Российский рынок ИБ и его роль в мировой индустрии: итоги 2024 года и прогнозы на 2025

Эксперты рассказали, как на российскую отрасль повлияли общерыночные тренды и какие из них вывели концепцию результативной кибербезопасности в новую фазу развития. Отечественные компании сфокусировались на технологиях, которые позволяют быстро найти слабые места в защите и максимально точно оценить уровень киберустойчивости инфраструктур. Рынок готов внедрять NTA-системы, NGFW, инструменты для превентивной защиты почты, а также использовать сервисы, ориентированные на результат, и проверять их эффективность на багбаунти и киберполигонах. Зарубежные игроки, в свою очередь, охотятся за платформенными решениями на базе ИИ, внедряют инструменты безопасной разработки и автоматизируют проверки защищенности. Выстраивая ИБ, они преследуют ту же цель — защитить самое важное.

Динамика роста рынка по итогам 2024 года оказалась ниже, чем прогнозировали аналитики. По оценке Центра стратегических разработок, вынесенной в прошлом году, CAGR для российских вендоров должен был составить 32% по итогам 2024 года, в этом году аналитики скорректировали этот параметр до 20–25%. По нашим же оценкам, рост рынка составит порядка 10–15%. Причин корректировки несколько. 

Первая: в течение года на стороне бизнеса сформировался тренд на секвестирование бюджета в блоках ИТ и цифровизации. При этом бюджеты оценивались сквозь призму прямого видимого социального или экономического эффекта. И тут нельзя не упомянуть общерыночные тенденции. Изменение ключевой ставки привело к удорожанию кредитных денег для организаций (а практика такова, что кредитными средствами пользуются и коммерческие компании, и государственные). Деньги стали дорогим ресурсом, и направления для его использования подбираются в первую очередь с целью решить краткосрочные задачи бизнеса и получить быстрый и экономически выгодный результат. 

Вторая причина связана с импортозамещением: за год на рынке все же не появилось достаточного числа продуктов в том качестве, которое позволило бы использовать их для импортозамещения. Соответственно, ряд планов на новые внедрения, равно как и бюджеты, заложенные под них, были сокращены.

В итоге этот год стал новым витком развития концепции результативной кибербезопасности. Когда нет возможности тратить деньги бесконечно, бизнес задумывается о том, что конкретно он делает, как он это делает и какой эффект от этих усилий. В контексте кибербезопасности это приводит к определению истинно значимых и недопустимых для бизнеса событий и к формированию защиты с акцентом на их невозможности.

Рост российского рынка кибербезопасности, который мы видим, связан сразу с несколькими факторами. В первую очередь, сказывается импортозамещение. За последний год оно прибрело более интенсивный темп: заказчики перестали ждать возвращения иностранных вендоров, а сроки действия заранее купленных лицензий истекли. К тому же использовать зарубежные решения стало опасно. С одной стороны, возрос риск получить программную закладку при очередном обновлении. С другой — использование ПО, которое не обновляется более двух лет, может привести к проникновению злоумышленников в систему через неустраненные уязвимости, что увеличивает риск реализации недопустимых событий. Подобные случаи уже происходили в российских госорганах и госкорпорациях.

Позитивное влияние на рост рынка оказало и возросшее число кибератак. Российские предприятия стали своего рода полигоном для испытания различных образцов кибервооружений и отработки навыков ведения кибервойны. Это заставило отечественных разработчиков обращать внимание на практическую кибербезопасность вместо того, чтобы слепо стремиться к соответствию регуляторным требованиям.

Еще одна тенденция только начала формироваться, так как ключевое событие произошло лишь в начале декабря, но, проводя аналогии с тем, как схожая ситуация повлияла на рынок в 2008 и 2012 годах, можно предположить, что и в 2025 будет то же самое. Речь идет о введении оборотных штрафов за утечки персональных данных.

К сожалению, заставить многие компании задуматься о своей кибербезопасности может только угроза наказания со стороны государства. Вместе с тем такой подход соответствует концепции результативной кибербезопасности, согласно которой защищаться надо не от всех угроз, а только от тех, которые могут привести к недопустимым событиям. К ним и относится оборотный штраф. Надо отметить, что введение такой меры подтолкнет к усилению защиты только средний бизнес. У малого недостаточно для этого средств, да и для регуляторов он не так заметен. В свою очередь, часть крупного бизнеса вероятно предпочтет пойти по пути наименьшего сопротивления: будет усиленно отбиваться от претензий и затягивать судебные тяжбы, вместо того чтобы усилить защиту.

Эти события отразились на том, какие технологии кибербезопасности в фокусе у отечественных компаний. В течение года интерес сместился с тяжелых инфраструктурных решений, требующих длительного внедрения, выстроенных процессов и сформированных экспертных команд, в сторону продуктов и сервисов, быстро и эффективно выявляющих проблемные места в киберзащите и оценивающих реальный уровень киберустойчивости. В частности, в сторону технологий NTA, или, скажем, превентивной защиты почты, или иных технологий, которые решают задачу защиты здесь и сейчас. Ну и, конечно же, неослабевающий интерес клиенты демонстрируют к технологиям NGFW. Эта тема подогревалась государством в контексте импортозамещения, ее «разгоняло» кибербез-комьюнити, в котором число NGFW-вендоров возросло с десятка до нескольких десятков всего за год (самих продуктов все также остается счетное число). В этом направлении есть сформированная потребность, которая будет удовлетворяться в течение всего следующего года. Это своего рода сверхтема на нашем рынке, которая будет звучать и в 2025.

Среди отдельных сегментов быстрее всего в 2025 году будет расти защита данных, что обусловлено увеличением числа утечек. Важной тенденцией становится отказ пользователей от технологий Data Leak Prevention (DLP). Практика показала, что они неспособны бороться с современными способами кражи данных, для которых мошенники используют некорректные конфигурации, действия привилегированных пользователей и подрядчиков компаний. В связи с этим игроки рынка обращаются к новым технологиям. Используя машинное обучение, они автоматизируют поиск мест для хранения и обработки структурированных и неструктурированных данных, их классификацию и непрерывный мониторинг попыток доступа к ним с применением соответствующих правил и ограничений. Мы ожидаем, что это будет способствовать снижению числа утечек в условиях нарастающей цифровой трансформации, консолидации данных в государственных организациях и активного внедрения нацпроекта «Экономика данных».

Серьезный рост покажет и защита инфраструктуры. К ней относятся средства автоматизации и управления инцидентами, решения по мониторингу событий ИБ, а также платформы сбора и обогащения данных об угрозах. Без них средства сетевой безопасности не могут эффективно противостоять современным угрозам, так как «не видят» всю картину целиком, не имеют свежих данных об угрозах или не могут на них оперативно среагировать.

Существенный рост наблюдается и в сегменте средств защиты приложений. Среди них классические решения, такие как WAF или защита от DDoS-атак (взломы сайтов входят в топ арсенала хакеров). К сегменту относятся также средства безопасной разработки, анализа защищенности и управления уязвимостями. Технологии позволяют правильно реализовать процесс разработки ПО, снизив в нем число уязвимостей, а следовательно — и риски. Ведь не допустить угрозы проще, чем бороться с ними.

На российском рынке сегодня ощущается острая нехватка аппаратных решений. Это связано с санкциями против отечественной микроэлектроники и сложностями с логистикой из Китая и Тайваня. Не хватает и продуктов, которые можно было бы отнести к модной концепции Zero Trust, а также комплексных решений по защите современных средств коммуникаций: начиная от электронной почты и заканчивая мессенджерами. 

Недостает нам и решений по защите искусственного интеллекта, который активно внедряется в госуправление и бизнес-процессы. Из-за этого не контролируются даже доступ к внешним LLM и возможные утечки. Хотя в мире тема искусственного интеллекта активно продвигается, о чем свидетельствует программа крупнейшей мировой выставки ИБ RSA Conference, России в этом направлении похвастаться пока нечем.

Среди сфер, которых не хватает российскому рынку ИБ, мы выделяем также решения класса GRC, необходимые для автоматизации результативной кибербезопасности. Речь идет о новых дашбордах для бизнеса, калькуляторах рисков и потерь, оценках зрелости. 

Вместе с тем мы отмечаем переизбыток на рынке межсетевых экранов следующего поколения (NGFW), на долю которых, по разным оценкам, приходится до 35% российского рынка ИБ. Количество игроков этого сегмента в России превышает общее число производителей NGFW в мире. Причем для большинства разработчиков попытка занять эту нишу превращается в неравную борьбу с лидерами рынка, которые захватят большую его часть. Все остальные напрасно потратят время и деньги на разработку своего NGFW. Некоторые игроки, растеряв все ресурсы, вынуждены будут покинуть рынок.

Первая идея состоит в качественном изменении целого стека технологий ИТ и ИБ, в его переосмыслении через призму индустрий. Все более актуальным становится создание некоего маркетплейса индустриальных решений, которые сочетают в себе промышленные и айтишные технологии и для которых защищенность является встроенным свойством. То есть из уже имеющихся на нашем рынке компонентов собирается продукт с новой ценностью для клиента — большей, чем при использовании этих технологий по отдельности.

Собственно, этот процесс очень схож с тем, что происходит в среде разработчиков. Они встраивают безопасность в процесс разработки, создавая продукт с дополнительным свойством — большей защищенностью. Вот точно так же мало-помалу этот процесс появляется в других сферах ИТ. Это тренд, который пока только формируется, но он обусловлен жизненной необходимостью и имеет шансы стать одним из ключевых в ближайшее время. Уже есть успешные примеры коллаборации вендоров ИТ и ИБ, ИБ и специфических отраслевых систем, в числе прочего и в русле построения инфраструктур в концепции результативной кибербезопасности. И с течением времени их число будет только увеличиваться.

Искусственный интеллект будет играть одну из ключевых ролей. Да, тема уже кажется заезженной, но все большее число организаций погружаются в эту специфику. И велика вероятность, что появятся специализированные компании, которые будут работать исключительно в сфере технологий ИИ применительно к кибербезопасности и ИТ.

Еще одна большая тема, которая изменит рынок, — безопасность производства (защита низовой автоматики). Речь скорее о распространении сферы влияния традиционного кибербеза на новую нишу с расширением вариантов интеграции СЗИ с АСУ ТП. Цифровизация в этой отрасли идет немного другим путем, здесь активно появляются продукты и целые платформы на микросервисных моделях. И принципы их защиты, соответственно, тоже пересматриваются. Это открывает новые возможности для развития концепций защиты промышленного производства и, соответственно, новых продуктов.

На международном рынке ИБ наблюдается движение в сторону интеграций. Они дают клиентам большую ценность, чем монолитные решения из одной корзины: заказчики в разное время закупают решения разных компаний и не готовы отказываться от них ради продуктов одного вендора. 

Еще один мировой тренд — решения класса XSPM. SPM здесь расшифровывается как Security Posture Management, а за буквой X скрываются различные технологии: «облака», приложения для управления активами, искусственный интеллект, Zero Trust и Kubernetes. Решения этого класса обычно мониторят «облачные» системы инфраструктуры в поисках потенциальных уязвимостей: некорректных конфигураций, нарушений политик и требований законодательства. В России таких решений практически нет.

Решения класса ITDR (identity threat detection and response) на мировом рынке кибербезопасности постепенно выходят за рамки управления учетными записями, включая привилегированные, и идут в сторону полного мониторинга жизненного цикла учетной записи и реагирования на любые связанные с ней нарушения. Учитывая, что некорректная работа с учетными записями входит, по данным Positive Technologies, в тройку причин успешных инцидентов, отечественным вендорам стоило бы обратить внимание и на сектор identity management. 

Что касается «облачной» безопасности, то ее будущее пока туманно. У нас почти нет решений для защиты SaaS-приложений с активным применением ИИ: например, для разметки конфиденциальных данных в «облачных» хранилищах, распознавания и категоризации таких приложений и трафика. Когда они понадобятся российскому бизнесу, пока не ясно.

Главная проблема, с которой сталкиваются наши клиенты, — это архитектурная фрагментированность уже внедренных решений. В результате чего не решается основной запрос компании к своему CISO — защита от киберугроз де-факто остается на низком уровне. Опыт показывает, что по-прежнему лидируют проблемы, связанные с неполнотой покрытия инфраструктуры средствами мониторинга. С одной стороны, это приводит к слепым зонам (например, решения класcа NTA или NDR есть в 1 из 10 компаний), а с другой стороны, попытки их устранить приводят к внедрению самого разного ПО и увеличению числа алертов, которые выдаются на проверку операторам SOC. При этом так называемый человеческий фактор начинает сильно ухудшать эффективность таких SOC. Рынок больше не готов внедрять новые инструменты мониторинга, а предпочитает платить за решения, которые обещают консолидировать уже имеющийся технологический стек, привести в порядок работу с инцидентами, а главное — гарантировать реальную защиту. Мы видим большой интерес к платформенным решениям, и наша продуктовая линейка полностью соответствует этому тренду: мы не только автоматизируем рутину операторов SOC в части расследования инцидентов, но и предлагаем автоматизированное реагирование на типовые угрозы.

На Ближнем Востоке краеугольным камнем является защита критической инфраструктуры от целевых атак. Регион продолжает сталкиваться с изощренными кибератаками, а усиливающиеся со стороны киберпреступников угрозы создают значительные финансовые и репутационные риски для бизнеса. Одним из основных драйверов роста сектора ИБ в регионе также является необходимость соблюдать требования законодательства, регуляторов и соответствовать общемировым фреймворкам.

Растущей угрозой кибератак все больше обеспокоены и в Индонезии, особенно по мере того, как в стране растет число цифровых платформ и сервисов. Региональные инциденты включают в себя утечку данных, использование программ-вымогателей, фишинг и более изощренные атаки, такие как advanced persistent threats (APT).

В Латинской Америке в настоящее время ощущается острая нехватка специалистов по ИБ — за кибербезопасность отвечают в основном ИТ-службы компаний, поэтому на рынке востребована кибербезопасность как услуга и бизнес MSSP растет очень быстро.

Что касается наиболее востребованных технологий в регионах нашего присутствия (на Ближнем Востоке, в Латинской Америке, Юго-Восточной Азии, Африке), то нужно отметить, что с большим отрывом лидирует запрос на решения на базе ИИ. Возможно потому, что все уже выучили, что там, где ИИ, меньше ручного труда и выше эффективность. По факту мы до сих пор живем в годы «пузыря ИИ»: когда маркетинг активно включается в раскручивание тренда, а технические команды только приступают к первым опытам с использованием ИИ, в 99% случаев такой продукт не соответствует маркетинговой кампании. Мы видим, что зрелые компании заинтересованы в инновационных решениях с применением ИИ и постоянно мониторят отрасль, приглашая на пилотные инсталляции и экспериментальные внедрения, но даже они отмечают, что пока многие их надежды не оправдываются, и возвращаются к решениям, работающим на основе экспертного контента от поставщиков. Именно поэтому мы чувствуем себя уверенно даже с такими опытными клиентами, мы предлагаем сильную экспертизу, постепенно автоматизируем ее, применяя ИИ, и у нас это получается качественно, так как база знаний Positive Technologies — одна из самых больших в мире.

На втором месте — суверенное «гособлако». И это не просто про переход на облачные технологии, который действительно набирает обороты, а запрос на построение такой облачной инфраструктуры внутри страны, в которую не страшно будет завести все критически значимые госкомпании. Этот тренд коррелирует и с российскими реалиями. 

И наконец, запрос на безопасную разработку. Многие CIO крупных компаний называют своей целью уменьшение инвестиций в разработку ПО за счет улучшения эффективности процесса quality assurance testing. Это легко решается, если в процесс разработки ПО встроить такие инструменты, которые помогают находить и устранять уязвимости на ранних стадиях проектирования (например, PT Application Inspector).

Мы выделяем четыре приоритетных направления сотрудничества, которые востребованы у наших клиентов. На первом месте стоит network security, где лидирует наше решение PT Network Attack Discovery. Вторую строчку занимает наша экосистема продуктов MaxPatrol. На третьей позиции — решения для application security. И замыкает этот список совсем новый трендовый продукт по автоматизации security assessment service — PT Dephaze.

Для Индии наиболее актуальные задачи кибербезопасности связаны с защитой от утечек конфиденциальной информации (70% от общего числа кибератак на организации) и обеспечением непрерывности бизнес-процессов (к нарушению основной деятельности организаций приводило 13% атак). Высокий темп цифровизации в стране, сопровождающийся ростом количества кибератак (+15% в 2023 году по сравнению с 2022), делает защиту данных и информационных систем первоочередной задачей.

Трендом является необходимость защиты государственных учреждений (36% от числа всех атак на организации) и промышленных компаний (13%), а также медицинских учреждений, IT-компаний и организаций в сфере услуг (по 9%). Это связано с хранением больших объемов конфиденциальной информации в этих секторах и их стратегической важностью для экономики страны. Рост количества атак на IT-компании обусловлен тем, что доступ к их инфраструктуре открывает возможности для дальнейших атак на их клиентов.

В связи с популярностью у злоумышленников ВПО (37%) и методов социальной инженерии (32%) при проведении кибератак, востребованы технологии защиты от вредоносного ПО, системы обнаружения вторжений, решения для анализа поведения пользователей и обучение персонала основам кибербезопасности. Актуальны также технологии защиты от шпионского ПО (38% от числа используемого ВПО в атаках на организации) и шифровальщиков (33%).

Отрасль кибербезопасности в Индии движется в сторону комплексных решений, объединяющих различные технологии защиты. Учитывая рост инвестиций в цифровизацию, включая облачные технологии и искусственный интеллект, ожидается повышенный спрос на решения для защиты облачных сред, систем IoT и инфраструктуры, связанной с ИИ.
Российская экспертиза в области кибербезопасности однозначно может быть полезна Индии. У наших компаний есть опыт не только разработки, но и применения разнообразных систем защиты от кибератак, обнаружения вторжений и реагирования на них, а также создания и эксплуатации центров реагирования на кибератаки (SOC). Индийским коллегам, которые сталкиваются с атаками на государственные учреждения, промышленность и финансовый сектор, он более чем интересен. Мы готовы не только помочь создать процессы мониторинга, анализа и реагирования на инциденты, но и повысить эффективность всей индустрии Индии за счет внедрения принципов результативной кибербезопасности. Ну и не будем забывать про обучение и обмен знаниями. Наш недавний митап для экспертов в Бенгалуру показал, что экспертиза российских профессионалов в сфере кибербезопасности вызывает горячий интерес даже в Кремниевой долине Индии.

Глобальные тренды в области кибербезопасности на африканском континенте — создание SOC и автоматизация процессов. Кроме того, в связи с распространением интернета, развитием телекоммуникационных сетей, а также внедрением цифровых платформ и услуг, актуальной для региона является защита веб-ресурсов. Другое востребованное направление — это cloud security, так как крупные игроки предпочитают развертывать облачную инфраструктуру. Уделяют внимание и подготовке национальных кадров по ИБ.

Среди основных клиентов Positive Technologies на африканском континенте 45% составляет финансовый сектор, 35% — государственные организации, 10% — телеком-индустрия. С продуктовой точки зрения наиболее востребованными в регионе являются проекты по созданию и развитию собственных SOC, а также решения класса application security. Ведется работа и по образовательному треку: подготовка исследователей кибербезопасности и развитие местных разработчиков в рамках комплексных проектов. 

Мы активно работаем в Эфиопии, Камеруне, Сенегале и Египте. Планируем развивать сотрудничество с Угандой, Ганой, Танзанией и ЮАР.

Эксперты прогнозируют в регионе рост интереса к автоматизации центров мониторинга кибербезопасности и наращиванию локальной экспертизы, укрепление международного сотрудничества по ведению общей нормативной базы и обмену успешными практиками, а также развитие образовательных инициатив по подготовке профильных специалистов.

С каждым годом число компаний, которые применяют концепцию результативной кибербезопасности, растет. Меняется и подход к оценке защищенности IT-систем: все чаще к этому процессу привлекают белых хакеров. Во многом это результат деятельности Positive Technologies за прошедший год. 

Важным направлением нашей работы по-прежнему остается формирование ценностного предложения для топ-менеджмента. И в этом нам помогает сформировавшаяся в этом году тенденция к переходу от личной безопасности к корпоративной. Большинство частных лиц сталкиваются с попытками банального массового мошенничества, однако руководители компаний также рискуют подвергнуться целевой атаке. Ведь получение доступа к аккаунтам топ-менеджеров может стать для хакера точкой входа в инфраструктуру компании. Поэтому персональная киберзащита находится в центре внимания руководства. В следующем году мы продолжим уделять максимальное внимание этой теме. 

Кроме того, с 2022 года Россия стала «публичным киберполигоном» для оттачивания хакерских навыков. И если ранее злоумышленники пытались заработать деньги (например, зашифровать данные и требовать у компании выкуп), то сейчас они стремятся дестабилизировать работу атакуемых объектов, нанеся неприемлемый ущерб. Главный вопрос теперь не «можно ли нас взломать», а «когда нас взломают и сколько это стоит». Кроме этого, если злоумышленники сталкиваются с защищенными объектами, они могут переключиться на более легкие мишени. Одной из таких как раз может стать бизнес. 

В этом году мы перешли к практической реализации концепции результативной кибербезопасности в российском бизнесе и государственных организациях. Сейчас работаем над четырьмя проектами по переходу на новый уровень киберзащиты, которые находятся на финальной стадии. Благодаря экспертной поддержке Positive Technologies наши клиенты получают опыт построения результативной кибербезопасности: как эффективно взаимодействовать с IT-функцией и усиливать инфраструктуру, в каких приоритетах развертывать сенсоры и средства защиты, как защищать периметр и компенсировать то, что по объективным причинам защитить невозможно.

Мы верим, что результативная кибербезопасность и проверка защищенности белыми хакерами в программе APT Bug Bounty (кибериспытания), которая проходит на платформе Standoff 365, станут стандартом индустрии ИБ. 

Маркером правильно выстроенной результативной кибербезопасности должно стать такое состояние киберустойчивости компании, когда хакерам станет невыгодно взламывать инфраструктуру за указанное вознаграждение. Причем оплата должна соответствовать потенциальному ущербу. Иными словами, развитие ИБ должно быть направлено на увеличение этого вознаграждения. А делать это можно разными способами: от харденинга инфраструктуры до добавления сенсоров, видящих продвижение злоумышленника, и выстраивания процессов реагирования. Одним из этапов построения результативной кибербезопасности должно быть создание такого периметра, который можно взломать только через уязвимости нулевого дня или социальную инженерию. 

За прошедший год мы проделали большую работу, создавая сбалансированный подход к построению кибербезопасности с измеримым результатом (невозможностью реализации недопустимых событий), а также активно вовлекая партнеров в продвижение концепции на рынок. В 2025 году планируем продемонстрировать результаты различных проектов, которые сейчас реализуем с крупными организациями и холдингами, органами власти, государственными структурами и компаниями с государственным участием.

ХардкорИТ — это методология оценки киберустойчивости, основанная на математическом моделировании времени кибератаки. Концепция появилась как ответ на те проблемы, которые мы видели при проведении пентестов, проектов по построению систем результативной кибербезопасности и анализу защищенности.

ИТ-инфраструктура — это та среда, в которой одновременно создается ценность для компании и могут произойти недопустимые для нее события. Ее правильная настройка обеспечивает оптимальный баланс, при котором служба ИТ и ИБ эффективно поддерживает бизнес-процессы, а сама инфраструктура настолько сложна для прохождения хакером, что специалисты успевают реагировать на замедлившиеся атаки. Другими словами, время атаки (TTA) должно быть больше времени реагирования (TTR).

Проводя пентесты и проекты по анализу защищенности, практически везде мы встречаем одни и те же слабые зоны в настройке ИТ-инфраструктуры. За счет них злоумышленник может быстро преодолеть периметр организации, продвинуться к цели и реализовать недопустимое событие. Поэтому мы разработали ХардкорИТ: чтобы оценивать достижимость целевых систем (TTA) и влияние этого показателя на киберустойчивость всей компании. Методология позволяет определять маршруты атак и время до реализации недопустимых событий, опираясь на значения параметров инфраструктуры.

Востребованность подхода можно измерить, например, заинтересованностью. После каждого мероприятия, на котором рассматриваются принципы и результаты применения методологии, мы получаем запросы от партнеров и клиентов, которые хотят использовать ее:

• для оценки уровня киберустойчивости и определения инициатив, направленных на его повышение;
• для обоснования проектов по повышению уровня киберустойчивости и оценки того, что они действительно принесут пользу, усилят защищенность компании и позволят быстрее восстанавливать работоспособность ИТ-инфраструктуры после атаки;
• для проверки и мониторинга KPI соответствующих служб.

Если брать эту метрику, то востребованность очень высокая.

Мы продолжим представлять нашу методологию участникам рынка ИБ и ИТ и активно ее продвигать. Ждем, что в следующем году кратно увеличится число партнеров, готовых предлагать услуги на основе ХардкорИТ, в том числе оценивать киберустойчивость своих клиентов. 

К концу 2025 года партнеры приступят к проектам по изменению ИТ-инфраструктуры, проведя расчеты, обосновав их и заложив средства в бюджет. Кроме того, мы планируем применять методологию ХардкорИТ в рамках наших комплексных проектов по обеспечению результативной кибербезопасности. Мы в компании всегда подчеркиваем, что построить защиту без взаимодействия с отделом ИТ, к сожалению, невозможно.

За 2024 год портрет клиента багбаунти-платформ изменился: если год назад это были только крупные технологические компании, банки, ритейл или ИТ-компании, то сейчас к ним добавились организации из других сфер. Теперь программы багбаунти запускают страховые компании и компании в сфере ИБ, разработчики ПО (в том числе отечественных продуктов, создаваемых в рамках программ импортозамещения), логистические организации, службы доставки, букмекеры, государственные органы субъектов РФ. Кроме того, интерес к багбаунти-программам увеличился и у небольших компаний, для которых вопросы ИБ не самые приоритетные. Именно такие организации выбирают багбаунти как наиболее оптимальный и удобный механизм работы над защищенностью.

Но если задачи компаний на багбаунти остались неизменными, то поменялись возможности их реализации. Например, в этом году мы запустили новый формат программ, в рамках которых исследователи ищут возможности реализовать недопустимые события, — APT Bug Bounty (что по факту является продуктом, позволяющим провести полноценные кибериспытания). Обновили функциональность платформы и добавили революционные фичи — красную кнопку, а также начали привлекать иностранных исследователей, ведь мир киберпреступлений не знает границ и, чтобы оставаться максимально защищенными, необходимо работать с максимально широким кругом багхантеров. Отечественный бизнес пока присматривается к этому формату проверки киберустойчивости, хотя, истины ради, пробует его наживую. До конца года программы такого типа на платформе запустят шесть компаний из промышленности, сферы IT, финансового и государственного секторов и другие. При этом средний размер вознаграждения тоже меняется: если в первой половине года стартовали программы, по которым можно было получить до трех млн рублей, то за несколько месяцев такие вознаграждения поднялись до десятков миллионов в среднем.

Standoff — уникальный продукт, у которого нет аналогов. В этом году мы провели ряд международных мероприятий, в которых участвовали команды со всего мира. В июне кибербитва Standoff впервые прошла в рамках ПМЭФ и стала полностью международной: в ней участвовали 42 команды из 21 страны — из Центральной и Южной Азии, Африки и Ближнего Востока. В ноябре о своем участии в Standoff 14 на стороне атакующих («красных») заявили 60 команд из 26 стран: Вьетнама, Индии, Индонезии и Таиланда, государств Ближнего Востока, Африки и Латинской Америки. На стороне защитников, которые расследовали атаки, — 20 команд из Бангладеш, Вьетнама, Индонезии, Малайзии, России и Эфиопии.

Киберполигоны играют важную роль в укреплении информационной безопасности стран. Они позволяют моделировать масштабные сценарии кибератак, например, на критическую инфраструктуру, что невозможно сделать в реальных условиях. Это позволяет оценить потенциальные последствия, разработать эффективные меры защиты и предотвратить реальные инциденты в будущем.

Обучающая функция киберполигонов позволяет специалистам по offensive и defensive security совершенствовать свои навыки. Российская практика показывает, что киберполигоны становятся ключевым элементом подготовки кадров и формирования национальной системы кибербезопасности. Они служат своего рода скелетом информационной безопасности страны, способствуя развитию и укреплению защищенности.

И багбаунти, и киберполигоны как подходы находятся на пике своего развития — соответственно, взлетел и интерес к ним. Поэтому, если говорить о багбаунти, в первую очередь в ближайшие годы нас ожидает удвоение количества компаний, стартующих свои программы. Хотя прогноз дальнейшего развития зависит от многих факторов, в том числе и от принятия ряда нормативных актов, которые превратят багбаунти в необходимый для устранения уязвимостей (в первую очередь влияющих на проблемы, связанные с утечками персональных данных) механизм.

Мы также видим растущий спрос на рынке киберполигонов в России. Большинство клиентов интересуют on-premise-полигоны. Онлайн-версии по-прежнему остаются востребованными как основа для обучения. По мере усложнения потребностей, связанных с отработкой различных сценариев противодействия компьютерным атакам и необходимостью моделировать действия большого количества подразделений, спрос организаций на гибридные и on-premise-решения будет увеличиваться. Сейчас рынок находится в стадии формирования, но, учитывая текущие тенденции, крупные контракты ожидаются уже в 2025–2026 годах.

Мы также наблюдаем устойчивый интерес со стороны компаний к созданию подобных киберполигонов у себя в стране. Существующие решения на международной арене предлагают решать атомарные, единичные задачи. Мы же строим киберполигон, на котором возможно проверить цепочку событий, а самое главное — оценить влияние кибератак на бизнес-процессы. Многие страны рассматривают возможность создания таких полигонов, однако реализация этих проектов имеет более долгий горизонт планирования.

В 2024 году от компаний появился сформированный запрос на обучение тому, как строить работу команд ИТ и ИБ в соответствии с концепцией результативной кибербезопасности. Кроме того, наблюдается спрос на профессиональное обучение, которое вытесняет продуктовое: больше интереса вызывают методологии выстраивания процессов, слушателям хочется понимать, как создавать систему из продуктов. Кибербезопасность считается ответственностью отделов ИБ и ИТ, хотя запрос на обучение руководителей уже более ясный. Растет потребность в повышении уровня осведомленности сотрудников в вопросах ИБ. Появилась необходимость в кибергигиене для сотрудников, которая предположительно встанет в один ряд с проведением таких регулярных обновлений знаний, как обучение по общим вопросам охраны труда и пожарной безопасности.

В течение 2024 года направление Positive Education запустило 35 программ продуктового обучения, 4 из них — международные. За год мы удвоили количество пользователей: сейчас это 40 000 завершивших обучение (для сравнения, в 2023 году их было 20 000), а зарегистрировались на наши курсы в этом году более 65 000 раз. Кроме того, мы запустили десятки новых программ совместно с ведущими вузами страны: для аналитиков SOC с Центральным университетом («Тинькофф»), открытую программу для менеджеров со «СберУниверситетом», магистерские программы по ИБ в ИТМО, Университетах Иннополис и «Сириус». Запустили собственное корпоративное обучение топ-менеджмента.

Стоит также отметить расширение нами направления профессионального обучения: разработана и успешно запущена программа, посвященная построению результативного процесса управления уязвимостями (vulnerability management, VM). Она ориентирована на инженеров и руководителей с акцентом на выявление и устранение уязвимостей до того, как они будут использованы злоумышленниками. Мы также создали и запустили две целевые программы в области построения процессов безопасной разработки — для инженеров и для руководителей AppSec-направлений. Для первых акцент сделан на практику по выстраиванию безопасного цикла разработки, для вторых разработаны подходы к управлению безопасностью приложений с точки зрения бизнеса, включая стратегическое планирование, управление рисками и выбор инструментов.

Большое внимание уделили развитию экспертизы среди молодых профессионалов. Запущена школа преподавателей кибербезопасности, один из проектов Positive Education, направленный на создание сообщества преподавателей по ИБ и системное развитие индустрии подготовки кадров в сфере практической кибербезопасности. Проект был запущен в ноябре 2023 года, а в октябре текущего стартовал новый поток программы, который уже в первый год собрал около 1000 преподавателей из 200 учебных заведений. В 2024 году у проекта появился образовательный партнер — МГТУ им. Н. Э. Баумана. Набор в этом году составил 1500 преподавателей.

В этом году Positive Technologies запустила новую программу — международный Positive Hack Camp. В течение двух недель специалисты по ИБ со всего мира учились у ведущих российских экспертов, которые делились практической экспертизой в области кибербезопасности и защиты ИТ-инфраструктуры. Positive Hack Camp — международная программа по практической кибербезопасности для зарубежных специалистов. Проект стартовал в августе 2024 года и будет проходить ежегодно. Первое мероприятие, подготовленное Positive Education и CyberEd, собрало в Москве 70 молодых специалистов из 20 стран, среди которых Саудовская Аравия, ОАЭ, Оман, Бахрейн, Индонезия, Малайзия, ЮАР и другие.

Ввиду прогнозируемого дефицита кадров в ближайшие годы будут развиваться программы по рескилингу и появляться новые магистерские направления подготовки в вузах. Для профессионалов в области ИБ будет расти количество коротких (от двух до четырех недель) программ. Это связано с ожидаемым ростом числа атак в 2025 году и развитием новых технологий в сфере ИБ. Вероятно, будет популярным направление, связанное с применением ИИ в сфере кибербезопасности.

Кроме того, в будущем году компаниям нужно будет адаптировать свою стратегию безопасности в связи с обучением сотрудников с разным уровнем знаний в сфере ИБ.

Помимо этого, в России развивается законодательная база (например, выпуск ГОСТ по AppSec). Предположительно, в ближайший год увидим рост числа вендоронезависимых, но одобренных регуляторами программ.

Общемировые тренды — обучение использованию технологий на базе ИИ (Россия также ему следует), подготовка специалистов в области Web3. В целом, тренды зависят от уровня зрелости кибербезопасности в стране.