Еще несколько лет назад инцидентом считалось то, что происходит внутри инфраструктуры. Сегодня многие атаки вообще ее не затрагивают, а разворачиваются вокруг бренда и клиентов. Мы обсудили с экспертами, как меняется понимание этих угроз и роль Digital Risk Protection.
Эксперты:
- Александр Вураско, директор по развитию Solar AURA
- Станислав Гончаров, руководитель департамента F6 Digital Risk Protection
- Дмитрий Кирюшкин, руководитель BI.ZONE Digital Risk Protection
- Константин Мельников, руководитель департамента специальных сервисов Infosecurity (“Софтлайн Решения”, ГК Softline)
Как за последние несколько лет изменилась логика атак вне периметра?
Станислав Гончаров, F6
За последние годы атаки вне периметра стали не только более автоматизированными, но и распределенными по множеству каналов и сценариев. Если раньше фишинг был привязан к отдельным сайтам или рассылкам, то сегодня злоумышленники выстраивают цепочки взаимодействия с пользователем – от рекламы и соцсетей до мессенджеров и мобильных приложений. Выросла роль одноразовых и динамически генерируемых ссылок, которые быстро исчезают или меняются после использования, что делает ручное обнаружение практически невозможным и требует перехода к поведенческому и паттерн-анализу.
Константин Мельников, Infosecurity
Атаки вне периметра сместились от массовых, слабо контролируемых кампаний к более точечным и управляемым сценариям. Злоумышленники все чаще действуют вручную, адаптируя атаку под конкретную цель. Причины – в снижении рентабельности массовых атак, по-прежнему низком уровне киберграмотности пользователей и широком распространении инструментов на базе ИИ.
Александр Вураско, Solar AURA
Значительно выросла автоматизация всех процессов атаки, что позволило злоумышленникам экономить время и способствовало снижению требований к квалификации атакующих.
Дмитрий Кирюшкин, BI.ZONE
Атаки вне периметра стали не такими массовыми, но более персонализированными. Среди ключевых изменений можно выделить: использование в атаках ИИ и доверенных платформ (фишинг через вполне легитимные каналы), атаки через подрядчиков, переход к PhaaS, изменение каналов распространения (отход от типичного фишинга в почте к фишингу через мессенджеры).
Как должна быть встроена функция DRP в архитектуру безопасности?
Дмитрий Кирюшкин, BI.ZONE
Лучший вариант – это когда есть отдельная команда DRP, которая постоянно взаимодействует с соседними отделами, в том числе с SOC, TI, антифродом, Mail Security, PR и др. Например, в SOC и решения класса Security Awareness DRP может передавать информацию о скомпрометированных учетных записях и о зараженных устройствах пользователей. Компания может также получать информацию о негативных вбросах, которые выявили в открытом доступе и на теневых ресурсах.
Александр Вураско, Solar AURA
DRP – это сервис, работающий на стыке. При этом данные из него могут передаваться и в SOC в виде фидов. В целом же DRP – это самодостаточное решение. Некоторые направления, такие как борьба с фишингом, могут работать вообще без участия сотрудников заказчика.
Константин Мельников, Infosecurity
Оптимальная модель – самостоятельная функция с собственной командой и инструментарием. При избыточной зависимости от других сервисов DRP рискует утратить свою специфику и превратиться во вспомогательный инструмент, что снижает его ценность. При этом результаты DRP и киберразведки должны быть интегрированы в общую экосистему безопасности.
Станислав Гончаров, F6
Модель внедрения DRP во многом зависит от зрелости ИБ и организационной структуры компании: функции могут находиться как в зоне ответственности ИБ, так и распределяться между маркетингом, юридическими подразделениями и антифродом, особенно когда речь идет о защите бренда и внешних цифровых активов. При этом все чаще формируются отдельные команды или направления, отвечающие за управление цифровыми рисками. Ключевым элементом становится контроль белого списка ресурсов – определение, валидация и поддержание актуальности легитимных доменов и каналов. На практике компании предпочитают опираться на специализированные DRP-решения, поскольку собственными силами решать обсуждаемые задачи крайне сложно.
Какие показатели позволяют объективно оценить зрелость DRP?
Станислав Гончаров, F6
Зрелость DRP оценивается не столько количеством инцидентов, сколько способностью управлять всей экосистемой цифровой защиты бренда. Ключевые метрики – полнота покрытия (обнаружение связанных ресурсов и кампаний), скорость выявления и реагирования, доля предотвращенного ущерба и снижение повторных атак.
Константин Мельников, Infosecurity
Зрелость DRP целесообразно оценивать не только через технические метрики, но и через бизнес-показатели: экономическую эффективность (через модель экономики угроз); способность выявлять новые и нетипичные векторы атак; вклад в решение бизнес-задач (снижение мошенничества, защита бренда, предотвращение утечек); гибкость сервиса и глубину кастомизации под специфику компании.
Александр Вураско, Solar AURA
В DRP есть свои метрики: время обнаружения, время оповещения, время реагирования (где это применимо). Главная задача DRP – оперативно обнаружить признаки возможной угрозы и максимально быстро оповестить заказчика. Акцент делается на постоянный мониторинг инфопространства и анализ событий.
Дмитрий Кирюшкин, BI.ZONE
Для оценки DRP целесообразно использовать следующие метрики:
- Среднее время от обнаружения фишинга до его блокировки.
- Показатели ложных срабатываний.
- Процент выявленных угроз до того, как они нанесли ущерб или поступили жалобы.
Насколько генеративные модели меняют масштаб угроз?
Станислав Гончаров, F6
Генеративный ИИ – лишь один из инструментов автоматизации у злоумышленников. Мы также наблюдаем использование генеративных моделей для наполнения мошеннических страниц и создания текстов писем, что существенно ускоряет масштабирование атак и повышает уровень их персонализации. Со своей стороны мы применяем ИИ-анализ для извлечения текстовых данных со страниц и автоматизации детектирующих правил. В скоринговой модели учитываются показатели уровня риска, что позволяет точнее определять принадлежность ресурса к той или иной мошеннической схеме и повышать скорость выявления нарушений.
Дмитрий Кирюшкин, BI.ZONE
Использование генеративных моделей позволяет мошенникам масштабировать атаки, делая их уникальными для каждой жертвы. На смену примитивным шаблонным методам пришли персонализированные сценарии, сохраняющие прежний охват. На стороне защиты также активно применяются ИИ и инструменты анализа в реальном времени, например Computer Vision для выявления и сравнения фишинговых сайтов.
Александр Вураско, Solar AURA
Генеративные модели позволяют автоматизировать рутинные процессы, повышая КПД злоумышленников, они также позволяют заменить некоторых специалистов вроде кодеров и дизайнеров, что дает возможность слабо подготовленным злоумышленникам совершать технически сложные манипуляции. Но и защитники применяют генеративные модели в том же ключе: для автоматизации разбора массивов данных, поиска закономерностей, анализа сайтов и т. п.
Константин Мельников, Infosecurity
Использование генеративных моделей увеличивает масштаб и скорость атак, смещая баланс не в пользу защитников. Однако это не создает принципиально новых барьеров – скорее повышает требования к скорости и качеству реагирования. Ключевым становится проактивный подход: постоянный мониторинг внешней среды, быстрая адаптация к новым сценариям и развитие собственных инструментов, в том числе с использованием ИИ.
Как компании обычно обосновывают инвестиции в DRP?
Константин Мельников, Infosecurity
Эффективность DRP можно и нужно переводить в экономические показатели. Для этого применяется модель экономики угроз, которая позволяет оценивать потенциальный и предотвращенный ущерб по различным сценариям. В нашей компании есть подходы расчета экономики угроз по множествам направлений, и мы демонстрируем ее заказчикам. Это прикладная математика, которая при корректной методологии дает бизнесу понятное обоснование инвестиций.
Станислав Гончаров, F6
Оценка экономической эффективности DRP во многом остается на стороне правообладателя, поскольку именно компания понимает стоимость клиента, долю рынка и потенциальные потери. А вендоры DRP помогают обосновать инвестиции через пилоты и PoC, особенно когда угроза уже проявилась. Прогнозирование ущерба носит вероятностный характер, поэтому DRP часто рассматривается как страховка от внешних рисков. Практика показывает, что даже несколько инцидентов могут привести к потерям, сопоставимым с бюджетом многолетней защиты, включая недооцененные репутационные издержки.
Александр Вураско, Solar AURA
Все зависит от компании. Если у организации имеется конкретная проблема, которую можно закрыть путем использования DRP, вопросов обычно не возникает. А вот с демонстрацией экономической эффективности все несколько сложнее. Проведу аналогию: как можно продемонстрировать экономическую эффективность работы антивируса? Экономическую эффективность можно оценить лишь на конкретных примерах.
Дмитрий Кирюшкин, BI.ZONE
Бывает непросто обосновать инвестиции в DRP, потому что тяжело посчитать пользу в деньгах, ведь деньги и данные, как правило, крадут не у конечных пользователей. Тем не менее положительных эффектов масса. Основной – снижение репутационного ущерба. Клиенты больше доверяют бренду и компании, это положительно влияет на бизнес-показатели. Однако ценность DRP состоит не только в защите бренда, ведь наше решение помогает предотвратить компрометацию компании или подрядчика, помогая контролировать внешние угрозы, которые формируются за пределами периметра компании и часто остаются невидимыми для классических СЗИ. DRP – инструмент раннего предупреждения, который позволяет предотвращать серьезные инциденты.
Каким вы видите развитие DRP на горизонте 3–5 лет?
Станислав Гончаров, F6
Компании наращивают доменные портфели и количество точек взаимодействия с клиентами, и DRP начинает закрывать задачи, связанные не только с обнаружением мошенничества, но и с защитой объектов интеллектуальной собственности и обеспечением непрерывности цифрового присутствия. Отдельное значение приобретают базовые, но критически важные процессы – например, контроль сроков продления доменов. DRP постепенно выходит за рамки классического мониторинга угроз и становится инструментом комплексного управления рисками в цифровой среде. Каждое обновление делает F6 Digital Risk Protection точнее, быстрее и понятнее для клиента – от автоматического анализа до визуализации данных. Главная цель остается прежней: создать для бизнеса инструмент, который позволяет управлять цифровыми рисками без лишней сложности.
Константин Мельников, Infosecurity
В обозримой перспективе DRP сохранит статус самостоятельного направления. Несмотря на мнение о снижении интереса к этому классу решений, факторы внешней среды говорят об обратном. Соответственно, спрос на системную работу с ними через DRP будет расти.
Александр Вураско, Solar AURA
С одной стороны, продолжится тенденция к автоматизации процессов внутри DRP, с другой – будет развиваться интеграция с другими решениями и информационными системами. В целом мир ИБ движется в сторону экосистемности, и DRP должен являться частью таких экосистем. Впрочем, в российских реалиях DRP – это весьма широкое понятие, поэтому я считаю, что в первую очередь он будет востребован именно как отдельный продукт.
Дмитрий Кирюшкин, BI.ZONE
DRP перейдет от самостоятельной системы к более комплексному решению для раннего предупреждения кибератак. Задачи мониторинга внешних угроз будут еще очень долго оставаться актуальными, поскольку утечки данных и мошеннические схемы постоянно развиваются и придумываются все новые способы обмана. DRP совместно с TI и EASM следит за таким меняющимся ландшафтом угроз и позволит компаниям понимать, как адаптироваться для защиты от различных атак. ETLM позволит комплексно смотреть на все угрозы за периметром компании. И при этом одновременно дает возможность приобретать только те части решения, которые наиболее релевантны клиенту. Например, только сканирование периметра и мониторинг внешних угроз.
Весь номер журнала «Информационная безопасность» читайте на https://cs.groteck.com/IB_1_2026/