Содержание
Кибербезопасность: концепция и бизнес
Последний год показывает, что результативная кибербезопасность стала актуальной для совершенно разных компаний. При этом они драйвятся разными мотивами: в ряде случаев законодательными инициативами, как это происходит, скажем, с ритейлерами, реагирующими на закон об оборотных штрафах, кто-то оказался под натиском атак и теперь точно понимает, что надо заниматься кибербезопасностью всерьез. Но показательным является то, что организации очень четко сопоставляют регуляторные требования, законодательные инициативы и реальную защищенность, решая в большинстве случаев сразу все три задачи. Для этого используются все доступные для обеспечения реальной защиты инструменты и подходы: от выставления отдельных разработок, сервисов и целых инфраструктур на багбаунти до выращивания уникальных экспертов под актуальные задачи.
Рынок ИБ: привлекательность с оттенком Wild Wild West
Рынок кибербезопасности приобрел дополнительную привлекательность для самых разных игроков. Во-первых, с точки зрения технологического ландшафта. Да, расклад по технологическим группам и классам поменялся не слишком сильно в силу того, что отечественные технологии защиты традиционно присутствовали почти во всех нишах, за исключением, пожалуй, продуктов класса NGFW. Однако практически все игроки этого рынка стали расширять свое присутствие в неклассических для себя нишах. И это естественный процесс в данный момент: для рыночного здоровья это, скорее, правильно — рынок становится более конкурентным, насыщенным, вырастают требования к качеству и услуг, и ПО (клиенту есть из чего выбрать). В глобальном смысле это может выразиться в некотором общем замедлении развития новых технологий на рынке (в силу массового перераспределения ресурса разработки с создания концептуально новых технологий в пользу выпуска своих продуктов в базовых нишах). Но когда произойдет перенасыщение рынка в каждом из классов продуктов, вендоры начнут заглядывать в будущее и работать над совершенно новыми технологиями. Крупные же компании, покрывающие широкий пул классических ниш уже сейчас, окажутся в роли локомотивов, двигающих отрасль к новым технологическим возможностям.
Также мы видим формирующуюся потребность в реализации M&A, связанную в числе прочего и со стремлением ряда крупных компаний быстро расширить свое присутствие в не характерных ранее технологических нишах либо сэкономить время и ресурсы на создание продуктов, комплементарных уже имеющимся в портфеле решениям. Потребность есть, но реальных M&A пока нет: эта культура у нас еще не сформировалась. Хотя, конечно, уже есть случаи покупок очень крупными российскими компаниями активов из области ИТ и кибербезопасности. Но это не вполне традиционная мировая история M&A, где выработана длительная практика рождения и взращивания стартапов (иногда специально под подобные поглощения). Пока это путь, когда приобретение происходит для своих собственных, внутренних нужд. В итоге у компаний, для которых, скажем, информационная безопасность не является основным бизнесом исторически, появляются специализированные «дочки». Такие приобретения, как правило, не приносят на рынок новых продуктов и технологий.
Если говорить не о кибербезопасности, а о том, что происходит в ИТ, где на рынок активно выходят новые игроки, замещающие ушедших вендоров, то конечный потребитель не всегда имеет возможность адекватно оценить качество и защищенность предлагаемого ему продукта. Очень немногие вендоры, особенно из числа новых, строят сегодняшнюю разработку, используя процессы безопасной разработки, не говоря уже о том, чтобы учитывать потенциальные угрозы ближайших 2–5 лет. Порой даже на рынке кибербезопасности мы еще сталкиваемся с тем, когда быстрый выпуск продукта важнее, чем проработка и обеспечение безопасности его использования. То есть сейчас весь рынок разработки приобретает черты Wild Wild West.
Пользователь технологий кибербезопасности: какой он?
Последний год (а то и полтора) показывает, что кибербезопасность стала актуальной для совершенно разных компаний. При этом драйвятся они разными мотивами: в ряде случаев законодательными инициативами, как это происходит, скажем, с ритейлерами, реагирующими на закон об оборотных штрафах, кто-то оказался под натиском атак за последний год и теперь точно понимает, что надо заниматься кибербезопасностью всерьез. Но показательным является то, что организации очень четко сопоставляют регуляторные требования, законодательные инициативы и реальную защищенность, решая в большинстве случаев сразу все три задачи. И практическая защита в этом контексте играет равную, если не доминирующую, роль: кибербезопасность «по формалочке» почти исчезла из повестки, каждый первый наш клиент (в том числе новый) озабочен реальными кейсами в области ИБ — сохранностью клиентской базы, киберустойчивостью бизнес-процессов и прочим.
Динамика вовлечения в тематику кибербезопасности компаний, для которых эта проблематика ранее была неактуальна, велика: в этом году число наших новых клиентов (юридических лиц) увеличилось более чем на 20%, мы видим осязаемый запрос на безопасность от компаний уровня Medium Enterprise, Middle-Market и Small Enterprise, а к концу 2025 года количество такого типа клиентов в нашем клиентском портфеле, при сохранении динамики, будет исчисляться тысячами. Задачи в области кибербезопасности у таких компаний совпадают с теми, что характерны для Enterprise-сегмента. Однако они менее обеспечены экспертными ресурсами, и в их случае очевиден запрос на облегченные с точки зрения необходимого уровня экспертизы персонала продукты и сервисы.
По итогам года пилотирования метапродукта MaxPatrol O2 сложился профиль компании, которая становится его пользователем в первую очередь. Это компании, топ-менеджмент и CISO в которых очень четко сформулировали для себя необходимость знать в каждый момент времени, защищена ли компания на 100%. Во-первых, это организации очень зрелые с технологической точки зрения, имеющие большие команды SOC и понимающие, что даже при таком подходе риск инцидента все равно не снимается. И единственная возможность для них получить гарантированный результат в противодействии хакеру — дать команде кибербезопасности «второго пилота» — метапродукт, оснащенный технологиями искусственного интеллекта.
Второй типовой пользователь метапродукта — компании с визионерским подходом к технологиям и бизнесу, но при этом не имеющие реальной возможности взять на борт большую команду SOC, чтобы обеспечить себе необходимый уровень защиты.
Перегнать домашний рынок? Да!
На входе в 2023 году ключевые игроки рынка в среднем таргетировали1 свою успешность к концу года в границах 35%-ного роста. При этом аналитики прогнозировали рост рынка до 31%2. Positive Technologies входила в 2023 год с таргетом на рост в коридоре от 60% до 100%. Прошедшие месяцы скорректировали ситуацию, и динамика роста ключевых игроков рынка незначительно снижается — до 30%, но остается в целом сравнима с динамикой роста рынка. Бизнес Positive Technologies продолжает расти существенно быстрее рынка, и к концу года в компании ожидается увеличение объема отгрузок на 70%.
Среди ключевых факторов, которые позволили компании расти быстрее рынка в 2023 году и будут оказывать влияние на ее рост в будущем, — расширение клиентской базы и продуктовой линейки. Сегодня в портфеле компании уже 22 продукта, и наибольший вклад в общий объем отгрузок вносят MaxPatrol SIEM, PT Application Firewall, MaxPatrol VM. В актуальных финансовых результатах компании находят отражение и осуществленные в 2021–2022 годах инвестиции в развитие новых технологий: в структуре продаж за 9 месяцев 2023 года появились первые продажи метапродукта MaxPatrol O2 и решения PT XDR.
Большие планы на будущий период мы связываем с ростом востребованности метапродуктов, как класса технологий, которые рынок уже попробовал и готов брать на борт, а также — с развитием cloud-native-линейки продуктов, старт которой положен в 2023 году в блоке application security. При этом история успеха application security на российском рынке, скорее, отложенная — с большой долей вероятности ее пик придется на 2025 год.
Заграница «хочет» русскую кибербезопасность
Итогом 2023 года можно считать сформированный интерес к технологиям отечественной кибербезопасности среди зарубежных клиентов. Практика Positive Technologies показывает, что в дружественных странах (Латинской Америки, Ближнего Востока, некоторых странах Азии, Африки) существует запрос на обеспечение киберсуверенитета: страны хотят быть вендоронезависимы, и часть из них находят возможность для этого через использование решений и продуктов разных производителей, миксуя подходы, вендоров, дублируя защиту. При этом в первую очередь востребованы технологии, доказавшие свою эффективность во время массовых атак.
Поэтому, безусловно, востребованы решения по сетевой безопасности, такие как система анализа трафика (PT Network Attack Discovery), PT Sandbox — «песочница», которая обнаруживает вредоносное ПО в файлах и трафике, и, конечно, классические продукты — система выявления уязвимостей и управления процессом их устранения (MaxPatrol VM), система мониторинга инцидентов кибербезопасности (MaxPatrol SIEM), с использованием которых можно строить полноценные SOC.
Результативная кибербезопасность и ее развитие
Идеи результативной кибербезопасности продолжают проникать на рынок, но итоги уходящего года в этой сфере неоднозначные, потому что эта концепция охватывает сразу несколько важных идей.
В первую очередь речь идет об определении недопустимых событий, которые приводят к катастрофическим последствиям для бизнеса. Кто-то считает, что это обычные риски, только стратегического или критического уровня. И мы не настаиваем на конкретном определении. Главная задача здесь — донести до руководства, что в сфере ИТ есть вероятность реализации событий, которые могут привести к катастрофическим последствиям. В этом плане мы видим позитивную динамику: тема начинает поддерживаться и регуляторами, и руководителями служб ИБ, и специалистами по безопасности. Несмотря на то что это некоторое упрощение одной из концепций кибербезопасности, в современном динамичном мире, когда времени глубоко во всем копаться нет, такой подход нашел свое достойное место.
Второй элемент результативной кибербезопасности — это центр противодействия киберугрозам. От обычных SOC3 они отличаются тем, что заточены на обнаружение и, самое главное, на реагирование на недопустимые события. Здесь пока можно отметить, что мы движемся в нужном направлении. Многие понимают необходимость выстраивания не только мониторинга, но и реагирования у себя в организациях. С другой стороны, компаниям сложно связать недопустимые события с мониторингом и реагированием. Обычно SOC отслеживают атомарные события безопасности, иногда объединяя их в цепочки событий, а недопустимые события — явления более высокого порядка. Перебросить мостик от первых ко вторым — задача достаточно нетривиальная, поэтому многие компании притормаживают на этом этапе. Они понимают сам подход, у них есть SOC, они, возможно, даже вышли на багбаунти, но мониторинг недопустимых событий все еще остается для них задачей на перспективу.
Третий ключевой компонент — это верификация недопустимых событий через платформы багбаунти и с использованием других способов продвинутого тестирования на проникновение без серьезных ограничений. На базовом уровне это направление в России активно развивается, однако до верификации способов реализации недопустимых событий дошло, кроме Positive Technologies, не так много организаций. До конца года Минцифры планирует запустить свою подобную багбаунти-программу. В 2024 году это планирует сделать компания Innostage, а также ряд наших клиентов, с которыми мы вместе прошли весь этап построения результативной кибербезопасности. Таким образом, в целом мы все еще находимся на начальном этапе внедрения результативной кибербезопасности как подхода, хотя отдельные его составляющие развиты очень и очень неплохо.
Строители результативной кибербезопасности
Positive Technologies помогает в данный момент запускать результативную ИБ госучреждениям и коммерческим компаниям из области ритейла, медицины, энергетики и финансов. В масштабах страны это достаточно крупные и зрелые в ИБ организации. Многое здесь, как правило, зависит от зрелости руководителей служб ИБ и первых лиц компаний, их понимания того, что воздействие на ИТ-инфраструктуру или технологические процессы может повлечь за собой катастрофические последствия. Если два этих момента в одной организации сходятся, возникает благодатная почва для запуска проекта по результативной кибербезопасности. Бывает и так, что к результативной кибербезопасности организация приходит после серьезного инцидента, когда руководство начинает задаваться вопросом, а почему это все случилось при тех инвестициях, что делались в ИБ, и что сделать, чтобы это не повторилось. Главное, чтобы начальный задор руководителя не исчез с течением времени. Поэтому зрелость является важнейшим фактором перехода от традиционной ИБ к результативной.
Более широкий круг организаций может реализовать отдельные этапы результативной кибербезопасности — например, построить функции мониторинга и реагирования и выйти на багбаунти, как делают «Тинькофф», VK или Сбер. Кроме того, Указ Президента № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ» требует непрерывного анализа событий безопасности и мониторинга защищенности почти от полумиллиона организаций.
Наконец, программа багбаунти стала обязательным мероприятием для региональных органов исполнительной власти, поэтому в следующем году можно ожидать увеличения числа госучреждений, выходящих на запуск таких программ.
С точки зрения мониторинга и реагирования количество компаний еще больше. Привязка к отрасли здесь не прослеживается, многое зависит от зрелости руководителя ИБ и его способности донести этот вопрос до топ-менеджмента.
Типология недопустимого
В отличие от киберугроз, которые касаются всех более или менее в равной степени, и рисков, которые также почти для всех одинаковы, недопустимые события в каждой организации, как правило, свои. Обычно их не больше 5—7 на одну компанию. Типизация недопустимых событий — неправильный путь для компаний. Здесь нужно думать и принимать решения самостоятельно, а не просто ставить галочки в подготовленных кем-то перечнях.
Компания Positive Technologies составила согласованные с организациями списки типовых неприемлемых событий для десятка отраслей, включая транспорт, электроэнергетику, медицину, госорганы, финансы. Универсальное недопустимое событие для любых организаций — потеря денежных средств, но пороговые суммы различаются. Для одних недопустима потеря 100 млн руб., а для других — нескольких миллиардов.
Для транспортных компаний неприемлемыми могут быть, например, коллапс на дорогах, повреждение какого-то важного или опасного груза, причинение ущерба здоровью или массовая гибель пассажиров. В сфере здравоохранения, к примеру, недопустимо массовое отключение электричества в медучреждениях, неправомерное использование или удаление медицинской информации, а также неоказание медпомощи гражданам в результате кибератаки (в США был случай, когда из-за атаки шифровальщика в одной из клиник вышло из строя оборудование, что привело к смерти новорожденного).
Мониторинг или усиление инфраструктуры
В зависимости от ситуации, в организациях могут использоваться либо мониторинг, либо усиление инфраструктуры (харденинг). Мы рекомендуем всегда находить оптимальный баланс между двумя подходами, потому что не во всех случаях правильно только мониторить атаку и реагировать на нее. Можно потратить драгоценное время, совершить ошибку и допустить неприемлемые последствия. Наш подход заключается в том, чтобы начать с уменьшения площади атаки и блокировать возможности реализации недопустимого события, — например, за счет устранения публично доступных уязвимостей, закрытия портов и отключения ненужных сервисов на периметре организации. Это приведет к тому, что путь хакера до цели внутри организации станет длиннее, а его продвижение — дольше. И если нам удастся сфокусироваться на мониторинге и реагировании в ключевых и целевых системах, тратя на эти действия время, меньшее, чем время атаки, то можно считать, что мы выполнили свою задачу, не допустив катастрофических последствий для организации.
Такой подход (с точки зрения и финансов, и затрат времени и усилий специалистов по ИБ) гораздо эффективнее, чем концентрация только на мониторинге и реагировании. Подчеркнем, что все будет зависеть от конкретной организации: если ее службы ИТ и ИБ друг с другом не дружат, то может получиться перекос — например, в сторону мониторинга и реагирования (организация будет строить SOC и мониторить инциденты, но уязвимости, из-за которых они происходят, устраняться не будут). Если за функции безопасности отвечает служба ИТ, то произойдет перекос в харденинг, когда компания будет больше заниматься управлением патчами и сегментацией, но годами не замечать находящихся в инфраструктуре злоумышленников.
Автопилот для ИБ
По большому счету, все инструменты на рынке сегодня уже есть, и на текущем этапе инструментарий сильно не изменится. Ядро современного центра противодействия киберугрозам представляют три ключевых компонента: SIEM-система4, которая мониторит журналы с различных средств защиты и узлов, NTA-система5 для анализа сетевого трафика и EDR-решение6 для отслеживания процессов, аномалий и нарушений на конечных устройствах. Если добавить к этому систему SOAR7 или IRP8, то получится полноценное ядро ЦПК — при условии привязки к недопустимым событиям.
С ростом количества атак возрастает и масштаб мониторинга, а число специалистов по ИБ при этом радикально не увеличивается. В таких условиях на рынке придется либо рассчитывать на блицобучение кадров на курсах «молодого бойца» без длительных теоретических занятий, либо компенсировать нехватку профессионалов с помощью автоматизации ИБ. Именно поэтому Positive Technologies идет в направлении решений, которые можно было бы назвать автопилотом. Для специалистов по ИБ у нас есть MaxPatrol O2, позволяющий мониторить и реагировать на события безопасности, объединяемые в цепочки действий злоумышленников, способных привести к недопустимым событиям. Кроме того, мы разработали MaxPatrol Carbon, автоматизирующий процесс анализа инфраструктуры, выявления ее слабых мест и площади атаки. Данный инструмент предназначен главным образом для ИТ-специалистов. Помимо этого, разрабатывается решение под рабочим названием MaxPatrol 1-2-3, которое в режиме автопилота позволит уменьшить площадь атаки и помешать злоумышленникам увеличить число векторов, для того чтобы они не смогли атаковать ключевые и целевые системы организации.
Эта тройка метапродуктов позволит найти оптимальный баланс между харденингом, мониторингом и реагированием. У MaxPatrol O2 уже есть первые покупатели, а в ближайшие два года в продажу поступят и два других инструмента. Когда это произойдет, массовое внедрение автопилота в кибербезопасности станет реальной историей, позволит в условиях роста атак и дефицита ИБ-специалистов защищать организации от неприемлемых для них событий, связанных с катастрофическими последствиями.
Указ № 250
Указ Президента № 250 позитивно сказался на развитии результативной кибербезопасности. Мы видим увеличение количества заместителей руководителей организаций по ИБ.
Иногда это формальные назначения — чтобы выполнить требования указа. Но число ответственных за ИБ людей в топ-менеджменте действительно существенно возросло, а сама тема вошла в повестку руководителей компаний. Это произошло как в организациях, которые традиционно плотно занимались безопасностью (банки и финансовые компании), так и в госструктурах, где, наряду с руководителями отделов защиты информации, появились ответственные за ИБ заместители министров и вице-губернаторы. Встречаются и курьезные случаи: например, когда в районной поликлинике ответственной за ИБ назначают старшую медсестру, а в филармонии — дирижера. В целом уровень зрелости руководства компаний в области ИБ постепенно меняется. Это связано не только с исполнением Указа № 250, но и с растущим числом атак на организации.
В поисках баланса
Ситуация с изменением подходов к результативной кибербезопасности — двоякая. С одной стороны, столкнувшись с ростом числа атак с начала 2022 г., организации задумались о выстраивании всех процессов мониторинга и реагирования, а это неотъемлемый элемент успеха движения в направлении РКБ. Затем появился Указ № 250, положения которого определили порядок некоторых действий в этом направлении. Например, требуется сообщать в ГосСОПКА об инцидентах в режиме 24/7, что подразумевает кардинальную перестройку процесса мониторинга и реагирования и опять же способствует становлению результативной кибербезопасности.
С другой стороны, в нормативных документах появляются такие понятия, как недопустимые события и багбаунти, но многие организации еще не готовы выполнять на практике связанные с этим требования и воспринимают их как концепцию, навязываемую сверху. Чтобы этого не произошло, Минцифры, ФСТЭК или ФСБ должны проводить мероприятия по повышению осведомленности о результативной кибербезопасности. Необходимо найти баланс между дополнительными требованиями в рамках такого подхода и естественным ростом уровня зрелости компаний. Большинство из них, столкнувшись с киберинцидентами и ознакомившись с примерами успешных проектов коллег, неизбежно придут к необходимости внедрения компонентов результативной кибербезопасности.
Багбаунти: новая история киберустойчивости
Платформы багбаунти на подъеме
За год количество компаний, подключившихся к нашей платформе, на которой внештатные специалисты ищут уязвимости за вознаграждение, увеличилось вдвое. Традиционно наибольшее число заявок на открытие программ багбаунти фиксировалось со стороны наиболее продвинутых в технологическом плане игроков: представителей ИТ-отрасли и компаний с высоким уровнем цифровизации. В 2023 г. мы увидели повышение интереса со стороны среднего бизнеса. С большой долей вероятности это связано с ускоренной цифровизацией бизнеса, а также с тем, что на позициях CISO появляется все большее число специалистов высокого уровня. Значительным драйвером роста популярности багбаунти-платформ стало и внимание к ним на государственном уровне. Во-первых, следует отметить участие в багбаунти самого Минцифры — например, с ноября 2023 г. на платформе Standoff 365 можно протестировать защищенность 9 ресурсов и сервисов электронного правительства, в том числе «Госуслуг». Во-вторых, участие в багбаунти государственных органов стимулируется разработанным в Минцифры индексом цифровизации, который включает в качестве параметра и кибербезопасность: государственные информационные системы, которые участвуют в багбаунти и устраняют свои уязвимости, повышают свой индекс кибербезопасности.
Эффективный поиск уязвимостей. Реализация недопустимых событий
Традиционный результат, который получают компании, участвующие в багбаунти, — выявление уязвимостей в своих информационных системах. В отличие от классического пентеста или аудита приложений, в этом случае деньги платятся за найденные ошибки, а не за время, потраченное исследователями на работу. При этом системы изучают не несколько человек, как во время краткосрочного тестирования, а тысячи высококлассных исследователей. Следует отметить и разнообразие специализаций столь большого числа белых хакеров: суммарный опыт использования различных технологий и языков программирования дает максимально широкое покрытие.
С момента открытия платформы Standoff 365 компаниями было принято 1479 отчетов багхантеров, в 152 из которых были описаны критически опасные уязвимости, а в 287 — уязвимости с высокой степенью опасности. На момент публикации число подтвержденных отчетов на крупнейших платформах багбаунти (у платформы Positive Technologies и у дочерней площадки Сбера) приближалось к двум тысячам — почти 1500 у первой площадки и около 500 у второй, а количество программ было примерно одинаковым — 53 (и 4 архивных) и 55 соответственно.
Новое направление в багбаунти, которое запустила компания Positive Technologies в 2022 г., — реализация исследователями недопустимых событий. Такой подход позволяет организации быстро убедиться в надежности ее ИТ-инфраструктуры с помощью тысяч сильнейших хакеров. За прошедший год это направление стало мейнстримом: все большее количество компаний проявляют интерес к поиску сценариев реализации недопустимых событий. Сегодня компании, с одной стороны, активнее тестируют свои команды SOC, реализуя программы такого типа, а с другой, повышают требования к навыкам самих белых хакеров, которые в таких программах должны полностью реализовать сценарий атаки, а не использовать какие-то отдельные элементы или уязвимости. Многие компании поняли, как работает данное направление багбаунти (а кто-то его и творчески переосмысливает, запуская поиск недопустимых событий не для бизнеса, а для ПО, как это сделало Минцифры в интересах дистанционного электронного голосования), поэтому мы ожидаем качественного изменения ситуации в 2024 г. и активного участия бизнеса в подобном тестировании. Для топ-менеджмента участие компании в багбаунти по реализации недопустимых событий является своего рода барометром, демонстрирующим киберустойчивость инфраструктуры, тогда как нежелание участвовать либо установка многочисленных ограничений для исследователей и прописывание в договоре запретительных штрафных санкций к платформе могут косвенно свидетельствовать о хрупкости выстроенных процессов ИБ.
Positive Technologies первой в стране запустила программу Positive Dream Hunting, участникам которой предложено реализовать недопустимое событие — увести деньги со счетов компании. За реализацию такого события Positive Technologies предлагает сегодня до 30 млн руб.
Кратный рост числа исследователей. Белый хакинг — со статусом ИП
Большую часть российского рынка платформ багбаунти делят две площадки: Standoff 365 Bug Bounty и BI.ZONE Bug Bounty. Количество белых хакеров, подключенных к двум платформам, превышает 11 тыс. человек: более 8000 на Standoff 365 Bug Bounty и свыше 4000 на BI.ZONE Bug Bounty. При этом за прошедший год количество исследователей на платформе Standoff 365 Bug Bounty 1 выросло с 1150 до более чем 8000 человек. Наибольшие всплески пришлись на запуск программ VK и Минцифры. В 2023 г. на платформе Standoff 365 Bug Bounty 2 выросло число исследователей, которые регистрируют ИП. Причина проста: их вознаграждения за найденные уязвимости превышают ежегодный лимит самозанятых в 2,4 млн руб. За время работы платформ вознаграждения первых пяти наиболее успешных багхантеров на Standoff 365 Bug Bounty варьировались от 3 до 6,36 млн руб., на BI.ZONE Bug Bounty — от 678 тыс. руб. до 4,64 млн руб. Общая сумма выплат у BI.ZONE Bug Bounty составила около 24 млн руб., а у Standoff 365 Bug Bounty — 54 млн. Уровень выплат уже сопоставим с суммами на зарубежных платформах. Например, максимальные вознаграждения на платформе HackerOne варьируются от 2000 долл. США (Spotify) до 20 000 долл. США (PayPal). В то время как за нахождение на Standoff 365 Bug Bounty уязвимостей в сервисах VK можно получить до 3,6 млн руб., RuStore заплатит до 1,2 млн руб., Минцифры — до 1 млн руб., вознаграждение у Wildberries составит до 500 тыс. руб. (при получении полного доступа к личному кабинету тестового продавца), а «Тинькофф» выплатит до 400 тыс. руб.
Платформа Standoff 365 Bug Bounty нацелена на привлечение мирового хакерского комьюнити — сегодня она интересна исследователям из 10 стран (ОАЭ, Марокко, Непал и др.). В декабре 2023 г. платформа первой среди аналогичных российских площадок выходит на международный уровень: теперь с помощью платежных агентов платформа сможет выплачивать вознаграждения исследователям безопасности не только в России, но и за ее пределами. Выплаты будут осуществляться в удобной для багхантеров валюте.
В 2023 г. сформировалось и несколько трендов, которые скажутся на экстенсивном развитии платформ багбаунти в 2024 г. Первый — расширение комьюнити специалистов по информационной безопасности, помощь в поиске и выращивании новых экспертов. Второй — привлечение иностранных белых хакеров и багхантеров на отечественные платформы (в первую очередь рассчитываем на ребят из дружественных стран). Третий — потребность в тестировании (с привлечением независимых исследователей безопасности и киберустойчивости компаний) с использованием киберполигона как услуги. В 2023 г. сформировалась потребность бизнеса в проведении подобных испытаний в частном порядке. Такие проекты станут регулярными, и к ним будут подключаться компании и организации из различных отраслей.
Образование в области кибербезопасности: возможности и реальность
Потребности и факторы роста образовательного рынка в отрасли кибербезопасности
Дополнительная потребность российского рынка в ИБ-специалистах, по различным данным, составляет от 7 тыс. до 100 тыс. человек. При этом ежегодно вузы выпускают 6 тыс. специалистов по ИБ, колледжи — еще 4 тыс. С учетом этой статистики, по самым скромным подсчетам, отечественному рынку кибербезопасности необходимо усилить приток кадров как минимум в два раза.
По оценкам рекрутеров, на протяжении всего 2023 г. вакансий специалистов по ИБ было стабильно больше, чем за аналогичные периоды прошлого года. Вероятнее всего, потребность в кадрах будет только увеличиваться. Это может быть связано с ростом объема российского рынка кибербезопасности. По прогнозам Центра стратегических разработок, в 2022 г. он оценивался в 193,3 млрд руб., а к 2027 г. его объем составит 559 млрд.
Российские вузы способны обеспечить массовую подготовку начинающих специалистов по ИБ, однако сейчас отсутствует должное согласование требований высшей школы и представителей отрасли ИБ. Подобная ситуация возникает практически в любой сфере на этапе ее интенсивного роста: система подготовки не успевает за развитием индустрии. На этом фоне возникают несколько проблем, решить которые отечественному образовательному рынку по силам в течение ближайших лет:
- Отсутствие трека развития специалиста ИБ. Существует сильное различие между получаемой в вузе специализацией и необходимым набором умений для работы в отрасли ИБ. К тому же студенты, обучающиеся по направлению кибербезопасности, в отличие от обучающихся по другим ИТ-направлениям, не знают, каким требованиям они должны соответствовать, на какую зарплату могут претендовать и как может развиваться их карьера.
- Студенты не приспособлены к реальным условиям рынка. Многие студенты, обучающиеся по профильным специальностям, даже на выпускном курсе не до конца осознают, чем им предстоит заниматься на реальной работе в отрасли кибербезопасности. Преподаватели на своем уровне решают этот вопрос, привлекая к процессу обучения практиков из индустрии.
Рост рынка образования в области ИБ обеспечивается спросом крупного бизнеса
По результатам опросов наших клиентов, потребность в развитии компетенций сотрудников в области ИБ ощущают более 70% респондентов. При этом запрос корпоративного сектора на обучение специалистов во многом превышает возможности существующего сегодня рынка коммерческих образовательных программ. Суммарно он насчитывает чуть более 200 компаний, предлагающих программы дополнительного профессионального образования в области ИБ. Ядро организаций, которым доверяет рынок, ограниченно, новые яркие игроки отсутствуют. При этом количество коммерческих образовательных компаний должно быть как минимум в 2–3 раза больше, чтобы полностью удовлетворить потребность бизнеса в обучении его сотрудников в области кибербезопасности.
Опрос специалистов отрасли показал, что наибольший интерес у них вызывает обучение по безопасной разработке, а также программы для специалистов центров мониторинга и в сфере менеджмента в ИБ.
Потребность в развитии компетенций сотрудников в области ИБ ощущают более 70% респондентов. При этом запрос корпоративного сектора на обучение специалистов во многом превышает возможности существующего сегодня рынка коммерческих образовательных программ. Суммарно он насчитывает чуть более 200 компаний, предлагающих программы дополнительного профессионального образования в области ИБ.
Тренды рынка образования в отрасли кибербезопасности в 2023 г.
Рынок образовательных программ в области ИБ находится на стадии становления. В ближайшем будущем органически растущую потребность в подготовке ИБ-специалистов определенных специализаций будут удовлетворять, организуя программы дополнительного профессионального образования. В нишу кибербезопасности проникают EdTech-компании, которые ранее специализировались исключительно на прикладных ИТ-программах. Вероятнее всего, на этом фоне рынок образовательных программ по ИБ будет расти, но не так бурно, как это было с ИТ-программами. Такой тренд может быть обусловлен общим снижением темпов роста EdTech-рынка.
Среди других тенденций на рынке образования можно отметить спрос на новые форматы обучения. Например, некоторые магистерские программы уже проектируются по принципу микростепени: в рамках одной программы обучения студенты получают возможность освоить сразу несколько профессий. Это позволяет за короткий срок готовить специалистов с двумя и более специализациями.
Что касается будущих трендов, изменения коснутся и управленческих программ. Например, в учебных планах по подготовке специалистов по менеджменту темы на стыке технологий и бизнеса появились относительно недавно — не более 10 лет назад. Это произошло, когда стало очевидно: изменение бизнес-моделей связано с технологическим развитием. В связи с постоянным ростом числа кибератак становятся актуальными новые навыки и знания: нужно уметь реагировать на инцидент и взаимодействовать со злоумышленником, а также четко понимать, почему кибербезопасность — неотъемлемая часть управления и развития бизнеса.
- Медианные оценки Positive Technologies, основанные на публичных источниках.
- https://www.csr.ru/upload/iblock/13f/ufleu9rg5zc3ldu66srqt3a89j0mrve5.pdf.
- Security operations center — центр мониторинга ИБ и реагирования на инциденты.
- Security information and event management — системы мониторинга событий информационной безопасности и управления инцидентами.
- Network traffic analysis — системы анализа трафика.
- Endpoint detection and response — cистемы обнаружения и реагирования на угрозы на рабочих станциях пользователей.
- Security orchestration, automation and response — cредства оркестровки (управления) систем безопасности.
- Incident response platform — платформа реагирования на инциденты.