В кластере «Ломоносов» 14–15 апреля 2026 года состоялся Форум ГосСОПКА — первая официальная площадка для обмена опытом и обсуждения основных вопросов функционирования ГосСОПКА, обнаружения атак, предупреждения и расследования инцидентов.

По просьбе BIS Journal директор Департамента мониторинга кибербезопасности Security Vision Николай Гончаров ответил на несколько вопросов по тематике мероприятия. Эксперт рассказал, как обмен данными помогает раньше замечать атаки, и назвал самые распространённые ошибки в автоматизации мониторинга. Также он обозначил три критерия, по которым можно определить зрелость процессов обнаружения, предупреждения и расследования инцидентов в организации.

Организатор Форума ГосСОПКА — Национальный координационный центр по компьютерным инцидентам (НКЦКИ), оператор — Медиа Группа «Авангард». В центре программы — практические вопросы деятельности центров ГосСОПКА и взаимодействия участников системы. Представители НКЦКИ и государственных ведомств, руководители ИБ-подразделений и специалисты по мониторингу инцидентов крупнейших российских корпораций и предприятий (промышленность, финансы, связь, транспорт, строительная отрасль и ЖКХ) обсудили реальные сценарии атак, методы их обнаружения, реагирования и расследования инцидентов, а также развитие взаимодействия в рамках ГосСОПКА.

— Какое значение сегодня имеет взаимодействие в рамках ГосСОПКА?

— Сегодня взаимодействие в рамках ГосСОПКА становится ключевым элементом национальной системы кибербезопасности и формирует основу коллективной защиты. Зачастую отдельная организация может увидеть лишь фрагмент атаки, тогда как обмен информацией о киберинцидентах, индикаторах компрометации и актуальных тактиках злоумышленников позволяет участникам такого обмена быстрее распознавать угрозы, выявлять атаки и эффективнее реагировать на них ещё на ранних стадиях.

Тематика Форума ГосСОПКА особенно актуальна из-за роста числа целевых атак на государственные и корпоративные инфраструктуры, а также усложнения используемых злоумышленниками инструментов.

В этих условиях критически важны координация между участниками системы, развитие центров мониторинга кибербезопасности и формирование единой практики реагирования на кибератаки.

— Какие темы Форума ГосСОПКА вы считаете наиболее актуальными?

— Сегодня, в условиях растущей цифровой инфраструктуры, активного и массового развития цифровых сервисов и технологий, атаки становятся более многоэтапными и скрытными. Злоумышленники могут долго оставаться незамеченными, использовать легитимные инструменты администрирования и зачастую действовать через цепочки подрядчиков или внешние доступные сервисы организации.

Ключевым аспектом является эффективное обнаружение и реагирование на сложные целевые атаки в этих современных реалиях. В такой ситуации первостепенным становится не только наличие средств защиты у конкретной организации, но и качество самого мониторинга и корреляции событий информационной безопасности, а также оперативного обмена информацией внутри отрасли.

Даже при самом современном техническом оснащении главным фактором остаётся способность команды быстро связать разрозненные сигналы атаки, понять её контекст и принять грамотное и взвешенное решение по реагированию. Именно в этом проходит граница между успешной защитой и серьёзным инцидентом.

— Какие ошибки чаще всего допускаются при попытках перейти от базового мониторинга к продвинутому? Какие простые шаги по оркестровке и автоматизации (SOAR) дают максимальный выигрыш для скорости реакции и качества расследований?

— Аналитик не должен вручную собирать данные по хосту, пользователю, критичности актива, истории событий, из баз данных управления конфигурациями (CMDB), активного каталога (AD) и других источников. Поэтому необходимо максимально автоматизировать первичное обогащение инцидентов контекстом. Система должна сама в автоматическом режиме показывать всю необходимую информацию (в режиме одного окна). Следующим шагом необходимо автоматизировать типовые сценарии реагирования.

На практике автоматизация хорошо работает только там, где сам процесс уже понятен и описан. Поэтому следует стандартизировать все внутренние процессы, описать плейбуки и правила эскалации. За счёт этого сокращается время на первичный анализ, снижается нагрузка на первую линию, увеличивает скорость реакции и качество анализа.

— По каким трём техническим параметрам следует оценивать зрелость организации в построении процессов мониторинга, предупреждения и расследования инцидентов?

— Зрелость организаций нужно оценивать не по количеству подключенных средств защиты и не по числу алертов, а по параметрам, которые показывают, насколько организация умеет быстро и качественно выявлять потенциальные инциденты с минимальным процентом ложноположительных срабатываний, а также насколько хорошо и эффективно у неё выстроены процессы по реагированию, расследованию и устранений последствий. 

На это в первую очередь влияет скорость адаптации процессов детектирования к новой угрозе. Главное не количество используемых в SIEM правил, а их качество и способность организации быстро превратить новую информацию об угрозе в рабочий механизм обнаружения.

К следующему параметру можно отнести полноту и пригодность собираемой телеметрии для расследования. На практике важно не то, сколько источников формально заведено в SIEM, а то, насколько получаемой с них телеметрии реально хватает для подтверждения инцидента, оценки масштаба и восстановления цепочки событий.

Если ограничиваться тремя параметрами, то в качестве заключительного отмечу зрелость всей системы как единого механизма, позволяющего выявлять значимую долю подтверждённых инцидентов за счёт собственной аналитики, поведенческих отклонений, аномалий, корреляции событий и результатов предыдущих расследований, а не только за счёт стандартных правил корреляции и индикаторов компрометации и прочих внешних сведений.

— В чём заключается главная ценность Форума ГосСОПКА для участников?

— Форум особенно ценен тем, что объединяет экспертов и специалистов отрасли на одной площадке. Это даёт возможность комплексно рассмотреть вопросы, связанные как с техническими, так и с регуляторными аспектами, а также обменяться практическим опытом при разборе реальных инцидентов, новых техник атак и подходов к защите.

Такие мероприятия позволяют синхронизировать взгляды на безопасность инфраструктуры, наметить векторы развития инструментов мониторинга и наладить прямые рабочие контакты между организациями, что приносит ощутимую пользу всем представителям профессионального сообщества.

Форум ГосСОПКА объединил свыше 1500 сотрудников НКЦКИ, представителей заинтересованных органов государственной власти, специалистов аккредитованных центров ГосСОПКА, руководителей ИБ-подразделений предприятий из разных секторов экономики, а также вендоров и интеграторов систем мониторинга и реагирования на компьютерные инциденты. Ознакомиться с программой и материалами мероприятия можно на сайте.