Журнал "Information Security/ Информационная безопасность" #5, 2025

структуру, процессы, особенности бизнеса. Ни один MSSP-провайдер, каким бы опыт- ным он ни был, не может знать внутрен- нюю структуру компании так же хорошо, как люди, которые в ней работают каждый день. Поэтому идеальная схема, когда MSSP берет на себя мониторинг, экспер- тизу, корреляцию событий, а команда на месте умеет грамотно реагировать. Полностью внутренний SOC – вещь дорогая и, по сути, нежизнеспособная. Найти и удержать квалифицированных специалистов крайне сложно: их в стране можно пересчитать буквально по паль- цам. А ведь таких людей надо не просто нанять, но и обучить, обеспечить им постоянную практику. Гибрид – идеальный баланс. Он объ- единяет внутреннюю вовлеченность и глубокое знание инфраструктуры с внешней экспертизой и постоянным профессиональным развитием. Это модель, в которой выигрывают и компа- ния, и специалисты. – У компании "РТ-Информацион- ная безопасность" есть и собст- венные продукты для защиты. Какие принципы вы закладывае- те в продуктовый портфель? – В основе всей экосистемы наших решений лежит философия реагирова- ния – Response First. Я всегда считал и продолжаю считать, что самое важное в кибербезопасности – это скорость и качество реагирования. Можно строить любые системы защиты, но если ты не умеешь вовремя отреагировать на инци- дент, то все остальное теряет смысл. Из этой идеи вырос наш флагманский про- дукт RT Protect EDR, входящий в линейку RT Protect. Его ядро – именно реагиро- вание: защита конечных точек, пред- отвращение шифрования, кражи данных, локализация угроз. Ведь все самое цен- ное, что пытаются атаковать злоумыш- ленники, хранится именно на рабочих станциях пользователей. Постепенно экосистема стала расши- ряться. Мы создали портал угроз RT Protect TI, где объединяются механизмы мониторинга даркнета, корреляции и автоматического анализа событий. Рост количества инцидентов заставил нас искать новые подходы, и логичным шагом стало использование искусствен- ного интеллекта. Так появилась вторая ветвь нашей экосистемы – RT Protect AI, ориентированная на гиперавтоматиза- цию и аналитику больших данных. Если говорить о принципах, на которых все построено, то их три: 1. Реагирование – как основа фило- софии и архитектуры. 2. Гиперавтоматизация – когда все, что можно автоматизировать, действи- тельно автоматизировано. 3. Централизация – единый контур управления, где любое новое правило корреляции, написанное на одном из пред- приятий Госкорпорации Ростех, автома- тически распространяется по всей инфра- структуре. Это и есть наша стратегия: соединить искусственный интеллект, скорость реак- ции и централизованное управление в единую экосистему защиты. – Поговорим подробнее про искусственный интеллект и гиперавтоматизацию. – Мне не нравится, что сегодня термин "искусственный интеллект" используют повсюду – часто просто ради модного слова. А заглянешь "под капот" – там либо обычные скрипты, либо математи- ческая статистика, переименованная в ИИ. Заказчики нередко не до конца понимают, что это такое. Мы используем генеративный ИИ прежде всего для ускорения реагирования. Например, у нас накоплена огромная база описанных инцидентов. Мы обучили модель на этих данных, и теперь она помогает автома- тически формировать текстовое описа- ние инцидента, классифицировать его и предложить корректное оформление отчета. Казалось бы, мелочь – но это экономит минуты, а в нашей сфере время критически важно. Чем быстрее инцидент описан и передан заказчику, тем быстрее начинается реагирование. Кроме того, генеративный ИИ мы при- меняем и для автоматической проверки текстов отчетов – даже орфографии. Снаружи это выглядит как незначитель- ная деталь, но на деле каждая такая автоматизация экономит десятки секунд. А в совокупности – минуты и часы опе- ративной работы. Поэтому гиперавто- матизация для нас – не красивый лозунг, а инструмент, который напрямую сокра- щает время реагирования и повышает качество работы SOC. – В каких пропорциях это все остается под контролем специа- листов по ИБ? – Сейчас чуть меньше половины. В текущих реалиях, благодаря развитию генеративного искусственного интеллек- та, мы можем все больше и больше рутинной работы специалистов по ИБ отдавать искусственному интеллекту. Постепенно мы движемся к тому, чтобы все отдать под управление моделей – когда одна ИИ-система перепроверяет другую. В наших продуктах это уже работает: существенную долю ложных срабатываний автоматически обраба- тывает модель, снижая нагрузку на наших специалистов. При этом система устроена так, что одна модель контро- лирует выводы другой, а еще отдельный слой алгоритмов перепроверяет дей- ствия самих аналитиков. Ведь челове- ческий фактор никуда не исчез – даже опытный специалист может ошибиться. Пример: SOC работает 24/7, сменная р абота. И если ИИ замечает, что один аналитик закрыл инцидент иначе, чем обычно делают его коллеги, то система автоматически отправляет инцидент на проверку второй или третьей линии. Все это строится на реальных данных, накоп- ленных за три года работы. Мы посто- янно подвергались атакам, и именно этот массив инцидентов позволил каче- ственно обучить модели. Качество исходных данных – это основа. Если данные плохие или их очень мало, то и модель не покажет достойных резуль- татов. Более того, есть и новые риски – например, Data Poisoning, когда в процесс обучения намеренно закладывается вре- доносная логика. И тогда при атаке систе- ма попросту не заметит аномалию. Это кажется банальным, но далеко не все уделяют этому внимание. Поэтому важно критически относиться к тому, что тебе продают под видом "интеллекта". Кстати, именно для этого я и создал свой Telegram- канал sychevlab – место, где обсуждаю реальные примеры, делюсь наблюдениями и стараюсь популяризировать критическое мышление в ИБ. Сегодня, на мой взгляд, это ключевой навык. – Что, на ваш взгляд, самое важное сегодня для специали- стов по информационной без- опасности? – Главное для современного ИБ-спе- циалиста – не просто знание инстру- ментов, а способность мыслить крити- чески, задавать правильные вопросы и понимать взаимосвязь между техноло- гиями, рисками и бизнесом. Именно это определяет профессиональный уровень сегодня. Сейчас многие компании, даже не из сферы ИБ, активно внедряют ИИ в свои продукты, не до конца понимая, как он устроен. И вот тут появляется новая проблема. Все больше использу- ется генеративное кодирование – так называемый вайб-кодинг, когда модели ИИ создают программный код автома- тически. Часто этот код никто не прове- ряет: его пишет не человек, а генера- тивный искусственный интеллект, за которым некому присматривать. Это открывает массу уязвимостей и повы- шает риск инцидентов. – Какие продуктовые направ- ления выглядят наиболее пер- спективными – с точки зрения безопасности и с точки зрения спроса? – Мы видим устойчивый рост интереса со стороны малого и среднего бизнеса. Эти компании все чаще становятся жерт- вами кибератак, но при этом о защите задумываются в последнюю очередь. Причины понятны: когда бизнес неболь- шой, каждая копейка на счету. Наша цель – сделать решения, которые будут доступны малому и среднему бизнесу. Самый частый запрос от таких заказчиков – буквально: "Сделайте так, чтобы нас не зашифровали". Поэтому защита от шиф- ровальщиков остается базовым и самым востребованным направлением. 10 • В ФОКУСЕ