DRP: как защитить компанию от внешних цифровых рисков

Как выбрать DRP-сервис для защиты от внешних угроз

Как выбрать DRP-сервис для защиты от внешних угроз

Цифровые риски, возникающие за пределами корпоративного периметра, становятся одним из ключевых вызовов для служб информационной безопасности. Эксперты рассказали о современных подходах к мониторингу таких угроз, критериях выбора DRP-решений и практических шагах по их внедрению.

 

 

 

 

 

 

  1. 1. Введение
  2. 2. Ландшафт угроз: почему DRP становится обязательным
  3. 3. Цифровые риски: о чём стоит задуматься
  4. 4. Источники угроз: открытый интернет, даркнет и мессенджеры
  5. 5. DRP, TI, EASM и Brand Protection: как не запутаться в терминах
  6. 6. Блиц: на что обращать внимание при выборе сервиса
  7. 7. Интеграции: зачем они нужны и как работают
  8. 8. Прогнозы: куда движется рынок DRP
  9. 9. Выводы

Введение

Digital Risk Protection (DRP) — это не просто модный термин, а насущная необходимость для любой компании, у которой есть сайт, бренд или сотрудники. В то время как традиционные решения (DLP, NGFW, SIEM) защищают внутренний периметр, DRP выступает в роли радара за его пределами, отслеживая угрозы в открытом интернете, даркнете и мессенджерах. Главная задача DRP — обнаружить угрозу на ранней стадии, когда её устранение стоит минимальных ресурсов, и перевести внешний сигнал в понятный бизнес-риск.

 

Рисунок 1. Эксперты в студии AM Live

Эксперты в студии AM Live

 

Участники эфира:

  • Станислав Гончаров, бизнес-руководитель департамента защиты от цифровых рисков, Эфшесть/F6.
  • Дмитрий Кирюшкин, руководитель BI.ZONE Digital Risk Protection, BI.ZONE.
  • Александр Вураско, директор по развитию центра мониторинга внешних цифровых угроз Solar AURA, ГК «Солар».
  • Вадим Соловьев, руководитель департамента прогнозирования атак, Positive Technologies.

Ведущий и модератор эфира — Илья Шабанов, генеральный директор «АМ Медиа».

 

 

Ландшафт угроз: почему DRP становится обязательным

Илья Шабанов провёл параллель между DRP и концепцией раннего обнаружения. По его словам, задача DRP — видеть риски и реагировать на них на ранней стадии, чтобы предотвратить серьёзный ущерб и тратить меньше ресурсов на защиту. Он сравнил этот подход с практикой shift left в DevSecOps, когда вопросы безопасности закладываются как можно раньше, а не в тот момент, когда угроза уже приблизилась вплотную.

Александр Вураско предложил аналогию с замком: организация — это крепость с защищённым периметром. Можно выстроить стены и организовать жизнь внутри, но замок никогда не будет изолирован от внешнего мира. DRP позволяет понять, что происходит за его пределами. Он назвал DRP глазами и ушами за пределами защищённого периметра, дополненными элементами реагирования.

Станислав Гончаров привёл статистику: количество фишинговых и скам-атак выросло более чем на 60 % по сравнению с 2024 годом. Злоумышленники активно мигрируют в международные доменные зоны, и доля таких угроз уже достигает 40–60 %, тогда как раньше преобладали атаки в зоне .ru.

Компании ретейла начали создавать собственные департаменты защиты от цифровых рисков, используя OSINT и самописные краулеры. При этом на рынке уже существуют готовые технологические решения, и изобретать их самостоятельно больше не требуется.

Угрозы выходят за рамки классического фишинга: злоумышленники мимикрируют под сотрудников, создают аккаунты в соцсетях с использованием чужого бренда, что квалифицируется как абьюз и неправомерное использование. Он подчеркнул, что интерес рынка к DRP очевиден, а главное — изменились глубина и ширина этого рынка.

 

Станислав Гончаров, бизнес-руководитель департамента защиты от цифровых рисков, Эфшесть/F6

Станислав Гончаров, бизнес-руководитель департамента защиты от цифровых рисков, Эфшесть/F6

 

Вадим Соловьев подтвердил, что у заказчиков сформировался запрос на мониторинг внешнего контура. Компании выстроили защиту периметра, но теперь сталкиваются с тем, что атаки всё чаще приходят с неожиданных сторон, и требуется рассеивать «туман войны» вокруг него. Запрос трансформируется: заказчики хотят понимать, как найденная информация может быть использована против них.

Дмитрий Кирюшкин отметил, что исторически основным заказчиком DRP был финансовый сектор. Однако сейчас злоумышленники смещают фокус фишинговых атак с банков на маркетплейсы и ретейл, где получают доступ к формам оплаты и в итоге всё равно похищают средства банков и их клиентов. Он подчеркнул, что сегодня сложно найти отрасль, не затронутую злоумышленниками. Для банков фишинг остаётся ключевой угрозой, но становится менее очевидным, так как атаки маскируются под другие площадки.

В первом опросе выяснилось, какие внешние цифровые риски зрители считают наиболее актуальными (мультивыбор):

  • Утечки данных и учётных записей — 68 %.
  • Фишинговые сайты и домены-клоны — 47 %.
  • Продажа доступов к инфраструктуре компании — 37 %.
  • Информационные атаки на бренд и первых лиц — 37 %.
  • Поддельные аккаунты, приложения и ресурсы от имени бренда — 32 %.
  • Пока не отслеживают такие риски — 32 %.
  • Обсуждение компании и её сотрудников в дарквебе и Telegram — 26 %.

 

Рисунок 2. Какие внешние цифровые риски наиболее актуальны для вашей компании?

Какие внешние цифровые риски наиболее актуальны для вашей компании?

 

Цифровые риски: о чём стоит задуматься

Илья Шабанов предложил обсудить, какие цифровые риски, помимо очевидных (мониторинга бренда и фишинговых сайтов), стоит взять на контроль. Он отметил, что многие компании ограничиваются базовыми сценариями, упуская менее заметные, но при этом не менее опасные угрозы.

По мнению Ильи, утечки баз данных клиентов и сотрудников должны входить в число приоритетных рисков. Он пояснил, что такие базы становятся основой для таргетированного фишинга: злоумышленники знают должности сотрудников и могут выстраивать более убедительные атаки, а также использовать эти данные для атак через социальные сети.

 

Илья Шабанов, генеральный директор «АМ Медиа»

Илья Шабанов, генеральный директор «АМ Медиа»

 

Александр Вураско обратил внимание на риски, связанные с информацией о готовящихся атаках из законспирированных источников. Работа с косвенными утечками данных и анализ логов со стиллеров — это элементы, без которых построение современной системы ИБ уже невозможно. Он подчеркнул, что хотя эти угрозы обсуждают редко, для крупных компаний они являются критически важными.

Дмитрий Кирюшкин акцентировал, что для каждой отрасли и размера компании существуют свои болевые точки. Например, для банков наиболее актуальны фишинговые атаки, для промышленных добывающих компаний — поддельные счета на оплату, а для операторов сотовой связи — мобильные пробивы. Компании не всегда осознают наличие у себя таких проблем, им стоит протестировать профильные решения, чтобы увидеть свою компанию глазами злоумышленников.

Станислав Гончаров поддержал коллегу, добавив, что критичность угроз сильно зависит от сегмента бизнеса. Он предупредил о недооценке рисков, связанных с доменами: крупные компании имеют множество бизнес-активов, лендингов и страниц, которые часто забывают пролонгировать. В результате злоумышленники получают возможность перехватывать эти домены. DRP-сервисы помогают контролировать сроки окончания доменов и управлять белым списком, предотвращая ситуации, когда потеря домена рушит часть бизнеса.

Вадим Соловьев заявил, что многие компании осознают только очевидные для себя риски, но не видят угроз в плоскости подрядчиков, контрагентов и дочерних структур. Компрометация связанных организаций может открыть злоумышленникам доступ к целевой компании без дополнительных усилий. Это требует предиктивного подхода — мониторинга не только себя, но и своего окружения.

Также Соловьев отметил важность мониторинга доменов для предотвращения атак с использованием социальной инженерии: злоумышленники могут копировать домены партнёров, чтобы скомпрометировать их, а затем через них добраться до компании. Осознание того, что риски простираются гораздо дальше собственной зоны ответственности, приходит к заказчикам всё чаще.

 

Вадим Соловьев, руководитель департамента прогнозирования атак, Positive Technologies

Вадим Соловьев, руководитель департамента прогнозирования атак, Positive Technologies

 

Источники угроз: открытый интернет, даркнет и мессенджеры

Александр Вураско: «В последние годы я не выделяю Telegram в отдельный домен, он идёт вместе с даркнетом. Активности сильно пересекаются. Классический даркнет сдал позиции, очень большая доля активности переместилась в Telegram».

Дмитрий Кирюшкин: «Злоумышленники начинают искать альтернативу Telegram, потому что там тоже начинают блокировать каналы. В этом году закрывали крупные теневые площадки, и из onion-сетей все мигрировали в Telegram, а сейчас ищут, куда ещё можно мигрировать».

Александр Вураско: «Главный плюс Telegram в контексте криминального бизнеса — это его доступность. На onion-площадку нужно ещё попасть, искать мосты. В Telegram всё предельно просто: любой человек зашёл — и всё».

Станислав Гончаров: «Важный источник — социальные сети. Не всегда там размещается сама мошенническая схема, но её продвижение и реклама происходят именно там. Также маркетплейсы, где может появляться цифровой продукт компании через неофициальные каналы».

DRP, TI, EASM и Brand Protection: как не запутаться в терминах

Дмитрий Кирюшкин объяснил различия между классами решений. DRP охватывает внешние угрозы для компании — фишинговые сайты, скомпрометированные учётные данные, публичные файлы, которые должны были оставаться приватными. EASM (External Attack Surface Management) занимается сканированием периметра и выявлением открытых портов и уязвимостей. TI (Threat Intelligence) предоставляет информацию о киберпреступных группировках, их целях и используемых методах атак. Эти решения близки по смыслу, но максимальная эффективность достигается при их совместном использовании.

 

Рисунок 3. Управление внешним ландшафтом киберугроз

Управление внешним ландшафтом киберугроз

 

Станислав Гончаров продолжил аллегорию с замком. Он описал EASM как стражника, который ищет дыры в заборе и сигнализирует о них. TI — это разведчик, изучающий банды и их вооружение. А DRP — это шпион, который исследует соседние деревни и трактиры, выясняя, не выдают ли себя за короля самозванцы и не продают ли ключи от ворот.

Александр Вураско обратил внимание, что у разных вендоров исторически сложились собственные подходы к продуктам, поэтому функции часто перемешиваются. В некоторых случаях DRP разбит на несколько отдельных продуктов — например, выявление фишинга и реагирование на него могут быть разделены. Он предупредил, что в такой терминологии легко запутаться и единого стандарта на рынке нет.

 

Александр Вураско, директор по развитию центра мониторинга внешних цифровых угроз Solar AURA, ГК «Солар»

Александр Вураско, директор по развитию центра мониторинга внешних цифровых угроз Solar AURA, ГК «Солар»

 

Станислав Гончаров также затронул класс Brand Protection. Это отдельное направление: в нём меньше технологий и больше физических методов воздействия — например, контрольные закупки и проверка кассовых аппаратов. Этот класс востребован в первую очередь юридическими департаментами и маркетингом. Эксперт отметил, что сейчас его компания практически не пересекается с решениями класса Brand Protection в диалоге с клиентами.

Вадим Соловьев предложил дополнить схему четвёртым элементом. Он обратил внимание на атаки через поставщиков и контрагентов, которые набирают популярность. Заказчики всё чаще спрашивают, как именно будет развиваться атака и где находятся точки входа. Здесь возникает четвёртый круг — TPRM-решения (управление рисками третьих сторон) и продукты для скоринга поставщиков.

Во втором опросе зрители поделились, как у них в компании организован мониторинг внешних цифровых рисков:

  • Мониторят своими силами — 42 %.
  • Пока не занимаются этим — 25 %.
  • Используют специализированный DRP-сервис — 21 %.
  • Закрывают задачу через внешний SOC / TI / MDR — 6 %.
  • Узнают о проблемах из обращений клиентов и партнёров — 6 %.

 

Рисунок 4. Как у вас в компании организован мониторинг внешних цифровых рисков?

Как у вас в компании организован мониторинг внешних цифровых рисков?

 

Блиц: на что обращать внимание при выборе сервиса

Вадим Соловьев: «Важный вопрос, на который нужно ориентироваться при выборе DRP-сервиса, — это то, что DRP-сервис не видит. Когда вы выбираете, смотрите различные баттл-карты, плюсы и минусы, источники, задавайте себе вопрос: на какой бизнес-запрос вам не ответит этот сервис».

Александр Вураско: «Любой DRP-сервис — это не просто софт, это ещё и команда специалистов. Заказчик получает данные, которые уже были собраны: часть автоматизирована, часть вручную проанализирована, к ним добавлены выводы. При выборе нужно учитывать, требуется ли реагирование, какой ландшафт угроз и может ли DRP-сервис их перекрыть».

Дмитрий Кирюшкин: «Три блока: технологии, люди и охват. Про технологии — у всех похожие решения, но результат будет отличаться. Про людей — уровень сервиса и экспертизы. Кроме как попробовать напрямую, другой рекомендации нет. Про охват — что вообще находит сервис, можно ли смотреть не только за собой, но и за цепочкой поставок».

Станислав Гончаров: «Самое важное — компетентность и экспертиза вендора, подтверждённая соглашениями, например, с регуляторами. Важна команда, которая стоит за продуктом. DRP снимает с вас головную боль: вы получаете результаты и отчётность. Важна прозрачность интерфейса и возможность трекинга: на каком этапе находится реагирование».

В третьем опросе зрители назвали главные критерии выбора DRP-сервиса:

  • Полнота и качество источников данных — 33 %.
  • Точность приоритизации и уровень ложных срабатываний — 20 %.
  • Скорость обнаружения и уведомления о рисках — 13 %.
  • Стоимость — 13 %.
  • Экспертиза и отраслевой опыт аналитиков — 8 %.
  • Интеграции с другими системами ИБ — 7 %.
  • Возможность реагирования и блокировок — 6 %.

 

Рисунок 5. Что главное при выборе сервиса DRP?

Что главное при выборе сервиса DRP?

 

Интеграции: зачем они нужны и как работают

Дмитрий Кирюшкин рассказал про техническую сторону интеграций. Он отметил, что API есть практически у всех вендоров на рынке, что открывает возможность интеграции с различными системами. Полезно использовать информацию из DRP-сервисов в SOC и SIEM.

В идеальном сценарии, если у компании используются решения класса SOC и DRP от разных вендоров, они должны «подружиться» и обмениваться данными для взаимного обогащения. Заказчику не нужно погружаться в этот процесс — он должен быть настроен автоматически, чтобы результат достигался без участия человека.

Многие вендоры не хотят загружать внешние события во внутреннюю SIEM, однако техническая возможность для этого существует. Можно загружать информацию об утечках учётных записей, фишинговых сайтах и других угрозах для передачи аналитикам следующего уровня.

 

Дмитрий Кирюшкин, руководитель BI.ZONE Digital Risk Protection, BI.ZONE

Дмитрий Кирюшкин, руководитель BI.ZONE Digital Risk Protection, BI.ZONE

 

Станислав Гончаров уточнил, что можно не только передавать информацию наружу, но и получать на вход массивы URL-адресов для проверки, является ли страница опасной. Такие инструменты полезны для SOC. Пути поставки могут различаться. Руководитель SOC может закупить ограниченный DRP только для проверки URL-адресов. Юристу интеграция не требуется — он может обращаться только за реагированием. А CISO может закупить полноценный DRP и выстроить взаимодействие между вендором и другими подразделениями через service desk.

Илья Шабанов уточнил, что это означает наличие разных тарифов — можно приобрести не весь сервис целиком, а отдельные модули под конкретную задачу. Например, если отделу нужна только функция обнаружения сайтов-клонов или мониторинг индикаторов компрометации в даркнете и Telegram.

В рамках четвёртого опроса зрители ответили, что мешает им внедрять и развивать применение DRP в своей организации:

  • Сложно оценить качество данных и сервиса — 37 %.
  • Неочевидная ценность для бизнеса — 21 %.
  • Не хватает людей и экспертизы — 12 %.
  • Нет бюджета — 11 %.
  • Ничего не мешает, уже активно используют — 10 %.
  • Нет владельца процесса — 9 %.

 

Рисунок 6. Что мешает вам внедрять и развивать применение DRP в своей организации?

Что мешает вам внедрять и развивать применение DRP в своей организации?

 

Прогнозы: куда движется рынок DRP

Станислав Гончаров: «Мы запускаем версию DRP Light для руководителей SOC-центров, для юристов, для СМБ. Меняем конфигурацию поставки. Это охватит ту часть рынка, которая ранее не пользовалась DRP из-за ограниченного бюджета или избыточности продукта».

Дмитрий Кирюшкин: «Первое, куда будет двигаться рынок, — это искусственный интеллект. Он помогает решать задачи быстрее и дешевле. Раньше надо было тысячи сообщений анализировать вручную, сейчас можно по кнопке собрать общую картину. Второе — увеличение скоупа, фокус мониторинга на подрядчиках и партнёрах».

Александр Вураско: «Тенденция к необходимости мониторить подрядчиков прослеживается чётко. Запросы приходят постоянно. Мы развиваемся в сторону автоматизации всех процессов. Злоумышленники прекрасно автоматизируют всё — от регистрации фишинговых доменов до многоэтапных атак. Если мы этого не делаем, мы просто отстанем. Мы развиваем концепцию и механизмы лайт-версии сервиса для тех, кому обычный не подходит по разным причинам».

Вадим Соловьев: «Следующий шаг — переход от мониторинга к прогнозированию. Мониторинг — это зеркало заднего вида. Можно ехать, смотря в него, когда дорога ровная. Прогнозирование — это фары, которые позволяют смотреть вперёд. С текущей скоростью событий мы уже не можем ехать, ориентируясь только на зеркало».

Финальный опрос показал, планируют ли зрители внедрять или усиливать применение DRP после эфира:

  • Планируют запуск новых проектов — 42 %.
  • Будут усиливать текущее внедрение — 38 %.
  • Считают, что это не нужно — 14 %.
  • Возможно, но пока это не приоритет — 6 %.

 

Рисунок 7. Планируете ли вы внедрять или усиливать применение DRP после эфира?

Планируете ли вы внедрять или усиливать применение DRP после эфира?

 

Выводы

Digital Risk Protection перестал быть нишевым продуктом для крупных корпораций. Рост числа атак, усложнение ландшафта угроз и миграция злоумышленников в мессенджеры делают мониторинг внешнего контура обязательным элементом кибербезопасности. Компании, которые полагаются только на внутренние средства защиты, рискуют не только деньгами, но и репутацией, так как атаки всё чаще нацелены на их клиентов через цепочку поставок и брендовые подделки.

Успех внедрения DRP лежит не в плоскости технологий, а в способности переводить технические сигналы на язык бизнес-рисков. Современные вендоры предлагают не просто инструмент мониторинга, а комплексную услугу с реагированием (take down) и аналитикой, позволяющую получить результат без расширения штата.

Будущее — за прогнозированием и автоматизацией: ИИ поможет не только обнаруживать угрозы, но и предсказывать их развитие. Адаптивность и готовность смотреть за пределы своего периметра станут ключевыми факторами в условиях цифровой конкуренции, которая уже идёт, в том числе в закрытых Telegram-каналах.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!

Полезные ссылки: