Прицельный БРОSOC: IT-компании объединились для реагирования на киберинциденты

Брак, заключенный в облаках

Участники рынка информбезопасности и облачные провайдеры (среди них — VolgaBlob, Nubes, «Перспективный мониторинг») объединились для создания услуги быстро реализуемого (или преднастроенного) облачного SOC (БРОSOC), рассказали Forbes в компании VolgaBlob, по чьей инициативе она запускается. В отличие от классических SOC, требующих до шести-семи месяцев подготовки и интеграции, БРОSOC представляет собой готовый к работе продукт из апробированных модулей, который запускается за месяц, указывают там. В Nubes подтвердили участие в проекте.

SOC — центр круглосуточного мониторинга, который обнаруживает атаки на ранних стадиях и служит центральным звеном кибербезопасности организации. Его эксперты непрерывно собирают все события в инфраструктуре, выявляют подозрительную активность и оперативно реагируют на инциденты. Это позволяет предотвратить развитие угрозы в серьезный инцидент.

«Мы ведем переговоры еще с несколькими игроками, которые пока не готовы к публичности. Это большой проект, который изменит правила игры на ИБ-рынке, — рассчитывает генеральный директор VolgaBlob Александр Скакунов. — [Остальные пока] Осторожничают». По его словам, в I квартале 2026 года в планах расширение до нескольких десятков партнеров. «Ценник будет зафиксирован и установлен единый для всех партнеров — сейчас обсуждаются между игроками рынка точные рамки. Предварительно планируется снизить цену от среднерыночной за аналогичный сервис примерно на 16%. Это будет способствовать тому, что рынок придет к единой системе «мер и весов».

Как поясняют участники партнерства, рост кибератак и ужесточение нормативных требований создают острую потребность в быстром развертывании комплексных средств кибербезопасности. Для объектов критической информационной инфраструктуры (КИИ) это важно не только с точки зрения защиты, но и для соответствия требованиям закона 187-ФЗ. Государство ввело для них обязательные уведомления о киберинцидентах в федеральный центр противодействия киберугроз и штрафы до 1 млн рублей.

КИИ — объекты (системы, сети и базы данных), от функционирования которых зависит безопасность государства, национальная экономика и благосостояние граждан. К таковым, в частности, относятся сети операторов связи, банковская, транспортная, энергетическая и транспортная инфраструктура, системы здравоохранения, водоснабжения и водоотведения.

С 1 марта 2026 года вступает в силу приказ ФСТЭК №117, ужесточающий требования к мониторингу ИБ в государственных и частных компаниях, работающих с государственными информационными системами и данными, указывает Скакунов. «Мониторинг теперь должен охватывать полный цикл событий по ГОСТ 59547-2021 — сбор, анализ, корреляцию событий и выявление аномалий, а также сопровождаться ежегодным отчетом во ФСТЭК. Кроме того, мониторинг становится обязательным элементом взаимодействия с ГосСОПКА (государственная система предупреждения, обнаружения и ликвидации последствий компьютерных атак ФСБ), и обеспечить централизованную защиту нужно оперативно, несмотря на ограниченный бюджет отечественных игроков», — объясняет он предпосылки появления БРОSOC.

Как это работает

Услугу оказывают интеграторы — поставщики услуг безопасности (MSSP, Managed Security Service Provider), поясняет Скакунов модель. Помогают им партнеры, работающие по модели «ресурсный центр» — они предоставляют сотрудников с необходимыми навыками, продолжает он: «Совместными усилиями они разворачивают SOC в российских облаках с использованием российского ПО для мониторинга и управления данными (+ облачный провайдер и поставщик ПО). Получается профильная группа, ассоциация, которая стандартизирует процесс на уровне всех участников».

Основная идея проекта — именно в стандартизации качества услуги и модели лицензирования или ценообразования на уровне всех участников, рассуждает Александр Скакунов об экономике для конечного пользователя. «Модель лицензирования в отличие от традиционной на рынке Events Per Second (EPS) предполагает оплату за определенный объем обрабатываемых данных. В результате если технический порог входа по модели EPS — это около 9,5 Тб в год, то по новой модели — от 4 Тб в год (экономия — 57%). Модель предполагает возможность работы с историческими данными, а не только с «новопоступающими». Данные остаются в полном распоряжении клиента, чего обычно не предоставляют традиционные SOC. Та их часть, которую по тем или иным причинам клиент предпочитает оставить у себя, может храниться у него и учитываться в схеме (гибридное хранение), заключает Скакунов.

Что за компания VolgaBlob

VolgaBlob изначально была партнером американской Splunk до ее ухода с российского рынка в 2019 году и специализировалась на внедрении и доработке ее аналитической платформы, рассказывает гендиректор Security Vision Руслан Рахметов. Далее VolgaBlob создала собственное решение Smart Monitor для анализа и обработки данных — первые версии продукта строились на базе Elastic Stack (набор инструментов с открытым исходным кодом), но после того, как Elastic изменил тип лицензии, решение перешло на открытую платформу поиска и анализа данных OpenSearch от Amazon Web Services.

Сегодня платформу Smart Monitor можно применять для мониторинга IT-инфраструктуры, анализа бизнес-процессов и контроля операционной эффективности, а выделенный модуль кибербезопасности позволяет собирать данные из различных средств защиты и коррелировать их между собой, т.е. реализует функционал SIEM (система управления событиями ИБ), продолжает Рахметов. Среди партнеров компании — такие игроки, как Bi.Zone, «Код Безопасности», «Перспективный мониторинг» (входит в ГК «ИнфоТеКС»), «Технологии киберугроз» (бренд «РСТ Клауд»). Около года назад новым партнером VolgaBlob стал Nubes, в облачной инфраструктуре которого стало возможным развернуть Smart Monitor.

По данным базы Rusprofile, выручка ООО «Волгаблоб» в 2024 году выросла на 59%, до 514 млн рублей, чистая прибыль — на 62%, до 316 млн рублей. 51% ООО принадлежит Дмитрию Быкову, 49% — Александру Скакунову.

Объем сегмента коммерческих SOC-центров составляет примерно 10–15% от общего рынка ИБ, который в 2024 году, по оценке Центра стратегических разработок, составил около 314 млрд рублей. 

Отечественный рынок MSSP (Managed Security Service Provider), которым делегируется управление средствами защиты информации, превысил по итогам 2024-го 26 млрд рублей и в этом году может вырасти почти на четверть, до 32,1 млрд рублей, рассказывали ранее Forbes в iKS-Consulting. Аналитики прогнозируют, что этот сегмент рынка кибербезопасности удвоится к 2028 году до 54 млрд рублей благодаря таким факторам, как цифровизация, рост числа и сложности кибератак, использование облачных технологий, дефицит кадров и экспертизы.

«Неясные перспективы»

83% корпораций считают SOC ответом на рост и усложнение киберугроз, так как в него входят сразу три базовых элемента для эффективной защиты: технологический стек, команда специалистов и налаженные ИБ-процессы, приводит директор по развитию бизнеса в «К2 Кибербезопасность» Андрей Заикин данные совместного исследования его компании и «Лаборатории Касперского». Создать собственный Центр мониторинга кибербезопасности могут позволить себе немногие из-за больших сроков и бюджета внедрения, а также нехватки квалифицированных кадров, размышляет он. «Поэтому большинство компаний (64%) доверяют SOC сторонним ИБ-интеграторам: используют SOC по MSSP-модели (полный аутсорс услуг) и по гибридной, когда средства защиты приобретает заказчик, а услуги по мониторингу предоставляет интегратор.

В целом же эксперты осторожны в оценках нового сервиса. «Демпинговать у БРОSOC вряд ли получится. Так, стоимость услуг уже действующих коммерческих SOC-центров варьируется от 1–2 млн рублей в год для небольших компаний с базовыми запросами и невысоким показателем EPS (число событий безопасности в секунду, стандартная метрика для SIEM, зависит от размеров инфраструктуры) до нескольких десятков миллионов рублей в год для крупных заказчиков, которым требуется персонализация и дополнительные услуги — такие как аудит защищенности, глубокое расследование инцидентов и форензика, проактивный поиск киберугроз и т.д.», — делится наблюдениями Руслан Рахметов.

По мнению директора по развитию сервисного портфеля ГК «Солар» Дмитрия Иванова, модель франшизы для интеграторов и облачные SOC обсуждаются и прорабатываются участниками рынка давно (в основном непублично) — еще с 2020 года, «но пока размер рынка и перспективы непонятны». До сих пор экономика таких проектов не «сходилась», предостерегает он, добавляя, что на Западе такие проекты существуют и развиваются уже много лет: «Впрочем, и культура применения аутсорсинга, в том числе в ИБ, там зародилась раньше, чем у нас».

В ближайшее время и в России подобные модели SOC получат свое развитие, уверен Иванов. Этому, по его словам, способствует стремительное развитие технологий, в частности возможности максимальной автоматизации с помощью AI позволяют значительно удешевить услуги SOC и стандартизировать весь процесс для более легкого и быстрого масштабирования. «Ключевой вопрос: как грамотно реализовать разделение зон ответственности, чтобы в случае реальной атаки не получить эффект «горячей картошки», при котором каждый партнер будет стремиться снять с себя ответственность. И это только внутри ИБ, не забываем также о возможных спорных моментах на стыке IT и ИБ», — напоминает эксперт.

По мнению Руслана Рахметова, выход VolgaBlob на рынок коммерческих облачных SOC-центров обоснован актуальностью киберзащиты большого числа компаний, которые не могут позволить единоразовое приобретение защитных решений, а также классическими преимуществами подписочной модели: возможность быстрого подключения заказчиков на мониторинг, масштабирование по требованию, централизация экспертизы, прогнозируемые затраты. «У формата SOC-as-a-Service (центр мониторинга как услуга) есть и минусы: при многовекторной кибератаке на компанию канал связи с облачным провайдером может быть нарушен с помощью DDoS, дата-центры даже самого надежного поставщика могут быть атакованы и потерять сетевую связность, и остается вопрос к хранению чувствительных данных в облаке», — считает Рахметов.

Однако рост рынка коммерческих SOC-центров за последние годы демонстрирует популярность такого предложения, и для закрепления в этом сегменте новому игроку в лице БРОSOC придется предложить клиентам «что-то действительно уникальное», полагает Рахметов.