Журнал "Information Security/ Информационная безопасность" #1, 2026

Станислав Гончаров, F6 За последние годы атаки вне перимет- ра стали не только более автоматизиро- ванными, но и распределенными по мно- жеству каналов и сценариев. Если рань- ше фишинг был привязан к отдельным сайтам или рассылкам, то сегодня зло- умышленники выстраивают цепочки взаи- модействия с пользователем – от рекла- мы и соцсетей до мессенджеров и мобильных приложений. Выросла роль одноразовых и динамически генерируе- мых ссылок, которые быстро исчезают или меняются после использования, что делает ручное обнаружение практически невозможным и требует перехода к пове- денческому и паттерн-анализу. Константин Мельников, Infosecurity Атаки вне периметра сместились от массовых, слабо контролируемых кампа- ний к более точечным и управляемым сценариям. Злоумышленники все чаще действуют вручную, адаптируя атаку под конкретную цель. Причины – в снижении рентабельности массовых атак, по-преж- нему низком уровне киберграмотности пользователей и широком распростране- нии инструментов на базе ИИ. Александр Вураско, Solar AURA Значительно выросла автоматизация всех процессов атаки, что позволило злоумышленникам экономить время и способствовало снижению требований к квалификации атакующих. Дмитрий Кирюшкин, BI.ZONE Атаки вне периметра стали не такими массовыми, но более персонализиро- ванными. Среди ключевых изменений можно выделить: использование в атаках ИИ и доверенных платформ (фишинг через вполне легитимные каналы), атаки через подрядчиков, переход к PhaaS, изменение каналов распространения (отход от типичного фишинга в почте к фишингу через мессенджеры). Дмитрий Кирюшкин, BI.ZONE Лучший вариант – это когда есть отдельная команда DRP, которая посто- янно взаимодействует с соседними отде- лами, в том числе с SOC, TI, антифро- дом, Mail Security, PR и др. Например, в SOC и решения класса Security Aware- ness DRP может передавать информа- цию о скомпрометированных учетных записях и о зараженных устройствах пользователей. Компания может также получать информацию о негативных вбросах, которые выявили в открытом доступе и на теневых ресурсах. Александр Вураско, Solar AURA DRP – это сервис, работающий на стыке. При этом данные из него могут переда- ваться и в SOC в виде фидов. В целом же DRP – это самодостаточное решение. Некоторые направления, такие как борьба с фишингом, могут работать вообще без участия сотрудников заказчика. Константин Мельников, Infosecurity Оптимальная модель – самостоятель- ная функция с собственной командой и инструментарием. При избыточной зави- симости от других сервисов DRP рискует утратить свою специфику и превратиться во вспомогательный инструмент, что снижает его ценность. При этом резуль- таты DRP и киберразведки должны быть интегрированы в общую экосистему без- опасности. Станислав Гончаров, F6 Модель внедрения DRP во многом зависит от зрелости ИБ и организа- ционной структуры компании: функции могут находиться как в зоне ответствен- ности ИБ, так и распределяться между маркетингом, юридическими подразде- лениями и антифродом, особенно когда речь идет о защите бренда и внешних цифровых активов. При этом все чаще формируются отдельные команды или направления, отвечающие за управле- ние цифровыми рисками. Ключевым элементом становится контроль белого списка ресурсов – определение, вали- дация и поддержание актуальности леги- тимных доменов и каналов. На практике компании предпочитают опираться на спе- циализированные DRP-решения, посколь- ку собственными силами решать обсуж- даемые задачи крайне сложно. Станислав Гончаров, F6 Зрелость DRP оценивается не столько количеством инцидентов, сколько спо- собностью управлять всей экосистемой цифровой защиты бренда. Ключевые метрики – полнота покрытия (обнаруже- ние связанных ресурсов и кампаний), скорость выявления и реагирования, доля предотвращенного ущерба и сни- жение повторных атак. Константин Мельников, Infosecurity Зрелость DRP целесообразно оцени- вать не только через технические мет- рики, но и через бизнес-показатели: экономическую эффективность (через модель экономики угроз); способность выявлять новые и нетипичные векторы атак; вклад в решение бизнес-задач (снижение мошенничества, защита брен- да, предотвращение утечек); гибкость сервиса и глубину кастомизации под специфику компании. Александр Вураско, Solar AURA В DRP есть свои метрики: время обна- ружения, время оповещения, время реа- гирования (где это применимо). Главная задача DRP – оперативно обнаружить признаки возможной угрозы и максималь- но быстро оповестить заказчика. Акцент делается на постоянный мониторинг инфо- пространства и анализ событий. Дмитрий Кирюшкин, BI.ZONE Для оценки DRP целесообразно использовать следующие метрики: Как за последние несколь- ко лет изменилась логика атак вне периметра? Как должна быть встроена функция DRP в архитекту- ру безопасности? Какие показатели позво- ляют объективно оценить зрелость DRP? 34 • СПЕЦПРОЕКТ От защиты сети к защите бренда ще несколько лет назад инцидентом считалось то, что происходит внутри инфраструкту- ры. Сегодня многие атаки вообще ее не затрагивают, а разворачиваются вокруг бренда и клиентов. Мы обсудили с экспертами, как меняется понимание этих угроз и роль Digital Risk Protection. Е Александр Вураско, директор по развитию Solar AURA Станислав Гончаров, руководитель департамента F6 Digital Risk Protection Дмитрий Кирюшкин, руководитель BI.ZONE Digital Risk Protection Константин Мельников, руководитель департамента специальных сервисов Infosecurity (“Софтлайн Решения”, ГК Softline)