2SDnjcoK9BL
Максим Казенков — DevOps-специалист по информационной безопасности VK. В компании он занимается Vulnerability Management: от выстраивания процессов поиска и устранения уязвимостей до анализа инцидентов и управления рисками.
Команда VK разработала собственный сканер уязвимостей с применением машинного обучения, который адаптирован под специфику инфраструктуры экосистемы компании. В интервью для Cyber Media Максим рассказал о том, почему готовые решения не подошли для масштабов VK, как работает их кастомный сканер и какую роль играет ML в современной информационной безопасности.
Cyber Media: Максим, расскажите о себе и своем пути в информационную безопасность. Как вы пришли в VK, и какие задачи решаете в команде Security?
Максим Казенков: В информационную безопасность я пришел рано, примерно в 11–12 лет. Сначала это было чистое любопытство: хотелось понять, как устроены системы, что произойдет, если изменить что-то привычное, и где проходит граница между «работает» и «ломается». Со временем это детское увлечение превратилось в профессию: то, что начиналось с экспериментов, стало основой моей карьеры.
В VK меня привлекла уникальная инфраструктура с огромным количеством технических (внутренние интерфейсы, протоколы, виртуалки и т.д.) и продуктовых сервисов. Стандартные решения здесь просто не работают —приходится искать и внедрять собственные подходы. Кроме того, ценю в компании свободу действий: можно предлагать и реализовывать альтернативы, если они реально помогают бизнесу.
Сейчас мой основной фокус — Vulnerability Management. Это целый спектр задач: от выстраивания процессов поиска и устранения уязвимостей до анализа инцидентов, управления рисками и работы в режиме дежурств. Для меня это не просто про «закрыть баг», это про создание системы, которая умеет своевременно находить слабые места, оценивать их влияние и быстро реагировать.
Cyber Media: Какие особенности у ИБ в компании масштаба VK? С какими основными вызовами сталкивается ваша команда?
Максим Казенков: Главная особенность VK — это масштаб и динамика экосистемы. Если в классической компании инфраструктура может измеряться десятками или сотнями технических сервисов, то у нас речь идет о сотнях тысяч, которые связаны друг с другом, взаимодействуют через API и при этом постоянно меняются. Для специалиста по безопасности это означает, что внешняя поверхность атаки не статична и не ограничена — она как живой организм, который непрерывно растет и трансформируется. Для бизнеса это создает понятный риск: если процессы не выстроены, организация может просто потерять видимость своей собственной инфраструктуры. А это уже вопрос не только технологический, но и стратегический: нельзя защищать то, чего не видишь.
Будущее информационной безопасности — за автоматизацией и умными алгоритмами
В таких условиях выделить один «главный» вызов невозможно. Остро все сразу: скорость реагирования — сервисы появляются и обновляются ежедневно, значит, проверка и закрытие уязвимостей должны идти тем же темпом. Точность — слишком много ложных сигналов перегрузят инженеров и замедлят работу. Полнота охвата — если упустить хотя бы маленький кусок инфраструктуры, он может стать точкой входа для атакующего. Взаимодействие с бизнесом — безопасность не может тормозить продукт, она должна быть встроена в процессы так, чтобы помогать, а не мешать.
Мы постоянно ищем золотую середину между этими факторами. Она в комбинированном подходе: где-то автоматизация и машинное обучение, где-то плотная работа с разработчиками, а где-то — ручная экспертиза.
Cyber Media: Как эволюционировал подход к безопасности в VK за последние годы? Что изменилось в процессах и инструментах?
Максим Казенков: Если раньше многое строилось на ручных процессах — проверки, триаж задач, взаимодействие с разработчиками, то сейчас мы сделали ставку на автоматизацию и масштабируемость. Это был осознанный выбор: ручные проверки в инфраструктуре такого размера не дают нужного результата, они перегружают инженеров и создают «бутылочное горлышко» для бизнеса. При автоматизации специалисты тратят время не на то, чтобы вручную сортировать сигналы, а на то, чтобы предотвращать реальные риски.
Cyber Media: Расскажите о мотивах создания собственного сканера уязвимостей. Что не устраивало в существующих решениях для ваших масштабов?
Максим Казенков: Когда мы начали анализировать рынок готовых решений, стало очевидно, что ни один продукт не учитывает специфику инфраструктуры масштаба VK. У большинства компаний инфраструктура относительно статична: есть определенный набор серверов и сервисов, которые можно просканировать, дождаться результатов и принять меры. У нас же картина принципиально иная, и если инструмент работает медленно, то пока он завершает цикл сканирования, часть данных уже теряет актуальность.
Поэтому мы приняли стратегическое решение: разрабатывать собственный сканер уязвимостей. Это позволило нам подстроить алгоритмы под реальный ритм нашей инфраструктуры, добиться актуальности данных в режиме почти реального времени и встроить инструмент в наши процессы так, чтобы он не мешал разработке, а помогал ей.
Cyber Media: Представим ситуацию — огромная компания с тысячами открытых портов и сервисов на внешнем периметре. Как подходите к задаче охвата всей инфраструктуры целиком?
Максим Казенков: Самое сложное в VK это то, что огромная инфраструктура меняется каждый день. Поэтому мы выстроили гибридный подход. Сначала инвентаризация — с помощью автоматизированных пайплайнов собираем всю периферию: IP-диапазоны, домены, сертификаты, DNS-записи. Затем приоритетные объекты — отделяем VPN, почту, админ-панели от тестовых сервисов. Критичные узлы идут в первую очередь. Далее непрерывное сканирование — мы строим систему, которая следит за изменениями: появился новый сервис – он автоматически попадает в мониторинг. Здесь задействованы и быстрые сканеры, и более сложные сканеры, которые сопоставляют результаты с уже известной базой уязвимостей.
Автоматика плюс ручная аналитика — массовую рутину берут на себя сканеры, но действительно ценные уязвимости часто прячутся там, где автомат не справится: цепочки из нескольких багов, логические уязвимости, недокументированные сервисы. Поэтому поверх автоматизации идёт ручная работа специалистов.
Фокус на рисках — наша конечная цель не «отчитаться о тысячах уязвимостей», а показать, где реально можно зайти в систему «без билета». Мы выстраиваем картину угроз: какие уязвимости эксплуатируемы, как они связываются в цепочки, что может повлиять на бизнес.
Инженер должен заниматься тем, что требует его экспертного мышления, а не тратить время на сортировку сигналов
Cyber Media: Как вы структурируете и обрабатываете поток из сотен тысяч баннеров и сервисов? Какие подходы к классификации данных используете?
Максим Казенков: Здесь тоже применяется гибридный подход. Мы используем классические методы — сигнатуры, регулярные выражения, словари известных сервисов и протоколов. Это позволяет очень быстро отсеивать «очевидные случаи»: например, что перед нами Apache, Nginx или стандартная панель управления.
Там, где сигнатуры бессильны (нестандартные заголовки, кастомные решения, редкие технологии), мы подключаем ML. Оно помогает выявлять закономерности, группировать похожие сервисы, распознавать необычные паттерны и находить аномалии.
Cyber Media: На каком этапе разработки вы поняли, что без машинного обучения не обойтись? Какие конкретно задачи решает ML в вашем сканере?
Максим Казенков: Поворотным моментом стало первое полное сканирование внешнего периметра. Если бы мы пошли классическим путем и проверяли все вручную, на это ушли бы месяцы.
Поэтому мы внедрили машинное обучение в наш сканер для решения ключевых задач. Во-первых, классификация сервисов и баннеров: ML автоматически определяет, что перед нами — админ-панель, публичный сайт, тестовый сервис или что-то подозрительное. Это снимает рутину с инженеров и ускоряет анализ в десятки раз. Во-вторых, анализ дизайна продукта: система отслеживает изменения интерфейсов и выявляет признаки потенциальных взломов или подмены.
Cyber Media: Какие типы уязвимостей чаще всего находит ваша система? Есть ли специфика для инфраструктуры VK?
Максим Казенков: Любая крупная IT-компания с большой и динамичной инфраструктурой сталкивается с тремя категориями проблем.
Инфраструктуры без проблем не бывает. Важно управлять рисками и вызовами системно: насколько быстро мы находим уязвимость, насколько приоритетно её закрываем, насколько хорошо автоматизация помогает нам держать картину целиком, насколько эффективно мы взаимодействуем с командами разработки и эксплуатации.
Именно это определяет уровень зрелости безопасности: уязвимости — это часть непрерывного процесса управления рисками. Для инженеров это вызов в масштабе данных и процессов. Для бизнеса — гарантия того, что даже при огромной инфраструктуре мы держим риски под контролем и минимизируем последствия для компании и пользователей.
Cyber Media: Планируете ли развивать ML-компоненты дальше? Какие направления в применении машинного обучения для ИБ видите перспективными?
Максим Казенков: Сегодня мы видим, что будущее информационной безопасности — за автоматизацией и умными алгоритмами. Объем данных растет экспоненциально, а человеческие ресурсы ограничены. Инженер должен заниматься тем, что требует его экспертного мышления: анализировать сложные атаки, строить новые модели защиты, а не тратить дни на сортировку сигналов.
Мы уже используем ML для классификации сервисов и фильтрации шумов, но видим ещё несколько ключевых направлений развития.
Выявление аномалий — не все угрозы выглядят как известные паттерны. Часто атака маскируется под «обычное поведение». Алгоритмы машинного обучения способны находить такие отклонения – то, что человек или классический скрипт просто не заметят.
Предиктивные модели — наша цель не только фиксировать уязвимости, но и предугадывать, где они могут появиться. Например, анализировать историю изменений в сервисах, паттерны разработки или особенности конфигураций.
Интеллектуальная фильтрация сигналов — сегодня любая крупная компания получает миллионы событий безопасности. 99% из них – шум. ML может автоматически выделять тот 1%, который действительно важен, и передавать его инженерам. Это сокращает время реакции и экономит ресурсы.
Для бизнеса ценность очевидна: меньше ручной работы, быстрее реакция, ниже издержки. Инженеры получают инструмент, который снимает рутину и позволяет заниматься интересными задачами. Я уверен, что уже в ближайшие годы мы будем воспринимать ML не как отдельный модуль безопасности, а как естественную часть всей экосистемы.
5 декабря прошли финальные очные этапы Кубка CTF России — одного из крупнейших российских турниров по кибербезопасности для школьников и студентов.
Когда компании все чаще сталкиваются с внутренними инцидентами, утечками данных и давлением со стороны регуляторов, эффективность защиты бизнеса все больше зависит от того, насколько слаженно работают службы безопасности и информационной безопасности.
Транспортные и логистические компании подвержены высоким киберрискам.
В октябре 2025 года на ИнфоТеКС ТехноФест «Перспективный мониторинг» впервые представил новый продукт AML Web Protection для защиты веб-ресурсов от кибератак.
Автомобиль сначала перестал быть роскошью, а сегодня и эволюционирует из средств передвижения.
Руководитель L1 SOC UserGate Иван Костыря — один из докладчиков первого дня SOC Forum, где он рассказывает о том, как построить команду в SOC при дефиците кадров.
Ирина Левова — директор по стратегическим проектам Ассоциации больших данных (АБД).
Современные киберугрозы и хакерские атаки всё чаще направлены не на кражу данных, а на их полное уничтожение.
Отечественная отрасль микроэлектроники переживает подъем – уже сейчас доля отечественных производителей составляет более 25%, а к 2030 году они могут занять почти половину рынка.
Цифровизация и внедрение ИИ заставляют нефтегазовые компании выходить за рамки формальной отчетности по безопасности.
