Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Константин Мушовец, УЦСБ SOC: 30% атак через подрядчиков — это уже не пик, а устойчивый тренд

Дата публикации: 17-06-2026 06:46:00

Всего 48 минут — среднее время от первичного доступа хакеров в ИТ-периметр до остановки производства. При этом скорость самых быстрых атак — меньше минуты. Без автоматизации реагирования за такой промежуток не успеть даже обнаружить взлом, не говоря уже о блокировке. Руководитель УЦСБ SOC в интервью CNews раскрывает результаты исследования киберразведки, делится кейсами внедрения SOAR и описывает концепцию поэтапного перехода от коммерческого SOC к собственному центру мониторинга.

Основное содержимое страницы с новостью.

17 Июня 2026 09:46 17 Июн 2026 09:46 |

Всего 48 минут — среднее время от первичного доступа хакеров в ИТ-периметр до остановки производства. При этом скорость самых быстрых атак — меньше минуты. Без автоматизации реагирования за такой промежуток не успеть даже обнаружить взлом, не говоря уже о блокировке. Руководитель УЦСБ SOC в интервью CNews раскрывает результаты исследования киберразведки, делится кейсами внедрения SOAR и описывает концепцию поэтапного перехода от коммерческого SOC к собственному центру мониторинга.

CNews: Как изменился подход ваших заказчиков к кибербезопасности за последние 2-3 года? Какая мотивация ими движет?

Константин Мушовец: За последние несколько лет подход изменился существенно. Раньше заказчики часто действовали по принципу «купим фаервол — и защищены». Сегодня в компаниях понимают, что любые средства защиты можно обойти. Сюда еще добавляется человеческий фактор, который непременно надо учитывать. Поэтому надо воспринимать систему защиты информации как динамическую систему и, конечно же, быть способным увидеть злоумышленника, если ему все же удалось обойти средства защиты. Главный двигатель — страх не столько самого взлома, сколько его последствий: простой бизнеса, утечка данных, репутационные потери, штрафы регуляторов.

Мотивация стала более прагматичной: хотим реально управлять рисками и иметь объективные доказательства этого для регуляторов, страховщиков, аудиторов и собственников. Заказчикам нужна понятная отчетность и уверенность, что услуга работает. Поставщик услуги должен не просто продавать решение, а обеспечивать результат.

CNews: Какие угрозы и вызовы сейчас преобладают и чем их блокируют?

Константин Мушовец: Команда киберразведки Threat Intelligence УЦСБ SOC как раз недавно подготовила детальный отчет по ландшафту киберугроз в 2025 году и прогнозу на ближайший период. Ключевые результаты мы представили на ЦИПРе.

Основные киберугрозы для бизнеса — компрометация подрядчиков (условно: ты дал доступ исполнителю, отвечающему за техподдержку инфраструктуры, а его взломали) и эксплуатация старых уязвимостей, например, в виде CVE трехлетней давности, патч на который так и не поставили. Это логичное поведение злоумышленника: зачем открывать новый zero-day, когда есть старый проверенный путь.

Блокируют это комплексно: многофакторка, сегментация, EDR/XDR. Но главное — скорость реагирования. Среднее время развития атаки от первичного доступа до целевых операций составляет 48 минут, а самые быстрые примеры происходят быстрее одной минуты. За это время надо не только обнаружить злоумышленника, но и успеть купировать атаку. Без автоматизации это будет сложно сделать. Поэтому мы обращаем внимание не только на мониторинг, но еще и на средства автоматизированного реагирования.

CNews: В вашем отчете указано, что в 2025 году порядка 30% атак на российские компании совершено через подрядчиков. Это пиковые показатели, которые пойдут на спад или такой высокий уровень киберугроз становится неизбежным фоном ведения бизнеса?

Константин Мушовец: Про 30% атак через цепочки поставок — это данные нашей собственной аналитики, дополненные компиляцией открытых исследований других ИБ-компаний. Речь идет о подтвержденных инцидентах, которые мы или наши коллеги зафиксировали и расследовали. Ключевой вывод: это, к сожалению, уже не пик, а устойчивый тренд, который с нами надолго. И в 2026-м он только усилится, потому что количество подрядчиков растет, цифровой периметр размывается, а контроль за их безопасностью у большинства потенциальных хакерских мишеней остается слабым. Привлекательность такого сценария атаки заключается в том, что у подрядной организации есть административный доступ в инфраструктуру жертвы и не надо долго и осторожно развивать вектор от первичного доступа, через повышение привилегий. Злоумышленник сразу появляется в ядре целевой инфраструктуры.

Напомню также два других важнейших вектора: эксплуатация давно известных, но незакрытых уязвимостей (44% приходится на ОС и рабочие станции, среди атакуемых продуктов лидирует Microsoft) и рост активности APT-группировок (+25–30%). В совокупности эти три вектора формируют до 80% всех расследуемых нами инцидентов.

CNews: Какие меры вы рекомендуете для защиты от атак через подрядчиков и эксплуатации уязвимостей? Отзывать все доступы?

Константин Мушовец: Нет, нужно прежде всего автоматизировать и усилить контроль за их выдачей, хранением и актуализацией. Конкретно: многофакторная аутентификация для всех удаленных подключений, сегментация сети, принцип наименьших привилегий. Но главное — вы должны видеть подозрительную активность в реальном времени и реагировать за минуты, а не дни. Для этого необходимо выстроить процесс мониторинга или позвать профессионалов. Надо обеспечить сбор всех необходимых событий безопасности, которые могут являться триггерами присутствия злоумышленника, правильно их интерпретировать и предпринять все необходимые меры, чтобы локализовать и нейтрализовать атаку. Это сложная компиляция процессов и технологий, обогащенная опытом экспертов. В УЦСБ SOC это все есть, в том числе благодаря внедрению SOAR от Security Vision.

Платформа автоматически обогащает инциденты данными из TI, EDR/XDR, SIEM, запускает наши playbooks. Например, если подрядчик через AnyDesk заходит в 3 часа ночи с нового IP, система проверяет по TI параметры подключения на совпадение с IoC известных группировок, отправляет запрос на подтверждение в Telegram заказчика. В среднем время реакции сократилось на 30%. И заказчик видит и управляет ситуацией в своем личном кабинете — прозрачно и оперативно.

CNews: Не уходя далеко от темы Threat Intelligence. Как в УЦСБ SOC решается задача интеграции разнородных систем: SIEM, EDR, тикетирования и той же киберразведки?

Константин Мушовец: Именно SOAR выступает шиной, которая связывает все компоненты. Благодаря гибкости платформы Security Vision, SOAR интегрирована со всеми инструментами SOC, будь то SIEM, EDR/XDR, базы знаний, TIP, ИИ и цифровые ассистенты. Благодаря возможностям оркестрации и автоматизации, можно выстроить различные сценарии обработки этих данных и принятия решений. Учитывая, что организационно работа SOC — это очень сложная структура, без оркестрации тут никак не обойтись.

CNews: Что изменилось в тактике APT-группировок за последний год?

Константин Мушовец: Они активнее используют легальные средства администрирования — PowerShell, AnyDesk — и комбинируют шифрование с кражей данных под угрозой публикации. Выросло число атак на промышленные системы и критическую инфраструктуру. Противостоять этому может только поведенческий анализ в связке с автоматизированным реагированием.

CNews: Каких новых угроз ждать до конца года? И какую роль сыграет ИИ?

Константин Мушовец: При сохранении существующих тенденций будет расти число комбинированных атак — когда DDoS-атака применяется для давления с целью получения выкупа. ИИ позволяет злоумышленникам генерировать адаптивный трафик, имитирующий поведение человека, и обходить классические защиты. Также возрастут риски для промышленного интернета вещей и смарт-датчиков. Они привлекательны для злоумышленника, т.к. их взлом способен остановить производства.

CNews: Построение собственного SOC — дорогая и ресурсоемкая задача. Как компании принимают решение: брать готовый сервис или все-таки строить свой центр?

Константин Мушовец: Запрос на собственный SOC по-прежнему актуален. Но всем уже понятно, что построить свой центр мониторинга с нуля очень сложно и дорого. А значит, важна зрелость бизнеса и реалистичная оценка ресурсов. Многие уже попробовали пойти по этому пути, но не справились и остановились где-то посередине, так и не настроив полноценное реагирование. Процесс часто застревает, например, на стадии покупки и внедрения SIEM.

Оптимальной стратегией для многих становится не бинарный выбор, а поэтапное развитие. У нас есть своя концепция для тех, кто все-таки хочет свой SOC. Это постепенный путь от коммерческого SOC через гибридный SOC к инхаус.

CNews: Эксперты рынка все чаще говорят про тренд на киберстрахование. Вы ощущаете это на себе? Указывают ли заказчики сервисы SOC или строительство собственного центра мониторинга как условие для льготной киберстраховки?

Константин Мушовец: Наличие собственного SOC или расширенного SOC-сопровождения от УЦСБ или других игроков рынка действительно могут служить доказательством зрелости процессов ИБ и снижать риски взломов. Наличие SOC с автоматизированными playbooks, контролем подрядчиков и прозрачным SLA — это весомый аргумент для получения полиса по адекватной ставке. Наша сервисная модель дает клиенту готовую доказательную базу. При наступлении страхового случая для получения компенсации от страховой необходимо будет доказать, что вы предприняли все необходимые меры для защиты от кибератаки. И SOC для этого подходит.

CNews: Каким вы видите развитие УЦСБ SOC в ближайшие пару лет?

Константин Мушовец: Мы продолжим углублять автоматизацию процессов с применением ML и LLM-технологий. Планируем развиваться в направлениях управления уязвимостями и управления ИТ-активами, чтобы сделать процесс контроля ИБ-состояния всеобъемлющим. УЦСБ SOC будет еще глубже интегрирован с заказчиками — не в том смысле, что «мы сидим в их сети», а в том, что «костюм шьется под фигуру». Если заказчику нужно киберстрахование — поможем собрать метрики. Если компании удобнее оставить у себя только первичный уровень реагирования, а сложные расследования отдать нам — пожалуйста. Сервис-ориентированность — это гибкость: мы подстраиваемся под потребности бизнеса и находим решение для любой задачи.

Что касается партнерств — у нас с Security Vision на подходе новый совместный проект, точнее даже, следующая ступень сотрудничества на стыке SOC и безопасной разработки.

Пока сохраним небольшую интригу. Скажу только, что первыми об всем узнают участники конференции о трендах в ИТ и кибербезопасности IT IS conf, организатором которой является УЦСБ. Крупнейшее на Урале ИТ-мероприятие пройдет 19 июня в Екатеринбурге. Конференция готовится в партнерстве с ключевыми вендорами, включая Security Vision. На ней специалисты вместе обсудят актуальные темы ИТ и кибербезопасности, разберут свежие кейсы, выскажутся о проблемах и найдут пути решения. Будет как офлайн-, так и онлайн-формат.

Рекламаerid:2W5zFGKSyMsРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Владимир Зуев, RED Security: Четыре-пять лет назад атаки через подрядчиков были экзотикой, сейчас это насущная проблема0523-06-2026
2В Сбербанке заявили, что на него приходится более половины всех хакерских атак в России0011-09-2019
3Сбербанк за полгода отразил более 60 DDoS-атак0029-07-2020
4Почему подход «купил и забыл» не работает в информационной безопасности0521-05-2026
5Грушко: российские госучреждения и банки подвергаются мощнейшим хакерским атакам0015-11-2018
6Эксперты: число кибератак на банки РФ с целью вывода денег может вырасти вдвое в 2019 году0005-07-2019
7Bi.Zone: кибератаки на промышленность участились в два раза0530-06-2026
8Зампред Сбербанка: кибермошенники начали фокусироваться на малом и среднем бизнесе0011-09-2019
9Positive Technologies: 54% компаний РФ не все знают про свою IT-инфраструктуру0024-04-2025
10Group-IB: активность хакерских атак на банки через SWIFT за год утроилась0009-10-2018

Классификация: Армия и ОПК. Схожих патентов: 0. Схожих новостей: 10. Тональность: 0. Информативность: 7. Источник: www.cnews.ru.