По данным исследования ГК «Солар», 22% крупных компаний считают ключевой ценностью комплексный подход к кибербезопасности — объединение технологий и сервисов в единую логику. 18% респондентов связывают комплексность с интеграцией различных механизмов защиты, а 17% — с охватом инфраструктуры, бизнес-процессов и сотрудников. В рамках SOC Forum 2025 поговорили со Светланой Савельевой, директором портфеля продуктов сетевой безопасности «Солара», о том, как развивается концепция экосистемной кибербезопасности для крупного, среднего и малого бизнеса.
— Стабильность и высокая доступность бизнес-систем — это ключевая цель для большинства современных организаций. Как единая экосистема безопасности помогает достичь этих целей?
В сфере информационной безопасности ключевыми показателями действительно являются стабильность и доступность работы инфраструктуры. Экосистема безопасности позволяет достигать этих целей благодаря тому, что ее элементы — защита оборудования, сетевого периметра, рабочих мест и данных — функционируют по общей логике и не разрываются на отдельные, несогласованные решения. Это единая архитектура, где каждый компонент дополняет другие и поддерживает непрерывность процессов.
Ключевой принцип такой модели — это бесшовное взаимодействие. Когда средства защиты обмениваются телеметрией и управляются централизованно, значительно сокращается время реакции на инциденты и появляется возможность видеть полную картину в реальном времени. Это позволяет заранее применять отработанные сценарии реагирования, уменьшает операционную сложность и снижает вероятность сбоев.
В итоге бизнес получает устойчивые сервисы и высокую доступность критически важных систем, что особенно важно в условиях постоянно растущих требований к непрерывности работы.
— Понимаю. Но как вы убеждаете компании отказаться от точечных решений и «латания дыр»? Какие аргументы срабатывают лучше − цифры, кейсы, примеры конкурентов?
Самым убедительным аргументом для большинства клиентов, как показывает практика, остается экономия. Абстрактные метрики часто не дают представления о реальном эффекте, тогда как подробный финансовый расчет гораздо нагляднее. На этом фоне важно подчеркнуть, расходы на безопасность — это не просто затраты, а инвестиции, направленные на повышение доступности сервисов и сокращение времени реакции на инциденты.
Кроме того, значимую роль играют требования регуляторов, которые ориентируются не на локальные меры, а на комплексный подход к кибербезопасности. Точечные решения уже не соответствуют текущему ландшафту киберугроз, поэтому важно проектировать именно архитектуру кибербезопасности, а не отдельные ее элементы.
— Согласен. Вопрос: как выстроить экосистему безопасности в условиях, когда ИТ-инфраструктура компании представляет собой нечто вроде археологических раскопок: легаси-системы, облака и микросервисы?
Ключевая проблема таких компаний связана не столько с разнородностью решений, сколько с отсутствием четкого понимания того, как эти решения должны взаимодействовать друг с другом. Устаревшее оборудование действительно представляет собой вызов, но, если сетевая инфраструктура функционирует и понятно, как она устроена, можно избежать чрезмерно жестких вмешательств.
В таких случаях особенно важна роль архитектора комплексной безопасности. Это специалист, который помогает наладить взаимодействие между разными системами и сформировать последовательный план их интеграции и модернизации. Принцип «работает — не трогай» в современной безопасности больше не применим: важно не ломать существующие элементы, а внедрять новые решения так, чтобы они эффективно взаимодействовали с действующими компонентами.
— Что чаще всего мешает компаниям выстроить единую систему безопасности: старое «железо», отсутствие регламентов, человеческий фактор или нежелание что-то менять?
Это комплексная задача для любой компании. Создать инфраструктуру «с нуля» удается только в идеальных условиях. На практике же компании сталкиваются с ограниченными инвестициями, а драйверами изменений чаще становятся последствия ИБ-инцидентов или требования регуляторов.
Второй аспект этой проблемы — недооценка кибербезопасности в малом и среднем бизнесе. С одной стороны, на них не распространяется столь серьезное регуляторное давление, как на крупный бизнес, КИИ и госсектор, поэтому формальных оснований для инвестиций в ИБ меньше. С другой, в силу невысокого уровня защищенности они становятся легкой мишенью для киберпреступников.
Около 80% компаний МСБ регулярно сталкиваются с киберугрозами, сопоставимыми с теми, что наблюдаются у крупных организаций. Как следствие, регулярно растет доля хакерских атак через подрядчиков: по данным Центра исследования киберугроз Solar 4RAYS, к ноябрю 2025 года она выросла до 35%.
При этом ситуация постепенно меняется. Проблема низкой цифровой зрелости партнеров все чаще обсуждается на отраслевых форумах. Более того, сами компании формируют дополнительные требования к подрядчикам с точки зрения кибербезопасности, мотивируя их повышать уровень защиты.
Например, 60% крупных компаний среди ключевых критериев при выборе партнеров называют минимизацию рисков, 56% — способность быстро реагировать на ИБ-инциденты, а 49% — подтвержденный уровень информационной безопасности, квалификацию ИБ-специалистов.
— Расскажите, в каких сценариях NGFW (Next-Generation Firewall) становится частью экосистемы безопасности, а не просто «умной коробкой на периметре»?
Решения класса NGFW становятся важной частью комплексной системы и обеспечивают передачу телеметрии в систему мониторинга наряду с другими ИБ-технологиями. Злоумышленники редко ограничиваются одной точкой воздействия — они используют несколько уязвимостей одновременно.
Когда данные с межсетевого экрана включаются в общую аналитику и сопоставляются в реальном времени с событиями рабочих мест, систем контроля доступа и решениями по защите данных, проявляется истинная ценность NGFW. Его показатели становятся информативными и позволяют выявлять сложные многоэтапные атаки.
— Что должен собирать NGFW для того, чтобы экосистема безопасности реально помогала понимать, что происходит в сети?
Например, важная функция любого решения класса NGFW — передача телеметрии с устройств: данных об их работоспособности, доступности и уровне нагрузки, поскольку каждая сеть имеет свои особенности и объем трафика. В нашем продукте Solar NGFW мы также предоставляем статистику потоков данных, информацию о предотвращенных инцидентах, сведения о текущем трафике и актуальности сигнатур. Эти данные критически важны для аналитики: они позволяют оценить эффективность защиты — были ли угрозы обнаружены, какого уровня они были и насколько свежими оказались используемые сигнатуры. Кроме того, мы передаем информацию об аномальной активности и состоянии механизмов защиты.
Вся эта информация необходима для аналитики, мониторинга и корреляции рисков, связанных с различными ИБ-системами и бизнес-процессами.
— Готовы ли современные решения к тому, чтобы передавать события в аналитические системы, включать машинное обучение, автоматически реагировать?
Да, передача телеметрии и событий в аналитические системы становится стандартным требованием, и современные решения безопасности, включая сетевой уровень, поддерживают такую интеграцию через API. Это позволяет объединять данные из разных компонентов защиты, использовать существующие инструменты мониторинга и автоматизировать первичную реакцию на инциденты.
Машинное обучение (ML) уже применяется там, где оно усиливает защитные механизмы и соответствует требованиям регуляторов. Сегодня ML используют для анализа угроз, актуализации сигнатур и выявления аномалий, а также корреляции событий и поведенческого анализа. Более сложные подходы к обработке сетевого трафика находятся в разработке и позволят выявлять нетипичные и многоэтапные сценарии атак.
Помимо ML-алгоритмов, развивается и другое направление — генеративные модели, включая большие языковые модели (LLM). Они не используются в составе сетевых средств защиты, таких как NGFW, поскольку эти классы продуктов требуют полностью предсказуемой и проверяемой логики работы, проходящей сертификацию. Но в смежных задачах безопасности LLM уже оказываются полезны: помогают анализировать большие массивы телеметрии, формировать гипотезы, ускорять работу инженеров и повышать качество интерпретации событий.
— Можно ли выстроить экосистему безопасности малым и средним предприятиям, где ИТ-отдел — это два человека и один из них в отпуске?
С точки зрения комплексного подхода к кибербезопасности малый и средний бизнес при грамотной организации действительно обладают большей свободой. Наибольшим спросом у таких компаний пользуются защита веб-ресурсов и сетевая безопасность. Для них ключевым фактором при выборе решения становится подписочная модель, онлайн-доступ и отсутствие необходимости в донастройке у вендора.
Экосистемный подход идеально отвечает этим ожиданиям: он предлагает единую логику управления и единый центр мониторинга для всех компонентов защиты. В этой модели поставщик берет на себя ответственность за достижение ключевых показателей и обеспечение защиты, что позволяет компаниям сосредоточиться на своем бизнесе, не отвлекаясь на сложные ИБ-вопросы.
Беседовал: Иван Лященко