Дмитрий Пудов, NGR Softlab: Технологии ИИ со временем начнут играть более заметную роль на рынке ИБ

Дмитрий Пудов: Полагаю, что после интенсивного периода реализации проектов импортозамещения организации сосредоточились на вопросах эффективности. На первый план выходят операционные задачи: анализ рисков, реализация мер по их снижению, управление текущими инструментами. Да, есть еще немало пространства для реализации новых проектов, но большинство из них уже уложены в программы проектов и реализовываются в соответствии с принципами рациональности, а не под давлением эмоций. Рынок вошел в более равновесное состояние, чем-то уже напоминающее состояние 2021 года. Внешние факторы тоже играют за подобный разворот: макроэкономическая ситуация (высокие ключевые ставки и низкая безработица) заставляют большинство заказчиков более рачительно управлять своими бюджетами, да и конъюнктура рынка (давление регуляторов, кадровый голод и замедление темпов роста рынка) не позволяют больше форсировать события.

Дмитрий Пудов: Для отечественного рынка ИБ можно сказать, что сильно раскрученный интерес к большим языковым моделям пока не нашел своего отражения в продуктах. Мы плотно занимаемся вопросом применения технологий ИИ в информационной безопасности и за прошедшие годы видим прогресс в этом направлении, экспериментируем с различными моделями и их применимостью для решения задач ИБ, разрабатываем собственную. Но в практической плоскости они пока не нашли применения. Наверное, претендентом номер один на успешное применение этой технологии в ИБ будет copilot в области анализа кода. Все дело в том, что этот класс задач очень хорошо решается большими языковыми моделями, и этому уже есть подтверждение на других рынках.

К важным, но еще недооцененным, я бы отнес инструменты поведенческого анализа. Все потому, что любой инцидент — это отклонение от нормального поведения (человека, системы, трафика). В этом простота и элегантность данного класса решений. При этом есть ряд нерешенных пока еще вопросов: сложность интерпретируемости результатов, отсутствие понимания бизнес-контекста для анализа, высокий уровень ложноположительных срабатываний и т.п.

Дмитрий Пудов: С точки зрения регулирования, российскому рынку ИБ есть, чем гордиться. Есть ощущение, что регуляторы тоже использовали этот стрессовый период с большой пользой. С одной стороны, требования регуляторов сильно повышают порог входа в отрасль. С другой — наблюдаемые изменения в подходе регуляторов (наказания за факты нарушений, работа с системными рисками) дают надежду, что рынок ИБ России может стать отраслью с высоким экспортным потенциалом. Позиция регуляторов стала более практически ориентированной, и это приятно осознавать.

Отмечу, что все это приводит к резкому повышению порога входа в индустрию и будет подталкивать рынок к консолидации, потому что новым и небольшим игрокам эта ноша окажется непосильной.

Дмитрий Пудов: Мы достаточно молодая компания — нам всего 6 лет, на которые пришлись такие события, как пандемия и геополитические изменения. На фоне этих внешних стрессов многие внутренние трансформации не выглядят существенными. Вместе с тем с момента выхода компании на рынок нам удается существенно опережать темпы роста рынка, мы ежегодно удваивали команду на протяжении всего времени нашего существования (24 год не стал исключением) и при этом сохранили возможность для инвестиций в новые направления. Так, например, в прошлом году мы запустили новый продукт — Систему управления безопасностью файлов. Инвестиции в развитие позволяют нам быть теми немногими, кому удается демонстрировать высокие темпы роста выручки, несмотря на общее замедление рынка.

Дмитрий Пудов: В нашей линейке четыре продукта: PAM Infrascope, SIEM Alertix, аналитическая платформа Dataplan и Система управления безопасностью файлов. PAM — это средство защиты информации. Оно предотвращает внешние и внутренние угрозы, автоматизирует рутинные операции по управлению привилегированным доступом, позволяет контролировать действия пользователей и реагировать на нарушения в реальном времени. Данные, «собранные» PAM, передаются на следующий уровень — в платформу SIEM, которая обрабатывает данные из разных источников, автоматизирует выявление и учет инцидентов ИБ, обеспечивает поддержку расследования инцидентов и принятия решений о реагировании на них.

Важно понимать, что SIEM ищет отклонения в поведении объектов контроля на основе сигнатурного анализа — формировании набора правил, которые отслеживают отклонения в предопределенных параметрах поведения. Но если нужны данные об «остальном» поведении пользователей (то есть о том, что не попало под правила), то мы предлагаем использовать аналитическую платформу для поиска аномалий и скрытых угроз Dataplan. Она сочетает поведенческую аналитику без правил, аудит привилегий с учетом специфики бизнеса и расширенные инструменты работы с security big data. В сумме это помогает выявлять риски до того, как они станут инцидентами.

Если же говорить о нашем новом продукте, Системе управления безопасностью файлов, то она автоматизирует процесс проверки файлов в песочницах, потоковых антивирусах, DLP-системах и других СЗИ. В систему также встроены инструменты для гарантированной очистки документов без СЗИ, методом реконструкции.

Дмитрий Пудов: В создании и развитии решений мы руководствуемся четырьмя принципами, которые формируют основу нашего подхода к кибербезопасности.

Первое – это интеллектуальность. Во всех наших продуктах есть элементы ИИ и автоматизации, поведенческая аналитика, что позволяет выстраивать предиктивную кибербезопасность и в каком-то смысле быть всегда на шаг впереди злоумышленников — или, по крайней мере, от них не отставать. Второе — модульность, которая обеспечивает в том числе выгодную совокупную стоимость владения (TCO, Total Cost of Ownership). Мы реализуем модульную систему в двух вариантах — таким образом, чтобы у клиента была возможность выбрать ту функциональность продукта, которая актуальна ему на данный момент, и это может быть как и «классическая» для данного класса решений функциональность, так и выходящая за его рамки, делающая продукт эталонным на рынке. Третье — интероперабельность. Мы сознательно отказались от экосистемности, которая загоняет заказчика в определенные рамки, заставляя снова и снова выбирать только одного вендора. Поэтому мы делаем наши продукты открытыми для интеграций — как и между собой, так и с множеством других решений.

Наконец, четвертое — это гибкость. Наши продукты поддерживают разные сценарии применения, актуальные для разных бизнес-задач. Где-то будет релевантно взять встроенные сценарии, инструменты и экспертизу «из коробки», а где-то — разработать свои. Мы предоставляем эту возможность и не ограничиваем в применении наших продуктов.

Все эти принципы в совокупности позволяют нам говорить о том, что мы строим новый подход в кибербезопасности, превращая ее из обычной функции бизнеса в стратегическое преимущество. Выбирая нас, компания получает не просто набор технологий и процессов – она получает опору, которая помогает бизнесу сохранять устойчивость и побеждать вдолгую.

Дмитрий Пудов: Многие наши проекты являются предметом нашей гордости. И, конечно, есть наиболее яркие «звезды»: в прошлом году мы внедрили PAM в телеком-операторе, который контролирует доступ к практически 1 млн конечных устройств. Это уникальный проект по меркам России, и нам неизвестно об аналогах такого масштабного внедрения — наиболее зрелые конкуренты, говоря о своих референсах, упоминают в лучшем случае о сотне тысяч контролируемых устройств. Кстати, этот проект хорошо отражает текущие реалии рынка: большинство крупных компаний руководствуются при выборе продукта наличием большого количества существующий инсталляций, упуская из виду то, что это не дает им никаких гарантий. Ведь на заре замещения иностранных вендоров наиболее успешными были дешевые альтернативы и уже известные бренды (иногда с абсолютно новыми продуктами и очень внушительными планами развития продуктов). И потом эти компании сталкиваются с невозможностью (или существенными сложностями) масштабирования, высокими издержками при интеграции этих решений в сложную инфраструктуру, завышенными расходами на сопровождение этих решений и прочими факторами.

Дмитрий Пудов: У меня нет сомнений, что технологии ИИ со временем начнут играть более заметную роль на рынке ИБ. Вопрос только в том, когда будет нащупан баланс между ожиданиями, возможностями технологии и стоимостью.