Компания Angara Security проанализировала более 200 реализованных проектов и конкурсных процедур в сфере анализа защищенности за 2022-2023 гг. Основные выводы исследования:
- Около 60% проектов по анализу защищенности реализуется в рамках двух ценовых сегментов: от 500 тыс. рублей до 1 млн рублей (23,7%) и от 1 млн до 2 млн рублей (37%).
- По сравнению с 2022 годом доля проектов в отмеченных ценовых сегментах выросла в среднем на 65%.
- Услуги анализа защищенности наиболее востребованы среди финансовых организаций и страховых компаний (около 40% проектов и конкурсных процедур), телеком- и IT-компаний (28,8%).
В число наиболее востребованных услуг в сфере анализа защищенности вошли такие направления:
Бюджет от 500 тыс. до 1 млн рублей: услуги внешнего и внутреннего пентеста, анализ защищенности веб- и мобильных приложений. Рост числа проектов в этой ценовой категории аналитики Angara Security связывают с запросами на проверку уровня защищенности пользовательских цифровых сервисов и приложений, а также с интересом со стороны компаний малого и среднего бизнеса, IT-разработчиков, которые ранее не уделяли особого внимания информационной безопасности.
Бюджет от 1 млн до 2 млн рублей: чаще всего в эту категорию входят услуги, которые требуют автоматизированного анализа защищенности и экспертного подхода к оценке рисков и управлению уязвимостями. К ним относятся услуги анализа кода, социотехнические исследования, тестирование с помощью инструментов социальной инженерии, мониторинг защищенности внешнего периметра, критических информационных систем.
Рост проектов в этой категории чаще связан с повторными обращениями заказчиков, которые уже имеют опыт проведения пентестов, понимают, какой результат им необходим от такого типа тестирования и повышают требования к экспертизе и опыту команды, организующей оценку защищенности.
— комментирует Андрей Макаренко, руководитель отдела развития бизнеса Angara Security.
Аналитики также отмечают спрос на решения для мониторинга эффективности средств защиты информации на внешнем периметре, поэтому на рынке также востребованы услуги комплексной симуляции кибератак (red team) с проверкой реакции сотрудников внутренних SOC-центров и ИБ-подразделений в филиалах крупных компаний.
Также растет спрос на анализ защищенности в режиме „белого ящика“. Такие пентесты выявляют практически все уязвимости приложений и имеют наибольшую эффективность. При этом предъявляются высокие требования к профессионализму, обучению и сертификации команды исполнителей.
− дополняет Михаил Сухов, руководитель отдела анализа защищенности Angara Security.
Среди перспективных направлений в сфере анализа защищенности аналитики Angara Security также отмечают автоматизацию проверок, которые могут проводиться без привлечения экспертов, а также объединение в комплексные услуги пентестов инструментов OSINT и анализа фишинговых атак, управление поверхностью атаки внешнего периметра, сопоставление актуальных для отрасли техник и атак.