20 Ноября 2025 14:08 20 Ноя 2025 14:08 |

Поделиться

Эльман Бейбутов, UserGate: Дипфейки и фишинг стали оружием массового поражения в интернете

«Приоритеты внутри портфеля услуг uFactor выстраиваются, исходя из потребностей клиента»

CNews: С каким форматом участия UserGate выступает на SOC Forum 2025? На какие решения и сервисы вы делаете основной акцент в этом году?

Эльман Бейбутов: UserGate примет участие в SOC Forum 2025 в комбинированном формате. С докладом о том, как собрать команду, когда кадров нет, выступит Иван Костыря, руководитель L1 SOC uFactor. А на большом стенде UserGate в выставочной зоне форума гости смогут пообщаться с командой и подробно познакомиться с сервисами направления uFactor. Здесь также пройдут питч-сессии, посвященные продуктам и услугам компании, а в переговорной зоне можно будет обсудить практические вопросы. Кроме того, представители UserGate в лице архитектора клиентского опыта Михаила Кадера и менеджера по развитию UserGate SUMMA Виктории Дручининой выступят модераторами двух треков — архитектуры и бизнес-направления.

CNews: Почему компания решила сосредоточить внимание именно на сервисном направлении uFactor? В чем заключается ключевая ценность этого направления для заказчиков?

Эльман Бейбутов: Действительно, uFactor — это ключевое направление бизнеса, в котором сосредоточены экспертные компетенции компании. В него входят аудит и консалтинг, разработка политик и регламентов, поддерживающих процессы кибербезопасности, а также технический анализ защищенности (пентесты). Отдельного внимания достойно направление оказания услуг мониторинга и реагирования на инциденты — SOC as a Service. Также дополняет сервисы SOC направление цифровых расследований DFIR, которое позволяет привлекать экспертов для анализа реализованных инцидентов, выяснять причины проблем и собирать цифровые доказательства, включая материалы для судебного делопроизводства.

Ключевая ценность uFactor для заказчиков заключается в том, что оно дополняет продуктовый портфель UserGate, позволяя предоставлять комплексную экспертизу по информационной безопасности, выходящую за рамки только продуктовых решений компании.

CNews: SOC as a service, DFIR, пентесты, консалтинг, о которых вы упомянули, — довольно широкий спектр услуг. Как вы выстраиваете приоритеты внутри этого портфеля? Что сегодня наиболее востребовано у клиентов?

Эльман Бейбутов: Приоритеты внутри портфеля услуг uFactor выстраиваются, исходя из потребностей клиента и текущего состояния его информационной безопасности. Как правило, мы рекомендуем начинать с консалтинга: провести аудит, оценить текущую зрелость ключевых доменов ИБ, определить стратегию, цели и приоритетные направления ИБ в соответствии с бизнес-стратегией компании и разработать дорожную карту развития ИБ.

На основе этих результатов формируется дальнейший спектр услуг. В частности, компания может предоставить эксперта в области кибербезопасности, который будет выполнять роль vCISO: взаимодействовать с командой клиента, участвовать в различных комитетах, согласовывать инициативы и помогать в управлении процессами ИБ.

Далее при необходимости подключается SOC as a Service, где специалисты UserGate мониторят инфраструктуру заказчика, выявляют инциденты, выдают рекомендации и по согласованным сценариям могут выполнять первичные действия по реагированию на инциденты.

Завершающим этапом, как «вишенка на торте», могут быть регулярные пентесты — один или два раза в год, чтобы убедиться в надежности всех инициатив. Это позволит проверить устойчивость инфраструктуры и невозможность несанкционированного доступа к критически важным ИТ-сервисам, таким как контроллерам доменов и корневым маршрутизаторам.

«Сетевое доверие — это ключевой элемент миссии и концепции, которую мы продвигаем»

CNews: На стенде вы демонстрируете возможности UserGate SIEM и UserGate Client. Как они взаимодействуют между собой и как вписываются в экосистему решений UserGate SUMMA?

Эльман Бейбутов: Решение класса SIEM предназначено для сбора событий и выявления инцидентов за счет их корреляции между собой. UserGate Client — это агентское решение, которое устанавливается на целевые серверы или рабочие места и обеспечивает локальный сбор событий ИБ, проверку хостов по требованиям безопасности и локальное реагирование на выявленные угрозы.

Связка UserGate SIEM и UserGate Client позволяет не только обнаруживать инциденты, но и оперативно реагировать на них. Хостовый респонс может включать в себя остановку подозрительных процессов на рабочей станции, сетевое изолирование устройства, чтобы предотвратить распространение атаки в инфраструктуре. Кроме того, клиент собирает события информационной безопасности и передает их в SIEM, что позволяет формировать полную картину происходящего.

Эта интеграция востребована у клиентов, поскольку сочетает мониторинг и реагирование в единой экосистеме UserGate SUMMA. На стенде UserGate в рамках SOC Forum 2025 мы продемонстрируем работу этих двух решений совместно, чтобы показать, как они взаимодействуют и дополняют друг друга.

CNews: Вы часто говорите о «сетевом доверии» и роли человеческого фактора в его архитектуре. Как этот принцип реализуется в подходе uFactor — как со стороны вендора, так и со стороны заказчика?

Эльман Бейбутов: Сетевое доверие — это ключевой элемент миссии и концепции, которую мы продвигаем. Мы стремимся к тому, чтобы принцип работы пользователей в сетевой инфраструктуре строился на основе доверительного и киберустойчивого подхода: пользователь априори понимает, что он работает в безопасной среде, а механизмы выявления и реагирования на угрозы сохраняют состояние безопасности в незаметном для легитимных пользователей режиме.

В рамках концепции UserGate сетевое доверие означает, что сеть, построенная на принципах «secure by design», изначально безопасна, но при возникновении инцидентов или подозрительных действий на уровне сети или хостов продукты UserGate способны оперативно реагировать, предотвращая развитие атак на ранних стадиях, и сохраняя высокий уровень защищённости сетевой инфраструктуры, хостов и приложений. Например, можно изолировать хост, который потерял доверие или ведет себя аномально, либо приостановить определенные процессы на этом узле, возвращая сетевое доверие к первоначальному безопасному состоянию.

Таким образом, подход UserGate реализует принцип «доверяй, но проверяй»: пользователи могут доверять сети, но при этом система постоянно контролирует безопасность работы, обеспечивая баланс между защищенностью и удобством. В отличие от подхода Zero Trust с нулевым доверием, наша цель — дать возможность сотрудникам компании ощущать, что их окружение надежно и безопасно, обеспечивая при этом защищенность с помощью механизмов детектирования и реагирования на угрозы кибербезопасности.

CNews: Насколько глубоко искусственный интеллект интегрирован в ваши сервисы безопасности? Какие реальные задачи он помогает решать сегодня, помимо автоматизации анализа угроз?

Эльман Бейбутов: Мы действительно используем отдельные направления искусственного интеллекта, такие как механизмы машинного обучения. Например, наш центр мониторинга умеет выявлять подозрительные цепочки запусков процессов и подпроцессов, выстраивает паттерны нормального поведения и определяет, какие последовательности можно считать небезопасными.

Если же мы видим, что один процесс порождает другой в нетипичной, аномальной связке, мы помечаем это как потенциальное отклонение с помощью методов ИИ и передаем информацию в дежурную смену. Там уже специалисты анализируют ситуацию и определяют, идет ли речь о реальном инциденте или об исключении из нормы.

Таким образом, мы внедряем эти сервисы, чтобы видеть больше, чем способен заметить специалист при обычном анализе событий информационной безопасности, и распознавать новые вектора угроз на ранних стадиях реализации атак.

«Перед нами стоит задача противостоять таким сценариям, где ИИ активно используется и по другую сторону баррикад»

CNews: UserGate активно развивает собственные аппаратные решения. Какие преимущества это дает в сравнении с использованием платформ от сторонних производителей?

Эльман Бейбутов: Когда вендор предоставляет и собственную аппаратную платформу, и программный продукт, это, без сомнения, означает полную совместимость всех компонентов между собой. Все вопросы, связанные с производительностью, корректным сайзингом оборудования, обслуживанием, сопровождением и гарантийными обязательствами, полностью берет на себя вендор.

Если же серверы приобретаются у одного поставщика, а программное решение устанавливается от другого, то ответственность за итоговую работоспособность такой системы фактически ложится на клиента. Мы эту проблему снимаем: берем на себя как аппаратную, так и программную часть, обеспечивая полную клиентоцентричность на всех стадиях: от первоначального подбора подходящего программно-аппаратного комплекса до его сервисного обслуживания и замены комплектующих в гарантийных случаях.

Поэтому вопросы технической поддержки, гарантийного обслуживания, замены комплектующих, устранения программных сбоев — все это сосредоточено в едином окне поддержки UserGate.

CNews: С какими основными вызовами вы сталкиваетесь при создании таких решений — и как команда их преодолевает?

Эльман Бейбутов: Над такими продуктам, разумеется, работает большое число команд, и один из главных вызовов — выстроить единую, кросс-функциональную систему их взаимодействия. Важно, чтобы разработчики ПО понимали, какой цикл выпуска аппаратных платформ ожидается через год или полтора, а команды, создающие перспективные аппаратные платформы, учитывали запросы клиентов и общую продуктовую стратегию. Это требует умения всех участников продуктовой команды заглядывать чуть дальше горизонта и предвосхищать ожидания рынка.

Здесь большую роль играет продуктовый маркетинг, обеспечивающий связь продуктовой команды с рынком через кастдев и регулярные интервью с заказчиками — все, что помогает создавать решение, актуальное не только в момент выхода, но и в течение трех–пяти лет вперед.

Мы преодолеваем эти сложности за счет постоянной коммуникации между командами: они регулярно синхронизируют планы, делятся обновлениями, помогают друг другу закрывать «серые зоны». При необходимости подключаются технический маркетинг, партнеры и технологические эксперты. Все это позволяет нам в итоге выпускать продукт, который действительно соответствует ожиданиям клиентов.

CNews: А если говорить шире, какие ключевые тренды в сфере кибербезопасности вы считаете определяющими на ближайшие годы?

Эльман Бейбутов: Безусловно, один из ключевых трендов — это рост использования искусственного интеллекта со стороны злоумышленников. Мы уже сейчас видим очень качественные дипфейки, которые создаются алгоритмами ИИ. Это касается и фишинговых писем, подготовленных под конкретную аудиторию или даже под определенные должности, чтобы повысить эффективность рассылок и вероятность того, что пользователь перейдет по ссылке или откроет вредоносный файл.

Появляются и новые векторы на базе видео: например, когда пользователю отправляют видеосообщение якобы от сотрудника техподдержки компании, который просит назвать логин и пароль для «обслуживания рабочей станции». Такие атаки становятся все более массовыми, и отличить правду от подделки все сложнее.

Поэтому сейчас перед нами стоит задача противостоять таким сценариям и развивать средства защиты, способные работать в условиях, где ИИ активно используется и по другую сторону баррикад.

CNews: Что, на ваш взгляд, станет главным результатом SOC Forum 2025 для индустрии — и какие темы лично вы считаете наиболее значимыми для профессионального сообщества?

Эльман Бейбутов: Конечно, SOC Forum уже много лет ассоциируется с развитием центров мониторинга безопасности. И в последние годы форум последовательно расширяет повестку, показывая не только саму работу Security Operations Center, но и связанные решения, технологические связки и подходы, которые сегодня востребованы на рынке.

Форум — это в первую очередь возможность встретиться с коллегами и единомышленниками, с которыми мы давно работаем в индустрии, обменяться опытом, обсудить технологические новинки и то, что происходит на российском рынке безопасности в целом. Не только в узкой теме мониторинга, но и за ее пределами. Именно такие профессиональные встречи, на мой взгляд, и становятся главным результатом форума для всей индустрии.

Поделиться

Подписаться на новости Короткая ссылка