— Какие угрозы сейчас представляют наибольшую опасность и какие отрасли самые уязвимые?

— По угрозам в целом мы видим статистику, которая не меняется из года в год. Атакующим проще начать с фишинга — с писем, которые содержат вредоносные файлы: злоумышленники делают веерную рассылку в надежде, что какой-то пользователь откроет письмо, и у них появится возможность проникнуть в периметр компании через интернет. Этот вектор используется, когда на конкретную организацию проводится целевая атака. Пишутся письма, например, якобы от сотрудника службы ИТ пользователю: "Пройди по ссылке, предоставь такой-то доступ", или в бухгалтерию приходят письма с "отчетностью" и с новостями об "изменениях в законодательстве". Сотрудники видят, что это профильная для них информация, и могут открыть вложение. В последнее время для фишинга злоумышленники часто используют искусственный интеллект. Он помогает быстрее подготовить текст писем и найти эмоциональные зацепки, чтобы человек среагировал.

Второй по популярности вектор атаки — это эксплуатация уязвимостей веб-приложений. Почти у всех бизнес-приложений есть веб-интерфейс. Часто для удобства удаленных сотрудников он доступен из интернета. Злоумышленники могут проэксплуатировать уязвимость в веб-версии приложения, обойти механизм аутентификации, авторизации и заполучить конфиденциальные данные, результаты работы других пользователей, а затем атаковать связанные системы.

— Вы планируете расширять бизнес в Поволжье?

— Да. В этом регионе у нас уже есть команда, которая работает в основном с крупными клиентами. Но компания приняла решение расширить карту покрытия, выйти на бизнес средней величины — организации, которые осознали ценность информации и хотят использовать наши продукты. Для них мы начали делать "пакетные" предложения средств защиты: чуть облегченные, более дешевые и простые в эксплуатации, но позволяющие решать задачи информационной безопасности. Например, анализировать активы, уязвимости, угрозы.

В целом наши средства защиты становятся все более востребованными. Кто-то обращается к нам превентивно, кто-то — уже постфактум, став жертвой атаки, например, шифровальщиков, требующих выкуп за расшифровку данных.

— Где вы берете специалистов, как растите?

— Кадры — большая проблема для индустрии информационной безопасности. Каждый год из университетов выпускается много специалистов с профильным образованием, но не все они остаются в сфере ИБ. Positive Technologies ведет работу по привлечению специалистов сразу в нескольких направлениях.

Первое направление — это работа с вузами. Фундаментальная работа, работа вдолгую. На кафедрах появляются наши продукты, чтобы студенты выполняли лабораторные и после выпуска имели понимание того, как работать со средствами защиты. Кроме того, открыта возможность стажировки в компании — это второй вектор попадания к нам ребят. Мы набираем старшекурсников, чтобы, например, помониторить структуру или подключить их к проектам под кураторством опытных сотрудников.

Третий вектор — привлечение сотрудников конкурентов и клиентов. Но к последнему варианту найма относимся внимательно: так можно остаться без специалистов в заказчиках.

Есть и другое решение проблемы, которое мы назвали безопасностью без участия человека. Оно подразумевает использование автопилота кибербезопасности, что позволяет снизить требования к экспертности кадров, убрать зависимость от большого числа квалифицированных специалистов. Это стратегическое решение компании.

— Можно подробнее?

— Да, конечно. Трудности возникают не только при нехватке специалистов. Даже когда с кадрами все в порядке, некоторые инциденты остаются незамеченными. Их не может покрыть даже большая команда в сотни специалистов по мониторингу, это связано с банальным человеческим фактором. Системы-автопилоты работают на качественно другом уровне, они в тысячи раз быстрее анализируют данные. Человек фокусируется только на какой-то конкретной задаче, а автопилот может мониторить и обрабатывать огромное число инцидентов, выстраивать из них цепочки атак и предлагать рекомендации по реагированию.

Такой продукт мы уже вывели на рынок. Это MaxPatrol О2, который строит цепочки атак и позволяет увидеть вектор передвижения злоумышленника по инфраструктуре, насколько он близок к реализации недопустимого события в целевой системе. Этот подход кардинально меняет положение дел на рынке. Мы уже ловим за руку группировки, атаки которых человек при должном усердии расследовал бы, наверное, неделю.

Поняв, что идет атака, специалист потратит огромное количество часов на определение ее сценария и участников, а система выдаст результат за считаные минуты, буквально в режиме реального времени.

Второй, связанный с MaxPatrol O2 продукт — это MaxPatrol Carbon, который позволяет упростить подготовку к внедрению автопилота. Автопилот нельзя внедрить в полном бардаке. MaxPatrol Carbon анализирует активы, позволяет просчитать цепочки атак и дает рекомендации, как эти цепочки удлинить, чтобы атакующему нужно было потратить значительно больше времени на реализацию атаки, а не провести ее в два щелчка.

Мы идем по пути активного использования искусственного интеллекта в наших продуктах. Кстати, акцент на этом делает и государство. Даже в реестре Минцифры теперь можно указать, используется ли ИИ в программном продукте. Мы видим в этом здравое зерно для развития технологий, которые упростят принятие решений, подскажут специалистам, какой инцидент является подозрительным. Технологии машинного обучения используются в шести продуктах компании и число их будет расти.

— Какой продукт вашей компании наиболее востребован на рынке?

— Наш флагман по объемам продаж, который уже много лет приносит порядка 30% выручки, — MaxPatrol SIEM. Это система сбора событий информационной безопасности, выявляющая и подсвечивающая инциденты, на которые службе мониторинга действительно стоит обратить внимание и среагировать. Она внедрена более чем у 600 клиентов. Разработка началась в 2015 году, то есть продукту уже девять лет.

— Востребована ли продукция вашей компании за рубежом?

— В 2022 году мы перезапустили международный бизнес-трек и, несмотря на сложную геополитическую ситуацию, и на то, что мы подсанкционная компания, пошли в те локации, где "система координат" совпадает с нашей. Это страны Азии, Южная Америка, Африка, Ближний Восток — те регионы, в которых мы изначально вызывали интерес: какие-то русские безопасники что-то умеют и что-то понимают. Сейчас видим здесь осмысленный спрос. В этих регионах понимают, что нужно диверсифицировать риски и распределять яйца по разным корзинкам: продолжают пользоваться большим количеством ИТ-продуктов стран Северной Америки, Европы, а средства защиты хотят брать у других.

Порядка десяти наших продуктов выведены на международный рынок. Все они локализованы, компания вела этот трек многие годы. Сейчас пошли первые отгрузки решений, например, в Южную Америку.