Дмитрий Овчинников, UserGate: Информационная безопасность — это не состояние, а процесс

Дмитрий Овчинников — архитектор информационной безопасности UserGate. В интервью для Cyber Media эксперт рассказал о развитии экспертных направлений компании, роли искусственного интеллекта в кибербезопасности, современных угрозах для российского бизнеса и том, как выстроить эффективную защиту организации.

Cyber Media: Расскажите, как развивается экспертное направление UserGate, и какие новые компетенции вы сейчас наращиваете?

Дмитрий Овчинников: Мы постоянно наращиваем наши экспертные направления. Из ключевых направлений сейчас развиваются два — это WAF и использование искусственного интеллекта.

В этом году Web Application Firewall был выделен в самостоятельный продукт из модуля межсетевого экранирования на нашем флагманском продукте NGFW. Сейчас мы активно наращиваем экспертное направление по WAF.

Второе основное направление — использование ИИ, в основном ML и LLM. Машинное обучение мы планируем использовать в наших продуктах для анализа сетевого трафика и выявления нелегитимной активности. Все наши основные продукты относятся к защите сети, и машинное обучение очень хорошо подходит для решения задач по выявлению аномального трафика в сетевых потоках.

Большие языковые модели мы планируем использовать для совершенствования системы технической поддержки и сокращения времени обращения пользователя при решении технических задач. LLM будет ускорять выдачу ответов, чтобы разгрузить сотрудников технической поддержки, а клиент сможет получать актуальные ответы намного быстрее. Внутри компании мы тоже начинаем активно использовать LLM для поиска информации и повышения уровня коммуникации между сотрудниками.

Мы стараемся расширить компетенции существующих сотрудников по принципу T-shape, когда человек очень хорошо разбирается в одном направлении и имеет хороший кругозор в смежных областях. Мы стараемся максимально расширить основание буквы T, чтобы наш сотрудник обладал очень хорошими знаниями и мог применять технические решения и инновации из смежных сфер в наших продуктах.

Как только вы получаете доступ к сети интернет, вы сразу же становитесь целью

Cyber Media: Как вами решаются вопросы безопасности данных при использовании ИИ?

Дмитрий Овчинников: Речь идет о локально развернутых моделях внутри корпоративной сети. Мы проводим специальные мероприятия по информационной безопасности, чтобы LLM не имела доступа к критически важной конфиденциальной информации. Это не подключение к глобальным сервисам — это внутренняя система для решения узкоспециализированных задач.

В интернете распространено мнение, что ИИ всемогущ и способен решить практически любую проблему. На самом деле это не так. Искусственный интеллект эффективен для ограниченного круга задач. Если задачу можно решить традиционными методами, это обычно получается дешевле.

Поэтому решение о внедрении ИИ должно быть осознанным. Его стоит применять только тогда, когда очевидно, что статистическими методами и классическим математическим анализом задачу не решить.

Cyber Media: Как изменились запросы клиентов к решениям безопасности за последние годы?

Дмитрий Овчинников: За последние два-три года у нас в стране стало более зрелое и ответственное отношение к информационной безопасности. Со стороны клиентов идет внимание не на маркетинг, а больше на глубину экспертизы и на ее объемы. Если раньше рынок смотрел на информационную безопасность как на центр расходов и закрывал точечно какие-то дыры, то за последние годы клиенты стали запрашивать комплексные решения. Уже идет подход «проблема-решение». Произошло серьезное изменение в сторону более зрелого подхода. При этом, заказчики хотят, чтобы решение покрывало не только отдельную проблему в ИБ, но и сразу закрывало смежные области в ИБ.

Cyber Media: Почему компании стали больше вкладываться в информационную безопасность?

Дмитрий Овчинников: Компании начали больше инвестировать в ИБ из-за массовой цифровизации и роста киберугроз. Раньше бизнес мог обойтись без интернета, ERP-систем, вести учет на бумаге. Сегодня такая компания быстро покинет рынок — не выдержит конкуренции с теми, кто автоматизировал процессы и снизил издержки.

Чем больше компаний переходит в цифру для сохранения конкурентных преимуществ, тем больше у них IT-сервисов и тем привлекательнее они для атакующих. Если у вас маленькая кузница в деревне без интернета, где вы куете ножи вручную, атаковать вас невозможно — нет точек соприкосновения. Но и конкурировать с промышленным предприятием вы не сможете. Не тот объем выручки, никаких акций на бирже, малый запас прочности.

Компании осознали: остановка бизнес-процессов из-за кибератак напрямую влияет на прибыль и устойчивость. Поэтому они начали вкладываться в защиту. Это похоже на гигиену. Люди не мыли руки, пока не узнали о бактериях. Также и с информационной безопасностью — со временем она станет обычной повседневной практикой, а не модным трендом или требованием регулятора.

За последние два-три года у нас в стране стало более зрелое и ответственное отношение к информационной безопасности

Cyber Media: Какие самые опасные угрозы для российского бизнеса сейчас? Можете назвать топ-5 атак?

Дмитрий Овчинников: Наиболее распространенный тип атак — социальная инженерия. За счет таких методов совершается порядка 50-55% взломов, при этом около 80% составляют фишинговые рассылки. Это самая популярная схема для первоначального проникновения в сеть.

Самой опасной считается атака на цепочку поставок — когда взлом происходит через компрометацию инфраструктуры подрядчика или использование уязвимых программных компонентов. Такие атаки сложнее всего обнаружить и отразить.

Также в топе угроз — эксплуатация уязвимостей веб-сайтов и устройств на периметре сети из-за неправильной конфигурации. И атаки на любую периферию, выставленную наружу: роутеры, серверы удаленного доступа, устройства интернета вещей.

Это общемировая статистика. В этом году на одном из мероприятий я собирал данные по российским компаниям — тенденции полностью совпадают с глобальными. От региона к региону меняются только активные APT-группировки и видоизменяются инструменты применяемые при взломе.

Cyber Media: Какие отрасли наиболее уязвимы? Есть закономерности по размеру компаний?

Дмитрий Овчинников: Благодаря автоматизации атак с использованием ИИ и массового сканирования под угрозой находится любая компания независимо от размера. Однако злоумышленники больше интересуются крупным бизнесом.

В первую очередь это телеком — у таких компаний много сетевого оборудования, доступ к которому получить относительно легко. Далее по привлекательности идут банки, образовательные учреждения, промышленные предприятия. В зоне риска любая широко известная компания, которая часто попадает в новости.

Что касается малого и среднего бизнеса, если есть техническая возможность взломать, обязательно взломают. Недавно на конференции рассказывали, как злоумышленники атаковали сеть кофеен. Казалось бы, зачем, но взломали просто потому, что смогли, зашифровали все данные и потребовали выкуп. Хорошо, что у компании были отчуждаемые резервные копии и они смогли быстро восстановить работоспособность своих сервисов.

Времена начала 2000-х, когда небольшая компания могла работать без защиты и злоумышленники ее не трогали, остались в прошлом. Как только вы подключаетесь к интернету, вы сразу становитесь мишенью. Любое устройство имеющее белый IP-адрес примерно через 40 минут становиться видимым всем и на него начинают проводить атаки.

Cyber Media: Есть ли универсальные признаки, по которым бизнес может понять, что он стал мишенью атаки?

Дмитрий Овчинников: Универсальных признаков атаки не существует. Любая атака начинается с разведки, которая ведется пассивными методами и практически не распознается. Злоумышленники изучают компанию как цель: собирают email-адреса, информацию о веб-ресурсах, скрытно сканируют поверхность атаки. Организация об этом даже не подозревает.

Активность можно заметить на этапе более агрессивных действий — активного сканирования конкретных сетевых узлов, попыток подбора паролей. Но это будет видно только при правильно настроенных мерах защиты. Если же потенциальная жертва не озаботилась мерами детекции, то она будет оставаться в неведении.

Базовые меры обнаружения: своевременное обновление устройств на периметре сети, регулярные аудиты прав доступа, корректная конфигурация серверов и сетевого оборудования.

Если первоначальное проникновение прошло незаметно, следующая возможность обнаружить вторжение — аномалии внутри сети. Для этого необходимы системы сбора и корреляции событий ИБ, анализаторы внутреннего трафика. Они помогают выявить горизонтальное перемещение атакующих и повышение привилегий. Максимально быстрая изоляция скомпрометированного сетевого узла поможет остановить атаку. Дальше уже необходимо расследовать инцидент и устранять последствия атаки.

Главное — отслеживать любые аномалии: новые доступы, подозрительные подключения, исходящие соединения, которых ранее не было. И обеспечить качественное логирование событий безопасности.

Если вас взломали — то тут поможет наличие резервных копий и отработанного плана по восстановлению работоспособности сервисов. Очень важно не только иметь резервные копии и план, но и регулярно проводить учения. Первое же учение покажет скрытые недостатки в планах, неучтенные технические моменты. Всегда надо исходить из самого негативного сценария который вы можете себе представить.

Cyber Media: Как UserGate помогает компаниям выстраивать культуру безопасности?

Дмитрий Овчинников: Информационная безопасность — это не состояние, а процесс. Недостаточно просто купить техническое решение вроде NGFW или WAF. Важно обучить персонал работе с системой и корректно интегрировать ее в существующую инфраструктуру.

Мы создали целую экосистему вокруг наших решений. «Академия UserGate» разрабатывает и проводит обучающие курсы, чтобы компании могли быстро подготовить инженеров для работы с нашими продуктами. Профессиональный сервис помогает проработать комплексное решение — клиент получает не только технологию, но и экспертизу по ее применению.

Подразделение uFactor сосредоточено на продуктовой экспертизе в области ИБ: создает сигнатуры для систем обнаружения вторжений и WAF, разрабатывает правила корреляции для SIEM. Также мы предоставляем консалтинговые услуги: аудиты защищенности и архитектуры ИБ, аудиты процессов ИБ, виртуальный CISO, SOC как сервис, расследование инцидентов. Такой клиентоориентированный подход позволил нам охватить не только техническую сторону, но и вопросы обучения и консультирования.

Главное — отслеживать любые аномалии

Cyber Media: Какие новые угрозы, на ваш взгляд, появятся в ближайшем будущем?

Дмитрий Овчинников: Принципиально новых угроз в ближайшем будущем не появится. Основные методы атак остаются теми же, что использовал еще Кевин Митник — социальная инженерия и эксплуатация неправильных настроек систем. Фундаментально ничего не изменилось.

Единственное новое направление — угрозы, связанные с искусственным интеллектом. Во-первых, это утечки конфиденциальных данных при использовании внешних ИИ-сервисов вроде ChatGPT или DeepSeek. Во-вторых, злоумышленники начинают применять ИИ для атак. В этом году уже создан экспериментальный вирус, который с помощью машинного обучения изменяет свою сигнатуру, чтобы обойти антивирусную защиту. Но революционных изменений, которые кардинально изменят ландшафт угроз, в ближайшие 2-3 года не предвидится.

Cyber Media: Какие три главных совета по кибербезопасности вы дали бы руководителям компаний?

Дмитрий Овчинников: Первое — надо быть честным с самим собой в отношении того, что происходит в информационной безопасности. Никогда нельзя останавливаться на достигнутом, считать, что все защитили. Может быть хорошо сейчас, а через 10 минут уже будет плохо, потому что появилась новая уязвимость.

Второе — не стесняйтесь максимально использовать встроенные возможности операционных систем, активного сетевого оборудования, занимайтесь хардингом. Это во многом поможет защитить инфраструктуру. Эти средства входят в базовую поставку, но многие про них забывают. Не стесняйтесь залезть в детали и правильно все настроить.

Третье — превращайте информационную безопасность из центра затрат в инструмент, который будет приносить компании прибыль и пользу за счет обеспечения безопасности и стабильности бизнес-процессов. Если включать информационную безопасность в бизнес-процессы на ранних этапах, то она сможет не только тратить деньги, но и приносить прибыль за счет снижения репутационных, финансовых рисков, повышения надежности со стороны клиентов и партнеров — это может стать ключевым преимуществом при проведении тендеров и заключению партнерских соглашений.

Erid: 2SDnjbqQsPm

* Реклама, Рекламодатель ООО «Юзергейт», ИНН 5408308256