Рынок управляемых сервисов информационной безопасности в России растет быстрее, чем в мире. Движущие рынок силы стабильны, однако бизнесу нужно внимательно следить за тенденциями, чтобы не уступить в конкурентной борьбе.
С любой работой лучше справятся профессионалы. Это справедливо и для информационной безопасности, рынок аутсорсинговых услуг которой продолжает уверенно расти. Согласно оценкам Mordor Intelligence, мировой рынок MSSP (Managed Security Service Provider) – провайдеров, которым делегируется управление средствами защиты информации, – в 2025 г. составит $38,31 млрд и при среднегодовом росте 12,54% в 2030 г. достигнет $69,16 млрд (рис. 1).
Источник: Mordor Intelligence
Еще быстрее развивается отечественный рынок. По прогнозам iKS-Consulting, при базовом сценарии развития рынок MSSP в России в ближайшие четыре-пять лет будет расти со средним темпом около 20% в год (рис. 2).
Источник: iKS-Consulting
Каковы же драйверы такого бурного роста и текущие тенденции рынка?
Пять драйверов рынка MSSP
MSSP – часть рынка информационной безопасности, объем которого во многом определяется рынком ИТ. Чем больше компьютеров, серверов, сетей, хранилищ и устройств интернета вещей, тем больше потребность в их защите. Продолжающаяся цифровизация практически всех сфер деятельности – первый драйвер стабильного роста мирового и российского рынков ИТ и соответственно рынков ИБ и MSSP.
Второй драйвер – увеличение сложности и количества кибератак. По данным «Лаборатории Касперского», в России в 2024 г. зафиксировано более 1,8 млрд атак. При этом, согласно данным центра противодействия кибератакам Solar JSOC, выросла и доля высококритичных инцидентов, достигшая в 2024 г. 5% (в 2023 г. – 2%). Компания F6 в своем исследовании «Аналитика и прогнозы 2024/2025. Новые риски кибератак в России и СНГ: полный разбор» приводит такие цифры: в 2024 г. почти в двое увеличилось число прогосударственных APT-групп, атакующих цели в России, количество атак вирусов-шифровальщиков выросло на 44%. За тот же период, как отмечают в ГК «Солар» (входит в «Ростелеком»), в 2 раза выросло число DDoS-атак (до 508 тыс.) и в 3,5 раза – их средняя мощность. Побит и антирекорд по утечкам – выявлено около 500 случаев публикации баз данных компаний в открытом доступе (+43% к показателю 2023 г.). Увеличивается число деструктивных политически мотивированных атак, требующих оперативного реагирования.
Один из ключевых драйверов рынка – распространение интереса хакерских группировок на ранее мало атакуемые отрасли и усугубление последствий атак: участились нападения на такие важные для функционирования общества сектора, как пищевой ритейл и медицина, а также на объекты строительства.
За последний год более 80% российских предприятий малого и среднего бизнеса столкнулись с киберинцидентами. Это стимулирует компании, для которых раньше тема киберзащиты не была приоритетной, задуматься о срочном построении систем безопасности. Учитывая новизну задачи, многие из них выбирают гибридный или сервисный подходы, крайне редко прибегая к обеспечению ИБ только собственными силами. Крупный бизнес, уже имеющий ИБ-решения, тоже все чаще обращается к сервисам – в силу нехватки кадров или необходимости «закрыть» отдельные направления.
Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC, ГК «Солар»
Хакеры непрерывно совершенствуют средства нападения, используют автоматизированные боты на основе ИИ, что затрудняет их обнаружение без продвинутых инструментов защиты, с которыми нужно уметь работать. Рост сложности и числа кибератак требует все больше квалифицированных специалистов, а их на рынке не хватает.
Дефицит кадров и экспертизы – третий драйвер. Организации сталкиваются с трудностями в подборе и удержании ИБ-экспертов, особенно для круглосуточного дежурства в центре мониторинга безопасности (SOC). Например, для обслуживания сложных систем, таких как SIEM, NGFW, EDR, требуются узкопрофильные навыки, которые дефицитны на рынке.
Содержание собственного штата SOC обходится дорого, а MSSP предлагают доступ к пулу из сотен специалистов (например, только у Solar JSOC более 800 экспертов), чего не может себе позволить подавляющее большинство компаний.
Российский рынок MSSP переживает фазу активного роста и трансформации. Спрос на аутсорсинговую модель защиты связан в первую очередь с нехваткой квалифицированных кадров в ИБ, а также с желанием компаний закупать готовые продукты с поддержкой «из коробки», оптимизируя таким образом бюджеты на ИБ. Ведь самостоятельная разработка решений и создание, к примеру, собственного SOC, зачастую обходятся дороже и требуют больше времени. Сегодня, когда регулирование усиливается, а число киберинцидентов растет, бизнесу необходима быстрая, гибкая и эффективная защита, и MSSP становится логичным выбором.
Алексей Козлов, ведущий аналитик отдела мониторинга ИБ, «Спикател»
Четвертый – постоянное ужесточение регуляторных требований. Так, с 2024 г. штрафы стали дифференцированными: до 5 млн руб. за компрометацию данных 1–10 тыс. человек и до 15 млн руб. – для масштабных инцидентов, затрагивающих более 100 тыс. записей. Повторные утечки влекут штрафы до 3% годового оборота. Поэтому безопасностью надо заниматься, причем серьезно.
Кроме того, в условиях сложной геополитической обстановки государство стимулирует импортозамещение. Указ Президента РФ от 01.05.2022 № 250 и закон «О безопасности критической информационной инфраструктуры РФ» от 26.07.2017 № ФЗ-187 требуют перехода значительного числа компаний и организаций на отечественные ИБ-решения. MSSP ускоряют эту миграцию, предлагая услуги по администрированию российских SIEM/SOC-платформ для управления безопасностью и реагирования на инциденты.
Пятый драйвер – все более широкое использование облачных технологий. Компании переносят ИТ-инфраструктуру в облака, что заставляет приобретать ИБ-сервисы, в том числе защиту от DDoS-атак, мониторинг трафика и WAF, по облачной модели (SECaaS) и способствует развитию облачных MSSP. Да и само развитие аутсорсинга ИТ-услуг снижает психологические барьеры привлечения специалистов сторонних компаний и в такую чувствительную область, как ИБ.
Пять барьеров рынка MSSP
Психологический барьер по-прежнему один из наиболее существенных на пути роста рынка MSSP. Компании не готовы передавать управление ИБ-инфраструктурой третьим лицам из-за рисков некорректной настройки систем защиты информации (СЗИ), что может парализовать бизнес-процессы. MSSP выполнит свою функцию – защитит информацию, а что при этом случится с ежедневными задачами и понесет ли компания убытки, не его забота. Найти баланс между защищенностью и эффективностью работы – непростая задача, которую, как часто считается, проще решить с сотрудниками своего ИБ-отдела, лучше понимающими специфику конкретного бизнеса.
Кроме того, как и при использовании любой модели аутсорсинга, при передаче контроля провайдеру возникает неконтролируемый компанией риск утечек и компрометации данных. Поэтому крупные компании, несмотря на большие экономические издержки, все же пытаются самостоятельно обеспечивать информационную безопасность – инвестируют в собственные SOC, а не в аутсорсинг.
Второй барьер – юридический и регуляторный. Рынок разрешенных иностранных решений защиты стремительно сокращается. Указом Президента РФ от 13.06.2024 № 500 госорганам, стратегическим и системообразующим организациям страны с 01.01.2025 запрещается применять ИБ-сервисы из недружественных государств, что существенно ограничивает использование зарубежных облаков. Даже в российских облаках требуется установка сертифицированных аппаратных СЗИ.
Ужесточение законодательства о персональных данных и о защите КИИ усложняет юридические вопросы разделения ответственности между клиентом и провайдером. Клиенты справедливо опасаются, что за ошибки MSSP отвечать по всей строгости закона придется заказчикам услуг. Тем более что четких стандартов, определяющих работу сервисов, нет, и доказать вину провайдера в любом случае будет трудно.
Третий барьер – технологический. Санкции и уход с российского рынка мировых лидеров существенно сузили инструментарий средств защиты. В условиях частичной изоляции приходится выбирать решения не всегда зрелые и оптимальные. И MSSP вынуждены перестраивать свои сервисы на базе российских продуктов, которые часто требуют кастомизации. Многие провайдеры предлагают разрозненные услуги (мониторинг, DDoS-защита), но не комплексные решения.
Четвертый – дефицит кадров, особенно высококвалифицированных специалистов по ИБ. В 2024 г. дефицит ИБ-кадров в РФ аналитики Positive Technologies оценивали в 50 тыс. человек и ожидали, что к 2027 г. он вырастет до 52–65 тыс. человек. Причем наиболее востребованы эксперты среднего и старшего звена (middle/senior), которых на рынке мало, и стоимость их постоянно растет. Этот фактор является как драйвером MSSP, так и препятствием для развития сегмента, – провайдерам услуг тоже нужны специалисты
Пятый – экономический, прежде всего высокая стоимость услуг. Для малого и среднего бизнеса (с выручкой до 800 млн руб. в год) услуги MSSP остаются недоступными. Многие компании вынуждены ограничивать свои бюджеты и приобретать не все нужные услуги, а лишь совершенно необходимые. Кроме того, без доказательств предотвращения ущерба бизнес зачастую не видит измеримой выгоды и не считает использование услуг MSSP эффективным. И применяет базовые средства защиты (антивирусы, межсетевые экраны), игнорируя комплексные сервисы.
Основные тенденции рынка MSSP
Драйверы – фундаментальные причины, вызывающие изменения. В сочетании с существующими барьерами они формируют тенденции – устойчивые направления изменений. Главный тренд российского рынка MSSP, обусловленный действием всех вышеперечисленных факторов, – продолжающийся рост.
Спрос на профессиональные услуги кибербезопасности в России остается высоким. Компании сталкиваются с более сложными атаками, нехваткой своих специалистов и требованиями регуляторов. В таких условиях бизнес все чаще доверяет защиту данных и ИТ-инфраструктуры MSSP-провайдерам. Защищать отдельные участки инфраструктуры уже недостаточно, необходим комплексный подход с минимальными усилиями со стороны клиента.
Дмитрий Ткачев, генеральный директор, CURATOR
«Компании все чаще обращаются к сервисам кибербезопасности. Однако на фоне прогнозируемого снижения темпов роста экономики в 2026 г. стоит ожидать снижения темпов роста по сравнению с 2025 г. рынка ИБ в целом и MSSP в частности», – указал Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE. В числе трендов эксперт отметил рост доверия к облачным сервисам кибербезопасности и появление сервисов с финансовой гарантией.
Ключевые тренды рынка сервисов кибербезопасности в целом и SOC в частности с 2024 г. принципиально не изменились. Можно назвать следующие тенденции:
- появление сервисов с финансовой гарантией, в рамках которых сервис-провайдеры будут брать на себя частичное возмещение ущерба в случае пропущенной кибератаки;
- рост доверия к облачным сервисам кибербезопасности, обусловленный как повышением уровня зрелости компаний, так и возрастающим спросом на ИБ и нехваткой специалистов для его удовлетворения. Использование облачных сервисов позволяет решать задачи ИБ гораздо быстрее, чем внедрение и эксплуатация on-premise-продуктов силами собственной команды специалистов;
- превращение провайдеров облачных ИT-сервисов в ИБ-вендоров и сервис-провайдеров. На рынке появляются новые ИБ-игроки, создаваемые на базе облачных провайдеров. Мы прогнозировали это годом ранее, и прогноз полностью оправдался. Полагаем, что этот тренд будет сохраняться.
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE
Особо стоит выделить тенденцию трансформации провайдеров облачных ИT-сервисов в ИБ-вендоров и сервис-провайдеров. Накопленный опыт по обеспечению безопасности собственной облачной инфраструктуры облачные провайдеры стремятся монетизировать, предлагая разработанные для себя ИБ-продукты и экспертизу рынку. По такому пути пошли, выведя свои SOC на рынок, «Яндекс» и МТС.
Возрастает сложность стоящих перед МSSP задач, в том числе из-за размытия периметра безопасности вследствие широкого распространения после пандемии COVID-19 формата удаленной работы и использования гибридных облаков.
Новым вызовом становится повсеместное использование ИИ, причем как для атак на компании, так и для их защиты.
Отмечу несколько интересных трендов. Во-первых, это развитие использования облачных технологий в гибридных средах. Соответственно и MSSP-провайдерам нужно уметь работать с гибридными инфраструктурами, где де-факто отсутствует периметр. Когда в организации используются набор SaaS-сервисов, облачные среды, решения on-premises, нужен расширенный мониторинг, учитывающий специфику атак на разные среды. То же самое относится к продуктам для защиты, которым приходится учиться работать в таких сложных инфраструктурах.
Второй момент, который нельзя не выделить, – революция в ИИ-технологиях. Применение ИИ, с одной стороны, дает бизнесу новые возможности, с другой – это новая поверхность атаки, которая требует новых подходов к защите. Еще три года назад никто и не думал, что появятся продукты для защиты от promt Pt-injection. Стек ИИ-технологий в основном облачный, а иногда и мультиоблачный, что резко повышает необходимость инвестирования в защиту таких инфраструктур.
Но и MSSP-провайдерам использование ИИ тоже дает огромные плюсы и позволяет значительно ускорить реагирование и качество сервиса. С нашей точки зрения, наиболее важно развивать гибридный мониторинг, чтобы охватывать все используемые компаниями инфраструктуры.
Юрий Наместников, руководитель Security Operations, Yandex Cloud
Дефицит кадров и их высокая стоимость при возросших рисках ИБ привели к повышению спроса на услуги MSSP со стороны среднего и малого бизнеса. Причем компаниям нужно не только выявлять возникающие угрозы, но и быстро на них реагировать, и эту работу тоже передают на аутсорсинг.
Отсутствие в штате специалистов по ИБ увеличивает спрос и на довольно простые услуги, например, на подключение к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
И, наконец, стало развиваться киберстрахование – в случае взлома компании хотят получить материальную компенсацию, а в причинах неудачи MSSP пусть разбирается страховая компания.
Сегодня на рынке MSSP растет спрос со стороны малого и среднего бизнеса из-за дефицита квалифицированных кадров и высоких затрат на содержание собственных специалистов. Крупные же компании не спешат с обращением к MSSP и переводят на аутсорсинг лишь часть функций ИБ с целью снижения TCO и концентрации на ключевых рисках.
Еще один тренд – смещение услуг MSSP в сторону MDR (Managed Detection and Response) и проактивных сервисов. Услуги типа MDR, Threat Hunting и Forensics становятся стандартом, вытесняя пассивный мониторинг. MSSP активнее интегрируются с IR-процессами заказчиков.
Кроме того, MSSP-компании все чаще предоставляют услуги обеспечения соответствия требованиям ФСТЭК, ФСБ, ГОСТ и подключения к ГосСОПКА.
Отдельно отмечу рост услуг киберстрахования в рамках пакетов услуг: MSSP + аудит + киберстрахование + поддержка сертификаций и требований страховых компаний.
Дмитрий Шулинин, директор UserGate uFactor
Рост цен на продукты ИБ – закономерное явление, связанное с уходом с рынка зарубежных компаний, снижением конкуренции и инфляцией. Но клиенты стремятся оптимизировать расходы, в том числе за счет использования оптимального для их задач функционала и вендоронезависимого подхода, позволяющего сменить поставщика с неудовлетворительным качеством услуг и стоимостью решений. Зачем платить за функционал, который не нужен конкретной компании? И уж тем более не стоит давать возможность вендору стать незаменимым и диктовать цены.
Главным трендом я бы назвал смещение запросов заказчиков в сторону функциональных потребностей, а не возможностей конкретных продуктов – все более актуальны вендоронезависимый и экспертоцентричный подходы. Мы стараемся учитывать их при формировании портфеля наших MSSP-услуг.
Усиливаются также тенденции автоматизации процессов и управления активами. В прошлом году мы запустили платформу Angara ECHO – инструмент для управления цифровым следом, который поможет каждому человеку или компании понять, что критичного есть о них в сети, чтобы оценить риски неправомерного завладения этими данными. Регулярный мониторинг публично доступной информации позволит своевременно реагировать на угрозы и снижать риски нанесения ущерба.
Тимур Зиннятуллин, заместитель генерального директора, Angara Assistance
Резюмируя мнения опрошенных экспертов, выделим следующие тенденции российского рынка MSSP:
- продолжение роста рынка;
- повышение сложности задач из-за размытия периметра безопасности и появления новых угроз;
- запрос на комплексный подход к защите;
- повышение доверия к облачным сервисам кибербезопасности;
- появление сервисов с финансовой гарантией;
- рост запросов со стороны малого и среднего бизнеса;
- использование ИИ обеими сторонами: и злоумышленниками, и безопасниками;
- трансформация провайдеров облачных ИT-сервисов в ИБ-вендоров и сервис-провайдеров.
Тенденции развития рынка коммерческих SOC
Востребованность комплексного подхода к защите увеличивает популярность коммерческих центров мониторинга. Пять тенденций в их развитии назвал Т. Хеирхабаров:
- Повышение роли EDR (Endpoint Detection & Response – инструменты для автоматического выявления и устранения угроз на конечной точке) в технологическом стеке SOC. В частности, у BI.ZONE более 80% всех клиентов SOC потребляют сервис с EDR. Решения соответствующего класса становятся неотъемлемым элементом многих центров мониторинга и фактически движутся в сторону коммодитизации. А появление требований ФСТЭК к таким решениям должно еще больше усилить это движение.
- Ускорение подключения к коммерческим SOC – находящиеся под атакой организации требуют максимально оперативной постановки на мониторинг. Коммерческим SOC приходится перестраивать свои процессы и учиться подключать инфраструктуры заказчиков в максимально короткие сроки (дни и недели против месяцев).
- Постепенный переход крупных коммерческих SOC на собственный технологический стек. В частности, сегодня несколько игроков развивают собственную SIEM-систему за счет внутренней разработки либо за счет поглощения других компаний – разработчиков ИБ-решений.
- Повсеместное внедрение ИИ, в том числе генеративного, в деятельность SOC. Причем аналитики SOC применяют как ИИ-ассистентов для повышения скорости принятия решений, так и ИИ-агентов для автоматизации рутинных операций. Некоторые компании идут дальше и выпускают собственных ИИ-ассистентов в виде самостоятельных отчуждаемых продуктов.
- Рост интереса к гибридным моделям SOC (внутренний ИБ-отдел + MSSP).
Бизнес больше не готов довольствоваться пассивным предупреждением о проблемах. Требуется не просто сервис оповещения, а партнер, который возьмет на себя полную ответственность за обнаружение, реагирование и нейтрализацию кибератак. Классическая модель мониторинга замещается новой моделью – управляемым обнаружением атаки и реагированием (Managed Detection and Response, MDR).
«Причина проста: традиционная SOC-модель, ограничивающаяся пассивным анализом и оповещением клиента о проблемах, безнадежно устарела. Она перекладывает бремя анализа и принятия решений на внутренние команды заказчика, которые зачастую не имеют необходимых ресурсов и экспертизы. В условиях быстро эволюционирующих угроз такой подход ставит под удар устойчивость бизнеса. Будущее за сервисами полного цикла, решающими широкий диапазон задач кибербезопасности. SOC MDR – это логичное развитие концепции SOC, где провайдер не только фиксирует, но и активно реагирует на угрозы, беря на себя всю операционную работу по нейтрализации атаки и расследования инцидента», – объясняет тенденцию Ярослав Каргалев, руководитель Центра кибербезопасности F6.
На пути к стандартизации?
Рынку в немалой степени мешает отсутствие стандартизации. Действительно, определение целевых задач и формирование стандартов качества, по мнению директора центра противодействия кибератакам Solar JSOC ГК «Солар» Владимира Дрюкова, позволит заказчикам делать более прозрачный выбор из богатого рыночного предложения.
Еще больше отсутствие стандартизации мешает аналитикам: нет не только четко определенных стандартов, но даже всеми разделяемого понимания границ рынка МSSP. Защита информационной среды включает предотвращение посягательств на любую из трех составляющих безопасности – конфиденциальность, целостность, доступность. Скажем, CDN (Content Delivery Network) обеспечивает доступность и, как считает компания Curator, продукт Curator.CDN относится к MSS. Но это мнение не разделяет ряд других участников рынка, в частности Solar. Есть разногласия и относительно других сервисов, например, сервиса подключения к ГосСОПКА.
Часто компании не разделяют услуги безопасности и услуги поддержки решений безопасности, хотя здесь тоже нужно провести разграничение. Cервисы MSS, полагает В. Дрюков, обладают несколькими обязательными характеристиками:
- наличие облачного технологического ядра, используемого для оказания услуги. Оно может быть не единственным компонентом, может быть разработано как провайдером, так и третьей стороной. Ядро в том или ином объеме решает задачи оркестрации, централизованного управления и отчетности;
- обеспечение безопасности клиента: противодействие хакерам/контроль/выявление инсайдеров.
Это исключает из круга MSS классическую техническую поддержку (консультирование клиента по работоспособности его систем) и ИТ-сервисы, для которых функция безопасности является косвенной. А также проводит границу в облаке между MSS и SECaaS, которые подразумевают лишь управление технологией для поддержания ее работоспособности. В итоге получается, что MSS – это прямое управление безопасностью клиента.
В вопросах таксономии и стандартизации большую роль могут сыграть аналитики. Например, на рынке облачного провайдинга с момента его возникновения iKS-Consulting проводит анкетирование игроков. На основе ответов компаний аналитики сформировали общепринятую классификацию рынка и по определенным критериям оценивают их долю. Таксономия сложилась не сразу, путем компромисcов, учета мнений игроков и мирового опыта. Зато теперь на рынке есть ясность.
По такому же пути может пойти рынок MSSP, хотя здесь анкетирование пока идет тяжело: компании могут поделиться взглядами на рынок, но не все готовы раскрыть данные о выручке. Можно надеяться, что со временем рынок станет более прозрачным, ведь в получении объективной картины заинтересованы все.
Конкурентная борьба
Делать количественные оценки на российском рынке MSSP сложно. Тем не менее, по предварительным данным iKS-Consulting, в 2024 г., как и год назад, с большим отрывом лидирует ГК «Солар», которая контролирует почти треть российского рынка MSSP-сервисов (рис. 3).
Источник: данные компаний, оценка iKS-Consulting
На втором месте остается BI.ZONE (23%), которая официальных данных по выручке MSSP не дает, что сказывается на точности позиционирования компании на рынке. Стоит отметить, что остальные заметные игроки – Innostage, «Инфосистемы Джет», Angara Security, российская Curator, отделившаяся от международной Qrator Labs, Infosecurity, «Информзащита» – подобно «Солар» и BI.ZONE, изначально позиционировали себя как компании, предоставляющие услуги кибербезопасности. А вот занявшиеся MSSP классические вендоры оборудования, такие как UserGate, или облачные провайдеры и их дочки (в частности, MTC RED) на рынке пока почти незаметны. Некоторые компании не предоставляют сведений, считая, что лучше совсем не фигурировать в рейтингах, чем занимать в них невысокие места.
Подводя итог отметим, что рынок MSSP/SOC бурно развивается и развитие свое продолжит. Провайдеры берут на себя все больше работ, связанных с ИБ. Искусственный интеллект поможет, но человеческий потенциал по-прежнему необходим. Движущие рынок силы стабильны, барьеры преодолимы, остается внимательно следить за тенденциями, чтобы не уступить в конкурентной борьбе.
Сведения об авторе: Николай Носов, к.т.н., эксперт-обозреватель ИКС-Медиа, 20 лет опыта работы в ИБ и ИТ банков.
Источник: https://www.iksmedia.ru/articles/5974124-Strasti-po-II-ili-Vzlom-operacionno.html
Мы в ВК: https://vk.com/vkaciso
Наш сайт: aciso.ru
