С кем пойти в киберразведку

Количество киберугроз российскому госсектору и бизнесу растет с каждым годом. В том числе на фоне ухода иностранных вендоров это привело к росту российского рынка киберразведки, сервисов анализа уязвимостей, а также платформ, предоставляющих информацию для защиты.

Найти и обезвредить

Мировой рынок анализа киберугроз Threat Intelligence (киберразведка, TI), по прогнозам IDC, будет расти на 19% ежегодно до 2029 г. При этом весь рынок кибербезопасности к 2029 г., по прогнозу Fortune Business Insights, будет увеличиваться со среднегодовым темпом 10%.

Повышенное внимание злоумышленников к российским организациям обусловлено прежде всего политической ситуацией, сообщают эксперты. За 2025 г. частота кибератак на отечественный бизнес увеличилась втрое. Из-за высокой активности хакеров растет и российский рынок TI. Впрочем, по мнению Юрия Драченина, замруководителя продуктовой группы «Контур.Эгида» и Staffcop, в отличие от зарубежной сильно развитой коммерческой и частной киберразведки с крупными платформами и подписочными сервисами российский сегмент TI пока более фрагментирован.

После ухода иностранных вендоров освободившиеся ниши заполняют отечественные TI-платформы: коммерческие Kaspersky*, Bi.Zone*, Positive Technologies*, F6* (до 2025 г. Group-IB) с платной подпиской, а также бесплатные от БДУ ФСТЭК* и X Threat Intelligence* «Сбера»**. «Отечественные решения лучше покрывают русскоязычные источники и региональные особенности ландшафта угроз, предлагают более удобные варианты эксплуатации с учетом требований российских регуляторов и внутренней политики по данным, а также интеграции с распространенными в РФ SOC-решениями», – объясняет Алексей Водясов, руководитель направления по анализу защищенности Kept.

«Threat Intelligence – это не только сбор данных об угрозах, но и мощная аналитическая платформа, которая позволяет выстроить процесс сбора, анализа и систематизации информации о текущих и потенциальных киберугрозах, их авторах, методах, инструментах и целях. Конечная цель – усиление защиты организации за счет глубокого понимания актуального ландшафта киберугроз», – добавляет Павел Остриков, архитектор системных решений UserGate. Эксперт называет рынок TI в России динамически развивающейся нишей. Он связывает это с требованиями регулятора к КИИ в кратчайшие сроки выявлять и отражать атаки, а также с активным ростом отечественных SIEM- и SOAR-платформ (комплексные системы информационной безопасности, 18+), которые требуют в своей работе получения самых актуальных данных киберразведки. «Это создает огромный спрос на TI-решения для мониторинга угроз», – заключает Остриков.

Базовая цифровая гигиена

Согласно исследованию Anti-Malware.ru, TI-платформы используются почти у 40% российских компаний. Среди компаний, в которых внедрены TI-платформы, 28% используют коммерческое решение, остальные используют опенсорсные варианты, самописные или просто собирают все в ручном режиме.

«Открытый доступ организаций к аналитике, инструментам выявления и устранения уязвимостей на платформе X Threat Intelligence – это наш вклад в обеспечение кибербезопасности России», – объясняют выбор в пользу бесплатного предоставления продукта в «Сбере».

Решение «Сбера» предоставить бесплатный доступ к своей TI-платформе повышает общий уровень кибербезопасности, считают аналитики. «Это повышает «базовую гигиену», особенно у компаний, которые не могут позволить себе дорогую TI-функцию и команду аналитиков», – отмечает Юрий Силаев, старший преподаватель департамента программной инженерии факультета компьютерных наук НИУ ВШЭ. При этом он предупреждает, что для действительного снижения риска важно, чтобы данные из платформы были встроены в фактические процессы организации.

План «лечения» ясен

Получать информацию об уязвимостях важно компаниям из разных секторов экономики. По данным Bi.Zone, в 2025 г. на ритейл пришлось больше всего хакерских атак с высоким уровнем ущерба (31% всех обращений о таких инцидентах). На долю IT-отрасли пришлось 26% от общего количества киберрасследований. На 3-м месте в рейтинге – транспортные и телекоммуникационные компании, а также государственные организации (по 11% случаев).

При этом теперь хакеры хотят не только получить деньги, но и нанести «максимальный ущерб бизнес-процессам организаций («паралич» IТ-инфраструктуры)», пишут в своем исследовании эксперты ЦСР.

Так, группа компаний «Медси», одна из крупнейших частных медицинских сетей в России более чем со 130 клиниками, для актуализации своей киберзащиты выбрала бесплатную платформу X Threat Intelligence от «Сбера». Как отмечает Виталий Медведев, директор по информационной безопасности «Медси», ключевым результатом внедрения стало повышение качества и скорости реагирования на инциденты информационной безопасности. «Потребляя информацию об актуальных киберугрозах и методах атак преступных группировок из платформы X Threat Intelligence, ГК «Медси» повысила качество и скорость реагирования на инциденты», – констатирует Медведев.

Наиболее полезными модулями для своей организации Медведев считает модули с аналитическими разборами действий нарушителей, а также модуль мониторинга внешней поверхности атаки. Результаты анализа используются экспертами «Медси» ежедневно для сбора актуальных индикаторов компрометации (IOC) и мониторинга утечек.

X Threat Intelligence не стала единственным источником киберанализа в компании. «Для анализа киберугроз мы используем несколько TI-решений. X Threat Intelligence от «Сбера» существенно дополняет и обогащает нашу экспертизу противодействия кибератакам», – поясняет Медведев. Такой многоканальный подход позволяет получить более полную и верифицированную картину угроз.

Держать TI на пульсе

Еще один практический кейс использования TI-платформы – у компании «Метаскан» (разработала облачный сканер уязвимостей для автоматического обнаружения и устранения угроз в IТ-инфраструктуре с ежедневным мониторингом). Партнерство с X Threat Intelligence позволяет сканеру не просто находить «дыры» в периметре, но и понимать, какие угрозы представляют сиюминутную и реальную опасность, а также что сейчас в тренде у злоумышленников, рассказывает Давид Ордян, генеральный директор ООО «Метаскан». Эксперт отмечает популярность у своих клиентов модуля, в котором платформа обогащает списки зарегистрированных уязвимостей (CVE), найденных для конкретного ПО, критически важным контекстом. Речь идет о «боевом» эксплойте – показателе того, что уязвимость активно используется преступными группировками. Это особенно опасно для устаревшего ПО, которое часто не получает обновлений и делает системы, его использующие, легкими целями для атак.

Второй ключевой модуль – анализ утечек учетных записей, который помогает защищать от компрометации паролей, когда злоумышленники пытаются использовать один и тот же распространенный пароль для множества учетных записей. По словам Ордяна, платформа подсвечивает «слабое звено» – логины пользователей, которые ранее фигурировали в известных утечках данных.

Эксперты резюмируют: рынок киберразведки на основе отечественных решений в России за последние годы существенно вырос. Толчком к развитию послужил уход иностранных вендоров, драйверами роста, в том числе, являются ведущие российские цифровые компании, а спрос обеспечивается растущими киберугрозами и необходимостью защиты от них всех секторов отечественной экономики. «Катализатором для развития подобных сервисов являются технологии искусственного интеллекта, которые также активно развиваются в России и позволяют автоматически собирать и анализировать огромные объемы данных, делать выводы с рекомендациями по защите и даже совершать самостоятельные действия в цифровой инфраструктуре компаний. В России есть с кем пойти в киберразведку – выбор за потребителем», – дополняют в «Сбере». &

* 18+.

** Публичное акционерное общество «Сбербанк России».