Александр Пушкин, «Перспективный мониторинг»: «Мы разработали свой подход к веб-защите на основе нативных журналов»

В октябре 2025 года на ИнфоТеКС ТехноФест «Перспективный мониторинг» впервые представил новый продукт AML Web Protection для защиты веб-ресурсов от кибератак. Заместитель генерального директора компании «Перспективный мониторинг» Александр Пушкин рассказал Cyber Media о ключевых возможностях решения, его архитектурных особенностях и результатах первых внедрений.

Cyber Media: Расскажите о ключевых возможностях продукта AML Web Protection и технологиях, которые лежат в его основе.

Александр Пушкин: Этот продукт предназначен для решения старой известной задачи в информационной безопасности — защиты сайтов от атак. На рынке существуют классы решений для этого: межсетевые экраны уровня веб-приложений (WAF), Anti-DDoS, Anti-Bot системы. Но мы решили предложить расширение инструментария и реализовали AML Web Protection.

Архитектурно наш продукт работает иначе. WAF, Anti-Bot и Anti-DDoS системы работают на сетевом трафике, а мы информацию об атаках получаем напрямую из журналов веб-ресурсов и анализируем, кто и как атакует данную инфраструктуру.

Cyber Media: Как вы позиционируете ваше решение — как средство защиты информации в понимании российского законодательства, или это продукт другой категории?

Александр Пушкин: Мы еще не встречали ни на отечественном, ни на мировом рынке решений с архитектурой и логикой, подобными AML. Вполне можем позиционировать себя как аналитическую систему, потому что обрабатываем данные, поступающие в систему журналирования. Но в то же время AML предоставляет инструменты реагирования, а конкретно — блокировки как нарушителя, так и атакуемой части веб-ресурса. По своей сути AML является средством безопасности, но с точки зрения нормативных документов ни в какой класс не попадает. Однако это не мешает нам эффективно решать известную проблему защиты веб-ресурсов.

Cyber Media: Кто является целевой аудиторией вашего решения?

Александр Пушкин: Все IT-системы, которые содержат веб-интерфейс, могут, и в каком-то смысле, должны защищаться на основе анализа логов. К примеру, в процессе интервью мы с вами общаемся через систему видео-конференц-связи — сайтом это не назовешь, но это система, с которой мы, как пользователи, взаимодействуем через веб.

Раз веб доступен для пользователя, он доступен и для нарушителя. Поэтому атаковать его будут обязательно, и, соответственно, нужно распознавать эти атаки и противодействовать им. Таким образом для всех IT-систем, которые имеют веб-интерфейс взаимодействия, наш AML Web Protection архитектурно и идеологически хорошо подходит.

Cyber Media: Насколько ваше решение актуально для организаций, которые уже развернули комплексную инфраструктуру информационной безопасности?

Александр Пушкин: Защита должна быть эшелонированной. Нет единого решения, некой серебряной пули, которая защитила бы пользователя от всех угроз информационной безопасности.

Даже в организации, где уже существуют настроенные средства защиты информации, в том числе для противодействия атакам на веб-ресурсы, наше решение в обязательном порядке найдет место. Те же Web Application Firewall — решения хорошие, устоявшиеся на рынке и эффективные, но они пропускают атаки определенного типа и существует целый класс техник по обходу WAF. Даже когда они правильно настроены, мы видим, что атаки все равно сквозь них просачиваются, в том числе и атаки, которые приводят к серьезным последствиям.

Cyber Media: Если будет несколько таких систем защиты, они не будут конфликтовать друг с другом?

Александр Пушкин: Web Application Firewall работает на сетевом трафике, встречает запросы перед веб-ресурсом и работает как один из фильтров, очищая запросы до конечного сайта. А мы работаем уже по факту дошедшего до сервера трафика по сформированным журналам. Таким образом, конфликт здесь исключен. И так как мы работаем «сбоку», то не мешаем и обычным пользователям сайтов.

Cyber Media: Какие уникальные технологии вы используете в своем решении?

Александр Пушкин: Можно заметить из названия продукта, что мы делаем акцент на машинном обучении. В AML Web Protection модель – это ключевая технология, которая принимает решение, является ли действие атакующим. Она построена на поведенческом анализе действий пользователя на основе ML. Эту модель мы создали, обучили и развиваем на своем датасете и имеем над ней полный контроль.

Cyber Media: Какие результаты показали первые внедрения вашего продукта?

Александр Пушкин: Первые шаги по выводу продукта на рынок мы сделали в мае 2025 года. У нас есть заказчики, которые уже полгода в пилотном режиме используют продукт, а теперь на постоянной основе внедрили решение. Уровень заказчиков — это минцифры регионов, сайты региональных правительств, региональные образовательные порталы, коммерческие компании, бизнес которых во многом зависит от бесперебойной работы их веб-ресурсов.

Возьмем в качестве примера проекты с рядом государственных информационных систем. В соответствии с требованиями регуляторов такие системы обязаны защищаться с помощью Web Application Firewall. Работая на всех ресурсах и изучая журналы, мы видим, что WAF пропускает от нескольких штук до нескольких десятков атак в день. Хотя данный WAF – хорошее отечественное решение, настроенное опытными специалистами, архитектурно оно не может ловить все. Именно эти атаки мы ежедневно фиксируем и помогаем с ними бороться.

Последние два месяца у нас идет активное пилотирование продукта для высоконагруженных систем, которые имеют балансировщики нагрузки. Здесь комплекс тоже достаточно хорошо себя показывает. В сутки мы фиксируем от нескольких десятков до нескольких сотен атак, которые проходят сквозь базовые СЗИ.

Cyber Media: Как происходит процесс обнаружения атаки? Как это работает на практике?

Александр Пушкин: У AML есть два режима. Первый мы называем пакетным — журнал от любого веб-ресурса передается в систему в виде файла. Он может быть за любой период и любого объема. Получив журнал система автоматически его обрабатывает и выдает ретроспективный анализ: сколько было атак, какие, насколько они были опасны, насколько успешны с точки зрения нарушителя.

Второй режим близок к реальному времени, там задержка составляет буквально 1-2 секунды. Комплекс интегрируется с веб-сервером, который обрабатывает тот или иной веб-ресурс, и журналы передаются в потоковом режиме. Из этих журналов мы формируем сессии. Если видим атакующую сессию и в системе настроен режим блокировки, то система автоматически сессию блокирует.

Если заказчик не включил блокировку, мы ему просто в режиме реального времени предоставляем сведения: например, у вас 200 активных сессий, среди них 5 атакующих.

Cyber Media: Есть ли у вас планы развивать это решение в ближайшие годы?

Александр Пушкин: Мы придерживаемся идеологии, что делать слишком многофункциональные средства защиты — это всегда работа по верхам, без глубокой проработки. Поэтому попытки создать на базе AML всеобъемлющий SIEM точно не будет. В развитии AML мы сохраним фокус на защите веб-ресурсов и работе только с их журналами. Полностью защитить веб не может ни одна технология, но предложить рынку и владельцам систем инструмент, который может их выручить, мы точно попробуем.

Cyber Media: Интегрирован ли этот инструмент в продуктовую линейку всей компании?

Александр Пушкин: Интеграцию с нашим порталом по угрозам AM Threat Intelligence Portal мы должны завершить в первом квартале 2026 года. AML будет интегрирован для обмена уникальной информацией по индикаторам атакующих сессий, которая будет передаваться в наш TI-портал.

Второй продукт, который хорошо известен на рынке, особенно среди вузов, где есть подготовка кадров по информационной безопасности, — это наш киберполигон Ampire. AML туда должен интегрироваться в первой половине 2026 года как новый тип средств защиты для учебных сценариев и различных форматов тренировок.

Cyber Media: Какие вы видите тренды и возможности развития в веб-защите?

Александр Пушкин: Я с этой предметной областью — атаками, защитой, исследованием безопасности веб-приложений — связан уже более 20 лет, поэтому видел всякое. Идея реализовать свой WAF была у нас лет 5-6 назад, но от нее пришлось отказаться больше по экономическим соображениям. Есть реально хорошие решения отечественного производства, есть качественные мировые решения, которые не так просто превзойти на рынке. Поэтому свой WAF мы решили не делать, а поставили задачу предложить более элегантное и эффективное решение по комфортной стоимости для заказчика.

Почти во всех крупных фреймворках, которые используются для построения сайтов или систем управления контентом, сейчас появились собственные механизмы встроенной защиты. И в отечественной системе CMS Bitrix, и в свободно распространяемых CMS WordPress, Joomla — везде это встроено в ядро или через плагины. Это здорово, потому что на своем уровне они прикрывают наиболее болезненные точки и являются одним из слоев безопасности, которые AML естественным образом дополняет.

Могу привести интересный кейс из тестирования нашей системы. На подключенных к AML веб-сайтах квалифицированные команды проводили работы по анализу защищенности и тестированию на проникновение. При этом исследователи не знали, что контроль их деятельности идет через AML, а операторы центра мониторинга не знали, кто, когда и какие работы будет проводить. В результате большинство действий пентестеров — по нашим оценкам, порядка 95-97%, — детектировалось и наблюдалось в системе. Благодаря AML мы смогли по часам восстановить вектор атаки и пошаговую реализацию действий пентестеров на веб-ресурсах. Наша глобальная задача – сделать систему настолько развитой в веб-защите, чтобы любая атакующая цепочка всегда наглядно детектировалась, визуализировалась и могла быть заблокирована силами самого продукта.

erid: 2SDnjbyeRYT

* Реклама, Рекламодатель АО «ИнфоТеКС», ИНН 7710013769