«Наша глобальная цель — стереть границы между средами»

В прошлом году Yandex B2B Tech вышла на рынок информационной безопасности (ИБ), а недавно анонсировала запуск собственного решения по мониторингу событий ИБ (SIEM). Как сейчас развиваются решения в сегменте, какие задачи компания будет решать дальше и почему на российском рынке нет аналогичных решений, рассказал «Ъ-Технологиям» директор по информационной безопасности компании Евгений Сидоров.

— В прошлом году Yandex B2B Tech вышла на рынок информационной безопасности, сейчас в вашем портфеле уже порядка 15 ИБ-продуктов. Несколько недель назад был анонсирован новый — Yandex SIEM. На самом рынке уже представлено несколько десятков SIEM-систем; чего не хватает в них, раз вы решили выйти с этим классом решения сейчас?

— На российском рынке SIEM-решений (cистемы управления информацией и событиями.— “Ъ”) действительно присутствует значительное количество игроков. Однако при этом отсутствует вендор, предлагающий полностью зрелую модель программного обеспечения как услуги (Software as a Service, SaaS) в сегменте SIEM.

Можно посмотреть на глобальные тенденции, например на аналитику Gartner Magic Quadrant for SIEM. В их последнем отчете рассматривается 17 глобальных вендоров, и только половина из них пока еще поддерживает on-premise версии. Если углубиться, в ряде случаев это уже не полноценные SIEM, а решения, которые ближе к мониторингу инфраструктуры. Основные свои SIEM-решения они уже переориентировали на SaaS-модель с ИИ-автоматизацией — именно они становятся стандартом для эффективных центров мониторинга ИБ.

— В чем заключаются ключевые технологические преимущества Yandex SIEM?

— Yandex SIEM, созданная на базе технологий «Яндекса», обеспечивает высокую производительность и масштабируемость — ключевые преимущества решения. Надежность и отказоустойчивость системы проверены на масштабах нашей компании, а также в рамках сервиса YCDR (SOCaaS), который уже используют крупные компании из финтеха, ритейла, здравоохранения и других отраслей. Продукт обрабатывает более 3 млн событий в секунду с автоматическим масштабированием — без необходимости ручного расширения мощностей. Особенность решения — интеграция с мультиагентной системой для аналитиков, которая автоматизирует анализ инцидентов и ускоряет реакцию на угрозы. Агенты помогают автоматизировать рутинные задачи: анализируют инциденты, предлагают гипотезы и рекомендации по реагированию, что сокращает время на обработку алертов и снижает нагрузку на SOC-команду.

— Считаете ли вы, что будущее SIEM действительно за моделью SaaS, поскольку современные ИИ-технологии сложно полноценно реализовать в собственном контуре?

— Все верно, преимущество SIEM-системы по модели подписки заключается не только в изменении способа доставки ПО, но и в ее фундаментальных свойствах. Данный подход позволяет исключить затраты на администрирование и сопровождение инфраструктуры, обеспечивая при этом эластичное масштабирование. Сервисная модель дает возможность гибко адаптироваться к росту нагрузки без необходимости прогнозирования пиковых значений и предварительного резервирования ресурсов.

Это высвобождает ресурсы ИБ-аналитиков, позволяет им фокусироваться на более сложных задачах: расследовании инцидентов, поиске угроз, разработке и тонкой настройке правил корреляции. Операционные задачи, связанные с управлением инфраструктурой, обеспечением ее отказоустойчивости, масштабированием и обработкой высоких нагрузок, полностью делегируются платформе.

Возвращаясь к вопросу, почему продуктов класса SIEM в России достаточно, но полноценных облачных решений в формате SaaS среди них почти нет. Для реального, а не точечного применения искусственного интеллекта необходима именно SaaS-модель, где ИИ-компоненты изначально встроены в платформу. Без такой интеграции реализовать и масштабировать полноценные AI-сценарии крайне сложно.

— «Яндекс» на российском рынке называют AI-first компанией. Значит ли это, что ваша компания имеет принципиально другой уровень зрелости в области AI-безопасности? Что именно вы применяете — какие инструменты и подходы?

— «Яндекс» работает одновременно на стыке искусственного интеллекта и кибербезопасности — это помогает нам точнее и быстрее выявлять скрытые уязвимости в системах. Мы одновременно и разрабатываем ИИ, и создаем средства защиты. Это дает нам уникальное понимание рисков и уязвимостей нейросетей. Именно этот опыт позволил нам разработать для себя и параллельно сделать открытым для ИТ-сообщества методологию для безопасной разработки AI-агентов: фреймворк AI SAFE — набор инструментов и методик. Он помогает разработчикам избегать типичных уязвимостей на всех этапах создания приложений с использованием ИИ-агентов. Со своей стороны мы стремимся комплексно подходить к защите AI. Это включает в себя как безопасность самих AI-агентов и наших внутренних продуктов, так и создание специализированных технологий, таких как AI Gateway, чтобы обеспечивать контроль и безопасность трафика между пользователями и различными AI-моделями.

Важно понимать, что эффективное использование ИИ требует облачной среды — развертывание парка моделей в собственной инфраструктуре экономически нецелесообразно. Облако дает доступ к необходимым вычислительным ресурсам и данным без капитальных затрат.

— Какая у вас глобальная стратегия развития как у ИБ-вендора? Какие проблемы рынка планируете закрыть далее?

— На сегодняшний день мы развиваем три ключевых направления: Cloud Security, Security From Cloud и on-premise. В Cloud Security мы идем по модели, где клиент при переносе инфраструктуры в облако может получить полный набор средств защиты, включая защиту гибридных сценариев и связность с облачной средой. По данным аналитиков, 70% российских компаний уже используют гибридную инфраструктуру (сочетание собственной ИТ-инфраструктуры и облачных ресурсов).

Наши текущие сервисы уже закрывают эту задачу, и они будут развиваться дальше: как за счет расширения функциональности, так и за счет более глубокой интеграции между собой. В том числе за счет усиления роли SIEM или увеличивающихся модулей единой платформы Yandex Security Deck как ядра и повышения уровня автоматизации процессов. С точки зрения on-premise как B2B-игрок мы смотрим в сторону этого сегмента. Мы начали с того, что совместно с SolidLab выносим часть наших технологий в отдельные продукты и адаптируем их под on-premise сценарии. На этой базе запускаются новые решения, ориентированные на такой формат развертывания.

Наша глобальная цель — стереть границы между средами. Мы хотим принести по всему ИТ-стеку — в облако и on-premise — те свойства и технологии, которые уже работают у нас в облаке: автоматизацию процессов, отказоустойчивость и, главное, скорость внедрения ИБ-решений и работу продуктов безопасности «по кнопке».

— Что вы имеете в виду, говоря о работе продуктов безопасности «по кнопке»?

— Это означает максимальную автоматизацию и простоту использования сервисов безопасности. При использовании публичного облака бизнес получает инфраструктуру мгновенно, без капитальных вложений в оборудование и ЦОДы. К ней в комплекте идет доступ к сложным технологиям — от AI и ML до Big Data, которые раньше были доступны лишь крупным игрокам. Мы переносим такой подход и на свои сервисы кибербезопасности: предлагаем готовые ИБ-решения, которые можно активировать без сложного и долгого процесса внедрения.

Этот подход также отражает нашу стратегию защиты клиентов от актуальных уязвимостей. При обнаружении таких угроз мы обновляем защитные механизмы для всех клиентов облака в течение нескольких часов. Такая скорость реагирования возможна именно благодаря облачной архитектуре.

Мы осознанно разрабатываем продукты так, чтобы ИБ-специалистам не приходилось вручную выполнять рутинные операции и многое могло делаться автоматически: масштабирование под нагрузку, обновления защитных механизмов, реагирование на инциденты.

Юлия Датская