Российские MSSP: рынок и тенденции

В 90-е годы в московском банке, где я тогда работал, неожиданно вышел из строя выделенный канал связи с отделением, что парализовало работу филиала в Архангельске. Провайдер заявил, что у него проблем нет, наши пакеты, хоть и медленно, но доходят. Собственной экспертизы не хватило, пришлось срочно вызывать сторонних специалистов, которые, проанализировав трафик на сетевых устройствах, выявили внутреннюю атаку «отказ в обслуживании» – вирус полностью занял канал с отделением, пытаясь найти доступ в интернет, чтобы связаться со своим управляющим сайтом. Зараженный сервер нашли и отключили, вирус удалили, а банк осознал важность сетевой безопасности, ведь отделение не работало, что приносило убытки.

Времена, когда на информационную безопасность не обращали внимания, а меры защиты сводились к установке антивируса, давно прошли. Бизнес понял, что ИБ – это не разовое мероприятие по закупке очередной «серебряной пули», а сложная многоплановая работа, требующая непрерывного централизованного контроля ситуации.

Для оперативного мониторинга ИT-среды и работы систем защиты информации, а также для реагирования на киберинциденты в крупных организациях стали появляться специальные структурные подразделения – центры мониторинга безопасности (Security Operation Center, SOC). В примере с банком такой центр оперативно отключил бы подозрительное устройство. Причины проблем с сервером могли бы выяснить позже, но канал связи с отделением уже заработал бы и банк не простаивал.

Можно и не доводить дело до недопустимого для бизнеса события. Если за малый промежуток времени изменилось много файлов, то стоит проверить, не начал ли работать вирус-шифровальщик, который впоследствии потребует выкуп за доступ к зашифрованным данным. Если обнаружился нетипичный интернет-трафик, то, возможно, в системе появился бот, использующий вашу инфраструктуру для организации DDoS-атаки.

Сильно размыла периметр безопасности пандемия COVID-19, сделавшая удаленную работу нормой. Риски выросли, но иметь собственный SOC могли позволить себе только самые крупные компании – из-за дороговизны и острого дефицита квалифицированных специалистов. Услуги сетевой безопасности (Managed Security Services, MSS) начали отдавать на аутсорсинг провайдерам (Managed Security Service Providers, MSSP), что привело к развитию рынка сервисов информационной безопасности: услуг SOC и удаленной эксплуатации средств защиты.

Передача обеспечения сетевой безопасности на аутсорсинг отнюдь не новация. Первым провайдером MSS стала американская компания US West, которая еще в 1997 г. начала предлагать клиентам использовать ей принадлежащий и ею управляемый файрвол – Сheck Point Firewall-1. В дальнейшем спектр предлагаемых услуг расширился, специалисты провайдера контролировали и администрировали не только файрволы (FW, NGFW, UTМ), но и системы обнаружения и предотвращения вторжений, агентов для сбора и автоматического анализа информации о событиях безопасности (Security Information and Event Management, SIEM), шлюзы безопасности для почтового и веб-трафика, а также анализировали журналы безопасности, сканировали активы заказчика на уязвимости и защищали его от DDoS-атак.

Компании оценили преимущества аутсорсинговой модели при обеспечении безопасности и стали отдавать на откуп провайдерам услуг все больше сервисов. В 2019 г. Gartner относила к MSS круглосуточный удаленный мониторинг событий безопасности; администрирование и управление ИБ; обеспечение безопасности с помощью удаленных SOC. Аналитики отмечали, что основная услуга большинства MSSP – мониторинг событий безопасности и реагирование на них при обнаружении угроз, прежде всего с помощью удаленных SOC. 

В список дополнительных услуг вошли:

Сформировался мировой рынок MSSP, который, согласно исследованию «iKS-рейтинг. Рынок MSSP в мире: итоги 2023», проведенному аналитическим и консалтинговым агентством iKS-Consulting, возглавляют французские компании Thales и Orange Cyberdefence (см. табл.), до 2022 г. предлагавшие услуги и на российском рынке.

На 15-м месте в этом списке – российская ГК «Солар», которая лидирует на отечественном рынке (30%). Без учета внутригрупповой выручки «Ростелекома» выручка «Солар» на рынке MSSP составила 6,9 млрд руб.

Российский рынок SOC, по оценке iKS-Consulting, в 2023 г. составил 22,9 млрд руб. В основном рынок формируют специализирующиеся на рынке кибербезопасности игроки, такие как «Солар», BI.ZONE, «Информзащита», Innostage, «Инфосистемы Джет». Из числа отсутствующих на диаграмме компаний следует назвать Angara SOC и Qrator Labs, которая выступает и как вендор, и как MSSP (выручка за 2023 г. – 1,4 млрд руб.). Кроме того, заметны телеком-операторы (МТС RED, «Мегафон»), которым тоже интересен этот рынок. Стоит отметить интерес к рынку и у компаний, воспринимаемых как поставщики аппаратных решений кибербезопасности: весной 2024 г. предложила рынку услуги SOC компания UserGate. 

Среди российских MSSP и вендоров решений для SOC отметим Positive Technologies и «Лабораторию Касперского», продукты которых активно используют лидеры рынка, а также компанию «Вебмониторэкс», чьи системы расширяют функционал SOC. 

Услуги MSSP востребованы на рынке. Так, компании «Солар» и BI.ZONE обеспечивают защиту более 200 тыс. конечных точек каждая. В оказании помощи клиентам у «Солар» задействовано более 800 экспертов, более 200 работают в BI.ZONE, более сотни – в МТС RED и в компании «Инфосистемы Джет». В общей сложности «Солар» обрабатывает более 200 млрд событий в сутки, сервис BI.ZONE TDR – более 250 тыс. «сырых» событий кибербезопасности в секунду, которые в 2024 г. в результате срабатывания правил корреляции ежемесячно генерировали в среднем 26 тыс. подозрений на инциденты (так называемых алертов), анализируемых специалистами компании. За 2023 г. компания «Инфосистемы Джет» обработала не менее 50 тыс. подозрений на инциденты, «Лаборатория Касперского» проанализировала около 431 тыс. событий безопасности, примерно 32 тыс. из которых оказались следствием около 14 тыс. инцидентов. Более 120 млрд событий ежемесячно обрабатывает SOC МТС RED.

Опрошенные «ИКС-Медиа» руководители компаний, активно работающих на рынке MSSP, выделили целый ряд тенденций развития этого рынка:

В сложной геополитической обстановке, когда мир балансирует на грани полномасштабной кибервойны, риски увеличиваются и спрос на сервисы кибербезопасности постоянно повышается. О защите начинают задумываться все больше и больше компаний, в том числе те, которые раньше этого не делали. Растет потребность в экспертизе и специалистах, а они и без того в дефиците. Поэтому компании все чаще обращаются к внешним SOC/MSSP, и их востребованность растет и будет расти.

Выход на рынок операторов связи, вендоров аппаратных средств и других не специализировавшихся ранее на сервисах информационной безопасности компаний, например облачных провайдеров, – еще один, вполне естественный тренд растущего российского рынка MSSP. 

Все больше и больше вендоров будут предлагать сервисы к своим продуктам, становясь сервис-провайдерами. А сервис-провайдеры, сами разрабатывающие элементы своих технологических платформ оказания сервисов, будут пытаться превращать их в самостоятельные продукты и выводить на рынок, превращаясь таким образом в вендоров. 

Освободившиеся после ухода с рынка западных игроков ниши начали занимать российские компании. Возросшие риски киберугроз подстегнули процессы импортозамещения. Переход на российское ПО энергично стимулируют регуляторы. Импортозамещение стало трендом и на рынке SOC/MSSP.

С моделью MSSP конкурирует аутстаффинг, т.е. подход, в рамках которого внешние специалисты на объекте заказчика проводят расследования и решают проблемы информационной безопасности. Аутстаффингом можно считать приведенный в начале статьи пример приглашения внешних специалистов в банк для расследования сложной ситуации с сетью. 

SOC, как правило, предоставляет стандартизированные услуги, не заточенные под особенности клиента. С другой стороны, чистый аутстаффинг с постоянным привлечением внешнего персонала не всегда возможен и экономически обоснован. Поэтому получают распространение гибридные схемы, когда MSSP не только предлагает стандартизированные услуги своего SOC, но и выделяет сотрудников для работы на площадке клиента с его системами ИБ и даже с потребляемыми по модели SECaaS сервисами безопасности из облака.

Современные MSS могут включать не только сервисы противодействия внешним угрозам (DDoS и таргетированным атакам), управление репутацией, киберразведку, но и защиту от утечек данных.

Также растет интерес к решениям класса deception, которые сбивают злоумышленника с толку и заставляют его ошибаться при горизонтальном продвижении к намеченной цели во внутреннем контуре жертвы. Некоторые игроки уже начали внедрять такие инструменты в свой портфель сервисов. Следом придет черед решений для защиты сред контейнеризации, которые позволят повысить качество мониторинга тех инфраструктур, где активно применяются контейнеры и контейнерная оркестрация.

Автоматизация затрагивает все направления развития ИТ, в частности MSS, куда активно проникают новые технологии, позволяющие уменьшить долю ручного труда, в том числе за счет применения систем искусственного интеллекта.

Увеличивается и количество атак, и их сложность. В таких условиях компаниям необходимо пересматривать технологический стек своих SOC. «Профессиональные атаки все реже могут быть выявлены при помощи простого анализа логов и SIEM и требуют применения на защищаемом канале или объекте специализированных сенсоров – систем анализа трафика (Network Traffic Analysis, NTA), EDR, Sandbox – для эффективной обработки утилит», – подчеркнул В. Дрюков. 

Эксперт отметил, что сегодня инструменты, направленные на нарушение доступности сайтов (магистральные и прикладные DDoS-атаки), эволюционируют. Атаки на каналы связи в основном направлены на сети провайдеров, а DDoS уровня приложений все чаще мимикрируют под легитимный трафик. При этом злоумышленники готовят специализированный профиль атаки для каждого конкретного ресурса. Все это требует совершенствования механизмов защиты и повышения уровня компетенций служб кибербезопасности.

Т. Хеирхабаров прогнозирует дополнительное оснащение SOC решениями для повышения эффективности обнаружения угроз и реагирования на них. Сейчас повсеместно внедряются решения EDR и NTA. 

Конкуренция заставляет MSSP уделять больше внимания гибкости и удобству сервисов для заказчиков: объединению разрозненных панелей управления отдельными сервисами в единые личные кабинеты, упрощению обучения новых сотрудников, предоставлению все большего количества «ручек» для самостоятельного управления теми или иными параметрами сервисов. Кроме того, по мнению Т. Хеирхабарова, хорошие перспективы имеет введение единой подписки на несколько сервисов, в рамках которой заказчик приобретенные условные единицы может по своему усмотрению тратить на различные сервисы провайдера.

Также эксперт полагает, что все больше предложений сервисов кибербезопасности будет предназначаться для SMB. В настоящее время такие сервисы потребляют преимущественно крупные компании, а предложений для SMB практически нет. 

Рынок SOC/MSSP достаточно быстро растет. Как уже говорилось выше, драйверы этого роста – увеличивающееся количество и повышающееся «качество» (сложность и разнообразие) кибератак, а также дефицит квалифицированных кадров. Для обеспечения безопасности компании будут все чаще обращаться к MSSP.

По оценкам iKS-Consulting, рост выручки российского рынка SOC/MSSP в ближайшие годы составит 20–25%. Текущие тенденции подтверждают оптимизм аналитиков.

Будущее рынка MSSP будет определяться способностью провайдеров адаптироваться к новым угрозам, работать в различных условиях, например в контейнерных средах, использовать передовые технологии и интегрировать безопасность во все корпоративные бизнес-процессы.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!