ИБ-специалистов. В таком SOC – большое количество инцидентов, разнообразие задач, и потому есть возможность сформировать насмотренность и в кратчайшие сроки прокачать скилы. Кроме того, во многих коммерческих SOC развитая программа обучения и понятные карьерные треки. При работе в SOC также есть уникальная возможность прокачать еще и soft skills, а это также большое преимущество.

Поделиться

Подписаться на новости Короткая ссылка