CNews: Какие изменения вы видите в подходе госкорпораций к информационной безопасности за последние два года?

Артем Сычев: Последние два года мы наблюдаем сдвиг: если раньше многое сводилось к бюрократическому выполнению нормативных требований и федеральных законов, то сейчас компании концентрируются на практических навыках киберзащиты. Причина заключается в увеличении количества атак. Например, только 23 февраля мы зафиксировали 10 инцидентов подряд, включая массовую рассылку фишинговых писем от имени госкорпораций.

Изменилась и мотивация злоумышленников. Если раньше они чаще преследовали финансовую выгоду, то сегодня главная цель — уничтожение критической инфраструктуры и срыв выполнения гособоронзаказа.

Существенно увеличилось и количество активных АРТ-группировок. Несколько лет назад можно было говорить о 2–3 группах, преимущественно восточного происхождения; сейчас же появилось еще порядка 7–8 новых, в том числе множество западных.

CNews: В последние месяцы участились сообщения о кибератаках с применением нейросетей. Насколько серьёзным вы считаете этот вызов для традиционных средств ИБ?

Артем Сычев: Атаки стали быстрее, что, вероятно, связано с использованием злоумышленниками технологий искусственного интеллекта. Это дает им возможность оперативно выкачивать данные и выводить инфраструктуру из строя. В результате количество инцидентов и алертов выросло в 5–10 раз, тогда как численность ИБ-специалистов увеличилась лишь вдвое, что создало значительный разрыв.

В ответ на это на стороне защиты также активно внедряется ИИ: сегодня около 30% инцидентов в SOC-центре компании закрываются автоматически. На внедрение ушел год, включая трёхмесячный этап обучения и тестирования. При этом применяется дополнительный ИИ-алгоритм, который контролирует работу основного, обеспечивая надежность и взаимозаменяемость.

CNews: РТ-ИБ разрабатывает собственный фреймворк оценки зрелости информационной безопасности. На какие критерии он опирается и чем отличается от других существующих подходов?

Артем Сычев: Наш фреймворк объединяет международные стандарты MITRE ATT&CK и NIST с количественной оценкой рисков и учитывает практические требования. Его особенность заключается в том, что в расчет берется отраслевая специфика: химия, оборона, банки, медицина. Проверка устойчивости к киберугрозам автоматизирована и выполняется постоянно обучающимися ИИ-агентами. Они получают новые угрозы из внешней среды и проверяют их в рамках фреймворка, что обеспечивает его актуальность.

Автоматизация на ИИ-агентах отличается от традиционной скоростью и узкой специализацией. Каждый агент выступает экспертом в конкретной области и применяет техники и тактики MITRE ATT&CK для моделирования рисков. Фреймворк изначально ориентирован на гиперавтоматизацию: агенты способны работать без участия человека. При этом несколько агентов могут контролировать работу друг друга, обеспечивая независимость проверки. В будущем менеджеры по информационной безопасности будут управлять как людьми, так и ИИ-агентами.

CNews: Какие проблемы чаще всего выявляются при оценке зрелости ИБ в секторе МСБ, и как с ними помогает справляться ваша методология?

Артем Сычев: Основные проблемы МСБ — это непонимание рисков и высокая стоимость таких услуг, как консалтинг, Red Team и базовых средств защиты. Решением может стать ИИ-ассистент, то есть виртуальный CISO, который помогает руководителям понять риски и возможные сценарии их реализации. Он работает как чат-бот, обученный на стандартных моделях угроз.

Прогнозируется, что через 2–3 года стоимость услуг информационной безопасности снизится благодаря автоматизации и широкому внедрению ИИ, что сделает их доступными для МСБ.

CNews: В чём ключевые особенности обновлённой экосистемы решений РТ-ИБ? Какие компоненты обеспечивают предиктивный уровень защиты?

Артем Сычев: Ключевые направления развития экосистемы RT Protect включают централизацию, гиперавтоматизацию и применение ИИ. Предиктивная аналитика реализуется через портал угроз, который с помощью ИИ собирает, парсит и анализирует данные об атаках из публичных отчетов, включая техники, тактики и индикаторы. Эти знания затем распространяются на все EDR-агенты в организациях для мгновенной защиты.

Модули ИИ также внедряются непосредственно в EDR-агенты, обеспечивая их автономность. Пользователи могут использовать портал угроз для создания собственных правил корреляции. Кроме того, компания создала отдельное направление RT Protect AI, которое занимается обменом экспертными знаниями по обучению и внедрению ИИ-алгоритмов.

CNews: Расскажите о принципах, на которых строится взаимодействие компонентов вашей экосистемы. Есть ли у неё единая архитектура?

Артем Сычев: Принципиальным подходом, который мы стараемся соблюдать в своей экосистеме, является проактивное реагирование на угрозы. Поскольку 90% атак нацелены на компрометацию конечных точек, будь то рабочий компьютер или сервер, одной из ключевых технологий является EDR. В свою очередь, взаимодействие компонентов экосистемы в части аналитического наполнения строится на базе RT Protect TI, а первичная обработка данных, интеллектуальная градация и обогащение инцидентов реализуются с помощью RT Protect AI.

В нашей концепции развития экосистемы RT Protect AI займёт ведущую аналитическую роль по оркестрации процессов аналитики угроз в RT Protect TI, реагирования на инциденты в RT Protect EDR и взаимодействия с регуляторами и заказчиками через IRP.

CNews: Какие барьеры чаще всего озвучивают клиенты, когда речь идёт о переходе с зарубежных систем безопасности на российские? Как вы работаете с этими опасениями?

Артем Сычев: Основными барьерами импортозамещения в сфере ИТ остаются ERP-системы и почтовые серверы. Многие компании продолжают использовать западные ERP и Microsoft Exchange, поскольку нет надежных российских аналогов с удобной интеграцией, в частности это касается календарей и почты, так как существующие отечественные решения часто работают нестабильно.

Но важно понимать, что отсутствие обновлений от Microsoft создает уязвимости, представляющие собой «дыры» на внешнем периметре организаций. Продукты РТ-ИБ, в частности RT Protect EDR, содержат набор экспертных правил для обнаружения, автоматического предотвращения и оперативного реагирования на такие угрозы, вплоть до автоматического ответа, если это согласовано с заказчиком.

CNews: При возможной отмене санкций и возвращении западных вендоров, как вы оцениваете устойчивость экосистемы РТ-ИБ? Какие преимущества сохранят за вами лидерство?

Артем Сычев: Мы уверены в устойчивости нашей экосистемы и считаем себя конкурентноспособными на уровне ведущих мировых вендоров, что подтверждают наши заказчики широкого круга отраслей. Наши системы прошли практическую проверку в боевых условиях новых угроз информационной безопасности и подтвердили свою эффективность, чего нельзя сказать о западных решениях.

Кроме того, у нас накоплена огромная экспертиза, и мы можем уверенно заявить об уникальности нашего опыта. Если западные вендоры вернутся к нам, то и для нас западный рынок будет открыт. Пусть глобальные производители боятся появления наших средств защиты у них дома.