SIEM / SOC / SOAR SIEMсобирает данные логов / событий из СУБД, ОС, сетевого оборудования, приложений, нормализует, коррелирует и выявляет инциденты. SOC- это служба реагирования, которая обрабатывает тревоги, расследует и управляет инцидентами. SOAR автоматизирует реагирование: запускает плейбуки, создает тикеты, снижает нагрузку на сотрудников. Бизнес-ценность: - Снижение средних убытков от простоев, штрафов, утечек. - Экономия на расследованиях и аудите на 30%: централизованные логи автоматически формируют доказательную базу. - Снижение MTTR на 80%. - Снижение нагрузки на команду на 50%. - Возможность показать эффективность ИБ руководству через KPI. Критерии выбора: 1. Масштабируемость и производительность - возможность обработки миллионов событий в секунду при росте ИТ-ландшафта.
2. Наличие готовых коннекторов и адаптеровпод российские ОС, компоненты, СУБД, приложения и инфраструктуру. 3. Корреляционные правила и интеллектуальные модели - поддержка поведенческих моделей, машинного обучения, связи с MITRE ATT&CK. 4. Инструментарий реагирования - возможность автоматизации плейбуков, интеграция с тикетными системами и ИТ-СРМ.
5. Сертификация / соответствие ФСТЭК / ФСБ,особенно для госсектора и объектов критической инфраструктуры. 6. SOC-услуги / поддержка 24×7 - наличие партнерской экосистемы SOC или возможность внешнего сопровождения. 7. Общий TCO, включая затраты на лицензии, содержание аналитиков, инфраструктуру и сопровождение. Защита конечных точек - EDR / XDR EDR контролирует и реагирует на угрозы на рабочих станциях, мобильных устройствах, серверах.
Технология фиксирует поведение процессов, сетевые соединения, попытки эскалации прав, скрытую активность.
XDR расширяет эту модель, объединяя данные с других слоев - сеть, почта, облако. Бизнес-ценность: - Снижение критичных инцидентов на 15-25%. - Сокращение времени простоя рабочих мест и серверов на 40%. - Снижение риска массового шифрования данных, возможность сэкономить на выплатах и восстановлении. - Удешевление страхования киберрисков на 10-20% при наличии сертифицированного EDR. - Укрепление бренда благодаря защите данных клиентов и сотрудников. Критерии выбора: - Простота установки и управления агентами. - Минимальное воздействие на производительность устройств. - Возможность автоматического реагирования - отката, блокировки. - Интеграция с SIEM / SOC / SOAR. - Наличие анализа поведения. - Среднее время обнаружения < 30 минут. - Уровень автоматического реагирования > 70%.
Защита от утечек данных (DLP) DLP контролирует экспорт и импорт файлов - запись на USB и съемные носители, пересылки по почте и в мессенджерах.
Система сканирует содержимое документов, мониторит доступ к хранилищам данных и облачным сервисам для предотвращения маскированных утечек. Бизнес-ценность: - Предотвращение утечек критичных данных - контрактов, чертежей, ноу-хау - на 60%. - Снижение штрафов за нарушение законодательства о ПДн. - Сохранение конкурентных преимуществ - патентов, НИОКР. - Минимизация репутационных потерь и судебных исков. Критерии выбора: - Глубина анализа - контент, контекст, метаданные. - Поддержка различных каналов: USB, облака, мессенджеры. - Интеграция с классификацией данных / IDM / SIEM. - Масштабируемость в распределенной инфраструктуре. - Возможность гибкого управления политиками. - Уровень ложных срабатываний < 3%.
Сетевая безопасность: WAF, NGFW, Anti-DDoS, ZTNA Эти классы средств работают "на границе" инфраструктуры - защищают от внешних атак и DDoS, фильтруют веб-трафик, контролируют доступ к ресурсам.
| Средство | Суть | От чего защищает | Как работает |
| WAF | Файрвол для веб-приложений | SQL-инъекции; XSS; CSRF - подделка межсайтовых запросов; Внедрение команд, обход каталога, включение файлов | Проверяет запросы между пользователем и веб-приложением по сигнатурам и поведенческим правилам, блокирует вредоносные |
| NGFW | Совмещение файрвола с системами обнаружения и предотвращения вторжений, фильтрацией приложений и SSL / TLS-инспекцией | Несанкционированный трафик по IP / портам; Атаки внутри приложений | Анализирует пакеты до уровня приложений. Понимает протоколы, распознает атаки, может расшифровывать SSL-трафик. Предотвращает вторжения и контролирует контент |
| Anti-DDoS | Средства защиты от DDoS-атак | UDP-, SYN- и HTTP-флуд, многовекторные атаки; Слоевые и прикладные атаки | Перенаправляет трафик через фильтрующий центр или устройство, в котором анализирует пакеты и отбрасывает подозрительные |
| ZTNA | Модель доступа "нулевого доверия": не доверяет по умолчанию ни одному пользователю или устройству, даже если они "внутри сети" | Внутренние угрозы и компрометации учетных данных; Распространение атаки по сети; "Пробитый периметр" - актуально при удаленной работе | Предоставляет доступ к приложению или ресурсу только после проверки личности, устройства, контекста, риска; Применяет принцип "минимально необходимого доступа" и постоянной проверки; Работает через прокси, шлюзы или облачные платформы, которые авторизуют каждое соединение |
Бизнес-ценность: - Уменьшение простоев онлайн-сервисов на 80-90% - сохранение выручки. - Обеспечение SLA по доступности. - Повышение отказоустойчивости e-commerce и финтех-сервисов. - Снижение затрат на экстренное устранение последствий атак. - Повышение доступности и скорости сервисов, которое увеличивает лояльность клиентов.
В 2025 году число DDoS-атак в России выросло на 50% по сравнению с 2024 годом, длительность - до 96,5 часов. Критерии выбора: - Пропускная способность от 100 Гбит/с и масштабируемость. - Латентность при обработке. - Качество WAF-правил и защита от "атаки нулевого дня". - Поддержка проверки SSL / TLS. - Интеграция с SIEM / SOC. - Надежность защиты против многовекторных атак.
Криптография, PKI и шифрование Криптографические системы и средства шифрования обеспечивают конфиденциальность и целостность данных при хранении или передаче. PKIавтоматически выпускает и отзывает сертификаты, чтобы сотрудники, подрядчики и сервисы получали безопасный доступ к ресурсам без сбоев и ручных настроек. Бизнес-ценность: - Соответствие регуляторным требованиям - возможность работать без штрафов. - Безопасная работа филиалов и подрядчиков увеличивает скорость процессов без риска утечек. - Защита репутации, сохранение доверия партнеров. - Возможность участвовать в тендерах, где шифрование по ГОСТ - обязательное условие. Критерии выбора: - Сертификация ГОСТ / соответствие ФСТЭК и ФСБ. - Возможность интеграции с DLP, SIEM, приложениями. - Управление жизненным циклом ключей: KMS, резервирование. - Поддержка аппаратных криптомодулей. - Время на выпуск сертификата < 10 минут. - Уровень автоматизации жизненного цикла ключей > 80%.
Аудит, тестирование на проникновение, Red Team Аудит ИТ‑инфраструктурыи оценка зрелости ИБ- проверка соответствия стандартам, поиск уязвимостей, дублей и неэффективных узлов. Пентест - тестирование на проникновение. Это проверка уязвимостей под конкретную цель, обнаружение брешей в ИБ "снаружи". Red Team - моделирование продвинутых атак.
Включает социальную инженерию, сценарии APT, исследование защищенности и реакции команды. Бизнес-ценность: - Выявление уязвимостей до того, как ими воспользуются злоумышленники. - Прозрачность перед советом директоров, инвесторами, партнерами. - Подготовка к сертификациям и тендерам, которые дают доступ к новым рынкам. - Обоснование бюджета ИБ на реальных данных - результатах тестов. - Повышение зрелости процессов ИБ. Критерии выбора: - Качество проделанных сценариев. - Опыт работы с аналогичными инфраструктурами заказчика. - Предоставление отчетов, дорожных карт и поддержки исправлений. - Методологии - OWASP, OSSTMM, PTES.