«Выигрывает тот, кто заранее видит угрозы»

В 2025 году произошло сразу несколько крупных кибератак, которые стали заметны на рынке и принесли компаниям значительные финансовые потери и репутационный ущерб. На этом фоне крупный бизнес задумался над поиском наиболее грамотной стратегии построения защиты, чтобы избежать серьезных инцидентов и в то же время комфортно распределить дефицитные ресурсы, в первую очередь кадровые. Управляющий директор Positive Technologies Михаил Помзов рассказал “Ъ”, как в текущих условиях построить такую защиту, а какие подходы себя изжили.

Выйти из полноэкранного режима

Развернуть на весь экран

— С учетом череды громких взломов в этом году как изменилось отношение компаний к кибербезопасности?

— Определенно индустрия встрепенулась. К нам стали обращаться не только ИБ-команды, с которыми мы и так в постоянном контакте, но и топ-менеджмент с запросом, как им понять, насколько они защищены и не будут ли они следующими. А может быть, вообще их уже взломали, но они об этом не знают. Осознанность точно растет.

— Как вообще крупной компании оценить свой уровень защищенности, если ее ни разу не атаковала серьезная хакерская группировка? Как вы решаете эту задачу?

— Главное, с чего нужно начать,— ответить себе честно на вопрос «Чего я действительно боюсь?». На примере Positive Technologies мы сформулировали два недопустимых события, которые для нас категорически неприемлемы: первое — если злоумышленник сможет вывести деньги с наших счетов, второе — внедрить вредоносный код в продукты. Это стало для нас отправной точкой.

Сначала наша собственная команда белых хакеров (PT Swarm) проверила, можно это сделать или нет, потом мы подключили внешние коммерческие команды, которые сильны хакерской экспертизой. Следующим шагом стал уже запуск публичной программы Bug Bounty на недопустимые события.

— Зачем переходить от закрытых проверок к публичным?

— Оценки ограниченного количества специалистов не дают реальной картины угроз.

Одно дело — когда тебя проверяют несколько белых хакеров, и совсем другое — когда это большое комьюнити. И тут важно не только количество, но и качество. И чтобы привлечь действительно сильных ребят, нужно предложить достойное вознаграждение, чтобы им стало интересно.

Так появилась наша программа, и сегодня вознаграждение по ней составляет 60 млн руб. То есть мы готовы выплатить эту сумму, если кто-то продемонстрирует, как можно реализовать одно из этих недопустимых событий.

— Как изменился ландшафт угроз для бизнеса?

— Интересно, что атаки сами по себе не становятся сложнее. Наоборот, благодаря инструментам автоматизации и большим генеративным моделям хакеры решают задачи быстрее и проще. Порог входа заметно снизился: если раньше для взлома требовалась высокая квалификация, то сегодня большая часть работы автоматизирована, всегда в доступе готовый инструментарий и разнообразные GPT-сервисы. Это кардинально влияет как на скорость проведения атак, так и на требования к ИБ-команде защитников: противодействовать им теперь нужно намного быстрее.

В то же время корпоративная инфраструктура растет и усложняется: цифровизация набирает обороты, постоянно внедряются новые сервисы, особенно после ухода западных вендоров. Каждое изменение открывает новые перспективы для развития бизнеса, но одновременно расширяет площадь атаки для злоумышленников. В итоге хакерам становится легче реализовывать атаки, а компаниям — все труднее обеспечивать защиту.

— Как компании выстраивать защиту в условиях постоянных изменений?

— Это действительно хороший вопрос, потому что традиционные подходы к управлению уязвимостями уже не работают. С ростом инфраструктуры их становится так много, что устранение требует огромного количества времени и ресурсов. Мы также видим на рынке системный дефицит квалифицированных кадров как специалистов по ИБ, так и по IT, и ситуация только усугубляется. Поэтому многие компании в принципе не могут себе этого позволить.

А следовательно, ключевой задачей становится повышение эффективности, которое возможно, только если смотреть на инфраструктуру глазами хакера: понимать, как он может в нее попасть и перемещаться по ней, какими недостатками воспользуется на своем пути к критически важным для бизнеса системам, чтобы реализовать задуманное.

На самом деле, потенциальных вариантов развития атаки множество, но зачастую для их нейтрализации нужно устранить лишь небольшую часть обнаруженных источников угроз.

Если не пытаться закрыть каждую мелкую брешь, а заранее устранять ключевые варианты развития атаки и делать это регулярно, можно минимальными усилиями значительно усложнить задачу хакерам.

— Как вы в Positive Technologies подходите к решению этой проблемы исходя из вашего обширного опыта в построении результативной кибербезопасности?

— Именно решая эту задачу мы пришли к разработке метапродукта MaxPatrol Carbon. По сути он создает цифровую копию инфраструктуры компании, находит в ней уязвимые места, помогает найти чувствительные для бизнеса системы и прогнозирует варианты их достижения. Решение сочетает в себе продвинутые технологии моделирования кибератак с актуальными данными от нашего экспертного центра, который ведет постоянную разведку атак и анализ возникающих угроз.

MaxPatrol Carbon анализирует каждый потенциальный путь хакера по уровню опасности: учитывается сложность его реализации, квалификация потенциального злоумышленника, время, необходимое на атаку, а также проверяется возможность ее обнаружить средствами защиты и мониторинга. На основе этой информации система выдает фокусные рекомендации.

Тем самым ты понимаешь, как применение той или иной меры в явном виде влияет на возможность хакера причинить тебе неприемлемый ущерб.

— Признается ли такой подход в индустрии?

— Если смотреть на глобальный рынок, где зрелость компаний в области информационной безопасности достаточно высока, этот подход — непрерывное управление киберугрозами — уже стал стандартом де-факто.

Компании по всему миру видят эффективность моделирования кибератак в превентивном противодействии современным угрозам.

Методология непрерывного управления киберугрозами (Continuous Threat Exposure Management, CTEM) — это подход к кибербезопасности, предложенный Gartner, направленный на проактивное выявление, оценку и устранение источников угроз в инфраструктуре организации. Согласно исследованиям, 71% организаций уже признают реальную ценность CTEM. При этом 60% компаний либо находятся в процессе внедрения этой методологии, либо планируют начать ее использование в ближайшее время. Прогнозируется, что к 2026 году организации, применяющие проактивный подход к управлению киберустойчивостью на основе CTEM, смогут сократить количество успешных кибератак в три раза.

Мы видим, что в России рынок только догоняет этот тренд, но интерес уже перерастает из простого любопытства в реальные проекты. Наш опыт с первыми внедрениями MaxPatrol Carbon показал: лишь 2–3% всех уязвимостей представляют реальную угрозу, потому что через них проходит большинство самых опасных и коротких путей к критически важным системам компании.

Это позволяет резко поднять сложность и стоимость атаки для хакера, буквально отсекая самые опасные сценарии взлома и минимизируя свои затраты.

Выйти из полноэкранного режима

Развернуть на весь экран

— Как вы оцениваете вашу позицию на рынке?

—Мы продолжаем укреплять и удерживать лидирующие позиции на рынке в России уже на протяжении более 20 лет. И нам особенно приятно, что эта работа получает признание и на глобальном уровне. В свежем отчете IDC (International Data Corporation.— “Ъ”), несмотря на всю геополитику, нас выделили среди топ-6 крупнейших игроков в области управления уязвимостями и киберугрозами. Для нас это важное подтверждение того, что наша экспертиза и технологии конкурентоспособны в масштабах мирового рынка.

Согласно отчету Vulnerability and Exposure Management Device Market 2024, подготовленному компанией IDC, ведущей мировой аналитической фирмой, специализирующейся на исследованиях рынка информационных технологий, кибербезопасности и цифровой трансформации, Positive Technologies вошла в число крупнейших игроков на глобальном рынке управления уязвимостями и киберугрозами, заняв долю рынка 2,4%.

— Как топ-менеджеру выстроить защиту, чтобы обрести уверенность и не переживать за кибербезопасность компании?

— Все просто: либо ты живешь в постоянной тревоге, каждый раз задаваясь вопросом «А вдруг я следующий?», либо действуешь на опережение. Понимаешь, что недопустимо для бизнеса, предвидишь, как тебя могут атаковать завтра, и быстро адаптируешься, лишая хакеров шансов оперативно реализовать задуманное уже сегодня. И не избегайте публичных кибериспытаний: они дают объективную оценку вашей готовности к отражению кибератак. В итоге при проактивном подходе ваша компания станет слишком сложной и дорогой мишенью для хакеров.

Интервью взяла Валерия Романова