Рынок кибербезопасности остается одной из наиболее динамично развивающихся высокотехнологичных отраслей российской экономики. Санкции, введенные против России, стали катализатором для его роста. Отечественные вендоры активно замещают продукцию ушедших с российского рынка поставщиков из недружественных стран, одновременно расширяя линейку предложений.

Российский рынок ИБ развивается под действием двух определяющих факторов: драматического роста числа кибератак и активного вмешательства государства в регулирование отрасли, направленного на повышение безопасности ключевых инфраструктурных объектов. По данным исследования Positive Technologies, в 2023 году количество кибератак на государственные органы и бизнес России выросло на 12,5%.

Количество инцидентов за 2022–2023 годы
Количество кибератак на государственные органы и бизнес России выросло на
12,5%
Распределение жертв кибератак по отраслям в России в 2023 году, %

Самыми желанными объектами для атак киберпреступников остаются госучреждения, компании из промышленной и финансовой сферы. 20% пострадавших от действий киберпреступников входят в рейтинг крупнейших компаний России по объему реализации продукции RAEX‑600 за 2022 год.

Отечественный рынок ИБ успешно справляется с вызовами, возникшими из‑за обострения геополитической напряженности. Так, фонд «Центр стратегических разработок» (ЦСР) улучшил свой прогноз развития российского рынка ИБ. По результатам 2022 года его объем оценивается ЦСР в 193,3 млрд руб. (+4% к результатам 2021 года), в то время как в 2022 году прогнозировалось падение рынка на 10%.

Отечественные вендоры ИБ в 2022 году заняли около 70% российского рынка (в 2021 году — ​61%). ЦСР прогнозирует, что основная часть той доли рынка, которая освободилась после ухода поставщиков ИБ из недружественных стран (порядка 60 млрд руб.), будет освоена российскими игроками в течение ближайших двух лет, а лидерами рынка с заметным отрывом будут «Лаборатория Касперского» и Positive Technologies.

250
млрд рублей — объем рынка кибербезопасности в России по оценке Центра стратегических разработок (ЦСР)
Доли вендоров средств защиты информации на рынке по результатам 2022 года, %

Прогноз: ускорение роста

С 2023 года ЦСР ожидает повышения темпов роста российского рынка ИБ до 31%. При этом если в 2021 году на отечественных разработчиков приходилось порядка 60% рынка, то к 2027 году и, вероятно, даже ранее они займут долю 95% в деньгах заказчика.

ЦСР прогнозирует рост объема рынка за 2022–2027 годы в районе 24% CAGR. К 2027 году объем рынка составит 559 млрд руб., а доля российских вендоров — ​531 млрд руб.

Институт изучения мировых рынков (ИИМР) также отмечает, что российские компании постепенно мигрируют на отечественное ПО. Этому способствуют появление предложений от российских вендоров во всех востребованных технологических нишах, усилия регуляторов и потеря доверия к западным вендорам.

По данным опроса 120 крупных и средних организаций — ​заказчиков ПО в сфере ИБ, проведенного ИИМР в феврале — ​июне 2023 года, две трети компаний планируют провести миграцию на продукты российских вендоров ИБ к 1 января 2025 года, и доля отечественного ПО в этих компаниях составит 80% или выше. Оценка поставщиков (ИИМР также опросил 26 компаний — ​вендоров ИБ) немного консервативнее: почти половина разработчиков ПО ожидают, что к 1 января 2025 года доля отечественных решений на российском рынке ИБ будет превышать 80%, а 17% вендоров ожидают, что к 2025 году отечественные решения будут полностью доминировать на российском рынке.

На сегодняшний день предложения российских разработчиков не способны полностью удовлетворить весь спектр запросов заказчиков в сфере ИБ, но ситуация постепенно меняется. Отечественные вендоры активно инвестируют в разработку новых продуктов. В ближайшие два года, по оценке ИИМР, рынок кибербезопасности по всем ключевым направлениям будет обеспечен предложением со стороны российских производителей.

Хотя российский рынок для отечественных вендоров продолжает играть главную роль, опрос ИИМР указывает на то, что они увеличивают свое присутствие в других странах. Все больше российских вендоров всерьез рассматривают для себя международную экспансию, в первую очередь в дружественные страны. По мнению экспертов, параллельно идут два процесса: увеличение доли в странах ближнего зарубежья и сокращение присутствия на рынках государств, которые ввели санкции против Российской Федерации.

Глобальные тренды в ИБ

Мировой рынок продуктов и услуг в сфере ИБ также динамично растет. По оценке аналитической платформы Statista, объем мирового рынка кибербезопасности увеличился с 83,32 млрд долл. США в 2016 году до примерно 166 млрд долл. США в 2023 году.

Statista прогнозирует, что выручка компаний — вендоров кибербезопасности в 2024 году достигнет 183,10 млрд долл. США. При этом ожидаемый годовой темп роста выручки (CAGR 2024–2028) составит 10,56%, а к 2028 году объем мирового рынка ИБ достигнет 273,60 млрд долл. США.

Важным фактором роста рынка кибербезопасности будет увеличение проникновения интернета, а облачная безопасность будет наиболее динамично развивающимся сегментом рынка ИБ. Рост рынка будет сопровождаться повышением значимости ИБ для бизнеса: если раньше кибербезопасность было принято считать задачей ИТ‑отдела, то теперь она становится важной частью стратегического планирования компаний.

Консалтинговая компания Mordor Intelligence приводит сходные оценки: если в 2023 году мировой объем рынка кибербезопасности оценивается в 182,86 млрд долл. США, то к 2028 году, как ожидается, он достигнет 314,28 млрд долл. США, увеличиваясь в среднем на 11,44% ежегодно. При этом важной проблемой для рынка остается нехватка квалифицированного персонала по кибербезопасности, особенно в Европе, Азиатско‑Тихоокеанском регионе, Латинской Америке и на Ближнем Востоке.

Технологические тренды 2023 года и прогнозы на 2024 год

Облака и экосистемы становятся неизбежностью

В современном мире происходит переход к гибридным облакам, которые объединяют в себе частные и публичные облачные сервисы. И это уже не тренд, а необходимость. Поэтому важно адаптироваться к работе в облачных и контейнерных средах, оптимизировав ИТ‑решения и продукты для защиты данных.

Сегодняшний день отмечен стремлением к созданию экосистемных решений в области ИБ, основанных на продуктах одного вендора, что упрощает интеграцию, управление и повышает эффективность защиты.

Роль больших языковых моделей (LLM) и машинного обучения (ML)

Большие языковые модели и машинное обучение считаются ключевыми направлениями, которые радикально изменят ИТ‑ и ИБ‑индустрии. Технологии ML и LLM могут заменить рутинную работу, выполняемую операторами центров реагирования на инциденты (SOC), и существенно увеличить скорость и эффективность реакции на угрозы. Внедрение этих технологий в процессы кибербезопасности позволит достичь нового уровня защиты, сократить вероятность ошибок и повысить оперативность реагирования. В разрабатываемом нами автопилоте для результативной кибербезопасности — ​MaxPatrol О2 — ​эти технологии тоже неизбежно появятся.

Перспективы и вызовы

Перспективы использования ML в области кибербезопасности огромны, хотя доверие к роботам пока что ниже, чем к человеку. Основная задача на данный момент — ​разработка методов обучения машин высокоуровневой экспертизе, до сих пор являющейся прерогативой человека.

Компании стремятся создать средства и инструменты для обучения своих языковых моделей, способных работать со сложными экспертными данными, что станет ключом к новому технологическому перевороту в индустрии.

Огромные массивы уникальной и постоянно обновляемой базы знаний в области кибербезопасности у нас есть. Сейчас мы озабочены тем, чтобы создать среду и инструментарии, которые помогут нам обучать собственные языковые модели для работы с более сложными экспертными данными. Одним из первых этапов такой работы стало создание собственного data lake.

ML помогает обеспечивать результативную кибербезопасность

Наша команда тоже активно работает с технологиями ML, адаптируя их под свои продукты с прицелом на результат. Так, в 2023 году в PT Sandbox был внедрен модуль поведенческого анализа, в MaxPatrol SIEM — ​модуль поведенческой аналитики BAD, а в интересах MaxPatrol VM реализовано ранжирование популярности CVE на основе ML. В Positive Technologies активно исследуют генеративные неиронные сети и экспериментируют с большими языковыми моделями с открытым исходным кодом. Это помогает оптимизировать рабочие процессы и проводить исследования с использованием передовых технологий, не подвергая при этом конфиденциальную информацию угрозам.

Замена западного ПО на отечественное ускоряет развитие Application Security

С 2022 года западные вендоры уходят из России, что вызывает необходимость оперативной замены их ПО на отечественные аналоги. Данная ситуация стимулирует волну новых разработок в области кибербезопасности, имеющих различные уровни качества. Появление новых компаний и продуктов происходит на фоне постоянных кибератак, что делает учет киберрисков на этапе создания продукта критически важным.

Кибербезопасность с нуля — ​ключевой тренд

При разработке новых продуктов, особенно в критически важных областях, сразу учитываются требования по кибербезопасности. Это подразумевает внедрение внедрения безопасной разработки и использования специализированных средств для защиты веб‑приложений в реальном времени.

Инфраструктура будущего и ее защита

Контейнеры как инфраструктура будущего

Контейнеры и Kubernetes представляют собой гибкую и адаптивную инфраструктуру, объединяющую приложения и традиционную инфраструктуру. Традиционные методы защиты неэффективны для такой инфраструктуры, требуя нового подхода к безопасности, включая специализированные решения для защиты контейнеров.

Container Security и интеграция с SIEM

Решения класса Container Security становятся основой для обеспечения безопасности инфраструктуры нового типа. Они могут интегрироваться с системами SIEM, упрощая и оптимизируя мониторинг безопасности.

Будущее за контейнерами

От 1 до 4% инфраструктуры крупных российских компаний сегодня работает в контейнерах, и со временем эта доля будет увеличиваться. При этом технологии защиты контейнеров только начинают обретать популярность.

В IV квартале 2023 года линейка Positive Technologies пополнилась PT Container Security, а также обновленной версией межсетевого экрана уровня приложений (PT Application Firewall PRO).

Выпуск на рынок эффективных облачных технологий

Рынок облачной кибербезопасности в России в последние полтора года схлопнулся: зарубежные вендоры, оказывавшие услуги такого типа, ушли, а те, кто остался, в массе своей не обеспечивают кибербезопасность со значимым результатом. Поэтому создание эффективных облачных технологий Application Security — ​одна из ключевых задач, которую видит для себя Positive Technologies. В 2023 году был выпущен первый и наиболее актуальный продукт в этом направлении — ​PT Cloud Application Firewall, а в ближайший год‑полтора линейка cloud‑продуктов дополнится всеми технологиями защиты приложении, такими как анализ кода, защита контейнеров, динамический анализ и т. д.

Данные как тренд для атаки и защиты

Ценность данных и тренд на data lake

Данные продолжают быть главной целью для хакеров, что подтверждается регулярными сообщениями об утечках. Организации стремятся к созданию общих хранилищ данных (data lake) для эффективной автоматизации бизнес‑процессов, в том числе под влиянием государственных инициатив и сотрудничества в рамках отраслевых консорциумов.

Вызовы в защите данных и направления разработки

Безопасность данных остается нерешенной задачей, особенно в контексте big data, где текущие решения не учитывают специфику и взаимосвязи между данными. Рынок нуждается в решениях, способных проводить интеллектуальную инвентаризацию и классификацию данных, определяя их критичность и векторы потенциальных атак. Positive Technologies сосредоточена на разработке такого инструмента в 2024 году, который бы интегрировался в Application Security и обеспечивал защиту наиболее критических данных.

Межсетевой экран нового поколения (NGFW) и новые технологические ниши

Разработка PT NGFW и обнаружение новых технологических ниш

В 2023 году разработка PT NGFW вышла на стадию представления рынку ранних версий продукта. В процессе разработки были обнаружены побочные технологические ниши, которые стали приоритетом для дальнейшей разработки.

Генератор трафика и Network Access Control

Одно из направлений — ​разработка генератора трафика для тестирования систем на скорость, что полезно не только для PT NGFW, но и PT Network Attack Discovery и в принципе любой системе, задача которой — ​анализировать трафик. Второе направление связано с созданием технологий Network Access Control (NAC), что отражает стремление Компании закрыть обнаруженные ниши.

Кадровый голод и переориентация специалистов

Развитие продуктов в экосистеме NGFW ограничивается кадровым дефицитом, вызванным сменой специализации разработчиков на более востребованные и оплачиваемые языки программирования.

Positive Technologies как вендор поставила для себя задачу на ближайшее время решить вопрос кадрового голода в области низкоуровневых языков (типа С++), либо выращивая с нуля, либо переквалифицируя людей с использования облегченного Golang.

Безопасность операционных систем

Безопасность ОС — это краеугольный камень, на котором строится безопасность всей информационной системы. С учетом того что с каждым годом прикладное ПО становится все сложнее и разнообразнее, усложняется и задача по обеспечению безопасности и изоляции приложений со стороны ОС. Поэтому не ослабевает поток исследований и инноваций в мире безопасности ОС.

Развитие интеграции ОС с аппаратными механизмами безопасности

Например, компания Google выпустила смартфон Pixel 8 на собственном чипе, в котором присутствует аппаратная поддержка технологии ARM Memory Tagging Extension (MTE). Помимо этого, в ядре Linux до логической точки были доведены работы по поддержке аппаратных средств контроля потока управления (Control‑Flow Integrity, CFI) для платформ x86_64 и ARM. Все это существенно повышает для атакующего сложность эксплуатации уязвимостей в ядре ОС.

Применение идеи bug bounty в разработке открытых ОС

Для исследователей безопасности ядра Linux проводится конкурс kCTF. В отличие от программ вознаграждения за уязвимости в проприетарных продуктах, в результате kCTF публикуется огромное количество материалов по эксплуатации уязвимостей в ядре Linux. Это привело к впечатляющему скачку в развитии средств самозащиты ядра.

Увеличение разницы в уровне безопасности ОС в мировой ИТ‑экосистеме

Лидеры индустрии все больше увеличивают отрыв, в то время как множество производителей продолжают использовать устаревшие версии ПО и даже не исправляют известные уязвимости. И этот тренд будет усиливаться в будущем.

Пожалуй, худший пример — ​это IoT‑устройства: производители часто устанавливают на них безнадежно устаревшие версии операционных систем. С другой стороны, это означает, что у специалистов по ИБ будет все так же много работы.

Безопасность блокчейн‑проектов

В 2023 году блокчейн‑проекты продолжили оставаться в центре внимания киберпреступников — ​было украдено криптовалюты на сумму более 1 млрд долл. США. При этом основной ущерб пришелся на III квартал: потери составили 686 млн долл. США. Наихудшим месяцем стал сентябрь: из‑за различных эксплойтов, взломов и многочисленных фактов мошенничества злоумышленники похитили 332 млн долл. США.

Злоумышленники активно совершенствовали методы атак. Среди новшеств — ​техника EtherHiding, позволяющая скрывать вредоносные сценарии в блокчейне Binance Smart Chain. Вред от таких атак достигает многомиллионных сумм с основным ущербом в виде прямых финансовых потерь.

Примеры крупных атак включают потерю части активов блокчейн‑платформы Mixin Network на сумму 200 млн долл. США и похищение криптовалюты с платформы Multichain на 125 млн долл. США. Кроме того, в 2023 году продолжились кибератаки на криптовалютные банкоматы: так, ущерб от атаки на компанию GENERAL BYTES составил не менее 1,58 млн долл. США.

Высокий риск атак связан с несколькими факторами:

  • недостаточный контроль за безопасностью web3‑кошельков — ​использование seed‑фраз и паролей, закрытых ключами EOA, часто приводит к их компрометации;
  • спешка в запуске новых проектов — ​желание быстро окупить инвестиции ведет к снижению качества кода;
  • открытость кода — ​концепция open source позволяет хакерам изучать кодовые базы для создания эксплойтов.

В ответ на угрозы отдел безопасности распределенных систем Positive Technologies исследует DeFi‑проекты, методы экспертизы смарт‑контрактов и не‑EVM‑блокчеины.

Среди последних работ отдела безопасности распределенных систем Positive Technologies стоит отметить анализ безопасности DeFi‑проектов, исследование методов проверки безопасности смарт‑контрактов (методы ручного аудита, формальная верификация, применение инструментов SAST) и исследования не‑EVM‑блокчеинов, востребованных в корпоративном секторе.

Несмотря на угрозы и вызовы безопасности, стоящие перед блокчеин‑индустриеи, она продолжит развиваться в 2024 году. Основными драйверами роста станут развитие технологии ZKP, расширение применения в сфере идентификации, рост инвестиций и расходов на инновации в этой сфере, применение в промышленности и IoT.