Руководитель SOC Wildberries Игорь Гребенников: как защитить крупнейший маркетплейс России
5 мин
71
3
Окончил МГТУ им. Баумана. С 2010 работал в ИТ-направлении в различных интеграторах, с 2018 перешел в направление информационной безопасности. С 2021 занимаюсь выстраиванием и развитием корпоративных и государственных SOC.
Когда нужен собственный SOC
— Какие задачи SOC решает у вас в компании и как развивается его функционал?
— Сегодня Security Operations Center (SOC) обеспечивает базовый, но критически важный для компании набор сервисов: круглосуточный мониторинг событий информационной безопасности (как внешних, так и внутренних) и оперативное реагирование на инциденты.
На текущем этапе мы сосредоточены не столько на расширении витрины сервисов для внутренних заказчиков, сколько на повышении качества самой услуги: сокращаем время реагирования, автоматизируем рутинные процессы, улучшаем детектирование. Для нас важно не количество функций, а устойчивость и предсказуемость результата.
— Из кого состоит команда? Есть жёсткие критерии отбора специалистов?
— У нас в команде — более 40 специалистов. Это дежурные аналитики L1, команды расследования и реагирования (L2, L3, форензика), эксперты по разработке контента (правил детектирования, парсеров и интеграций источников), инженеры технологического стека и специалисты его сопровождения.
Сформулировать единый набор критериев для такого разнообразия ролей сложно. Главное для нас — профессиональный интерес к безопасности, техническая база и желание развиваться. Мы ищем мотивированных и талантливых специалистов по всей стране и, конечно, готовы инвестировать в их рост внутри команды.
— Чем зрелый SOC отличается от простого мониторинга событий?
— Зрелый SOC — это не просто мониторинг, а способность выявлять угрозы и обеспечивать максимально быстрое реагирование. При этом вопрос, у кого находятся технические полномочия на блокировку или изоляцию: у самого SOC или у смежных команд, зависит от выстроенных процессов. В крупных компаниях избыточная централизация власти не всегда эффективна. Важнее чёткость регламентов и скорость принятия решений.
— А как построено взаимодействие SOC и других подразделений в вашей компании?
— Наш SOC выступает единой точкой входа по всем потенциальным инцидентам информационной безопасности в компании. Это позволяет централизовать обработку сигналов и исключить фрагментацию ответственности.
— Многие компании, когда речь заходит о внедрении SOC, говорят, что они ещё недостаточно зрелые и не интересны злоумышленникам, чтобы инвестировать в это подразделение. Как понять, что необходим внутренний SOC?
— Любая компания с недостаточным уровнем защиты будет интересна злоумышленникам. Иногда мотивация банальна: взломать и «оставить автограф». Разумеется, отдельное подразделение нужно не всем, особенно небольшим организациям. При зрелых процессах мониторинг и реагирование могут выполнять ИТ- или ИБ-команды. Но если объём задач по мониторингу, реагированию, доработке контента и подключению источников начинает конкурировать с основными обязанностями сотрудников, то это сигнал задуматься о создании SOC, в том числе в сервисной модели.
Важно честно оценить, действительно ли команда системно занимается мониторингом и реагированием, а не делает это по остаточному принципу.
— Как компании понять, что её SOC развивается в правильном направлении?
— Если говорить упрощённо, то эффективность SOC можно свести к двум ключевым метрикам: покрытие и время реагирования. Рост покрытия и сокращение времени реакции — базовый индикатор правильного развития. Дальнейшая детализация зависит от профиля компании, бюджета и стратегических целей, которые ставились при создании SOC.
Чем полезен и бесполезен ИИ
— Какие технические решения использует ваша команда? Почему именно они?
— SOC Wildberries полностью построен на доработанных под наши нужды open source-решениях. Их много, и для подробного описания всего стека понадобилась бы большая статья для вашего издания. Но почему бы и нет?
Выбор обусловлен двумя факторами. Во-первых, масштаб инфраструктуры: при наших объёмах использование коммерческих решений приводит к экспоненциальному росту затрат. Во-вторых, объёмы логирования: далеко не все коммерческие продукты на рынке способны стабильно обрабатывать такие потоки данных.
— Какие категории инструментов безопасности, по вашему мнению, сегодня переоценены или недооценены в России?
— Всё зависит от контекста сегмента и задач компании: для каждого профиля актуален свой набор средств защиты. Если говорить именно про SOC, то я бы отметил недооценённость honeypot-решений. Это факт: даже неидеально развёрнутые ловушки способны замедлить продвижение злоумышленника внутри инфраструктуры. А дополнительное время, как известно, один из самых ценных ресурсов для реагирования.
— По вашим оценкам, насколько ИИ эффективен для защиты?
— Сегодня он наиболее эффективен как инструмент автоматизации рутинных процессов и дополнительный слой анализа. Попытки заменить им экспертные решения часто приводят к тому, что временные и финансовые затраты оказываются несоразмерны полученному эффекту. Пока, считаю, это вспомогательный инструмент, а не самостоятельная защита.
— Какие в таком случае задачи имеет смысл автоматизировать, а где зона ответственности остаётся за аналитиками L2/L3?
— Автоматизация должна брать на себя максимум типовых операций: блокировки, отзыв прав, обогащение логов и корреляцию данных. Это позволяет аналитикам L2/L3 сосредоточиться на главном — анализе, принятии решений и нестандартных расследованиях, где критично экспертное мышление.
— Какие инциденты требуют от SOC быстрых и самостоятельных решений в условиях атак с использованием ИИ?
— Любой SOC, даже на базовом уровне зрелости, должен иметь чёткую систему критичности инцидентов и выстраивать скорость реакции, исходя из неё. В целом большинство инцидентов ИБ требуют оперативных и самостоятельных решений. Использование злоумышленниками ИИ или автоматизации не меняет этого принципа — меняются лишь масштаб и скорость атак, но не требования к реакции.
— Какие тактики используют злоумышленники для атак на маркетплейсы? С чем чаще всего сталкивается ваша компания?
— С точки зрения инфраструктурных атак маркетплейсы не отличаются от других крупных компаний — используются те же базовые техники и приёмы. При этом специфика отрасли — это атаки на пользователей платформы: покупателей и продавцов. Чаще всего это фишинговые кампании и различные сценарии социальной инженерии.
— Отмечаете ли вы увеличение числа атак и их интенсивность в 2025 году по сравнению с 2024-м? Как начался для компании в этом плане 2026-й?
— Статистика за 2024 год для нас не совсем показательна: в этот период мы существенно перестраивали концепцию мониторинга. В 2026 году пока не наблюдаем качественных отличий от 2025-го. Также не фиксируем значимых изменений по интенсивности или характеру атак.
— Для многих в приоритете — защита от кибератак. Но не меньше ресурсов нужно на восстановление систем после инцидентов. Какие рекомендации вы можете дать по подготовке к кибератакам, чтобы восстановление прошло эффективно?
— Чем раньше обнаружен злоумышленник, тем меньше масштаб последствий. Если говорить практично, то необходимы резервные копии и проработанные DRP-планы для всех критичных сервисов. И важно хранить их изолированно от основной инфраструктуры. Без этого даже сильный SOC не спасёт от долгого восстановления.
— Как ваша команда борется с выгоранием?
— Универсального рецепта здесь не существует. В одних случаях помогает смена задач или роли, в других — полноценный отдых и перезагрузка. Считаю, что ключевая задача руководителя — вовремя заметить признаки выгорания. Дальше решение всегда индивидуальное: кому-то важно снизить нагрузку, кому-то — наоборот, получить новый вызов.
Как будет развиваться кибербез
— Как изменилось отношение бизнеса к кибербезопасности за последние пару лет?
— Бизнес всегда понимал ценность защиты данных — как собственных, так и клиентских. Резонансные инциденты последних лет лишь усилили это понимание и сделали инвестиции в безопасность более осознанными и системными.
— С какими системными проблемами сегодня чаще всего сталкиваются SOC в России? Как вы решаете их?
— Существует две ключевые проблемы: дефицит серверных мощностей и кадров. С инфраструктурной частью работаем через внедрение систем долгосрочного хранения и оптимизацию обработки данных. Кадровый вопрос решаем за счёт стажировок, сотрудничества с вузами (среди них, например, МФТИ, МГТУ им. Н.Э. Баумана, НИТУ МИСИС и другие, всего их более 60) и развития собственных специалистов внутри команды.
— Как, по вашему мнению, будет развиваться ИБ-рынок в России в 2026 году? Какие основные факторы на него будут влиять?
— Конкуренция в ключевых сегментах — СКЗИ, NGFW, SIEM, EDR, коммерческие SOC — продолжит расти. Всё больше компаний приходят к выводу, что собственные разработки и внутренняя экспертиза зачастую оказываются эффективнее, чем внедрение внешних решений. Это, полагаю, будет одним из главных факторов развития рынка в 2026 году.
