О чем материал
Рассказываем, как появилось, что умеет и кому подходит наше облачное решение PT X
Как появился PT X и почему, собственно, вы решили его сделать?
Потому что можем :) А если серьезно, статистика наших расследований показывает, что основными векторами проникновения по-прежнему остаются уязвимости на периметре и в веб-приложениях, социальная инженерия, а также старый добрый перебор паролей плюс утечки учетных записей. Нынешний технологический стек Позитива позволяет противостоять всем этим угрозам: ключевым моментом стало появление защиты эндпоинтов. По сути, нам оставалось лишь нарисовать архитектуру комплексного решения, которое обеспечит клиентам эшелонированную защиту. Поскольку долгие on-premise-внедрения подходят не всем (например, представителям SME), мы решили сразу выпустить продукт в облачном исполнении.
В дополнение к PT X мы разработали «Киберминимум» — набор ИБ-требований для наших клиентов. Например, обязательный второй фактор на все сервисы удаленного доступа, устранение критических уязвимостей на периметре за 96 часов, покрытие EDR’ом, подключение к песочнице и т. д. Эти защитные меры автоматически делают компанию неинтересной для 80–90% действующих в России хакеров — им выгоднее переключиться на кого-то попроще. Здесь как в поговорке: «От медведя не надо убегать первым, главное — бежать не последним» :)
Современные хакеры (не считая проправительственные APT-группировки) — это менеджеры, которые четко считают P&L каждой атаки. Мы сегментировали их на пять категорий (по уровню компетенций и бюджетам), и, по нашей оценке, PT X защищает от первых трех — с бюджетом на атаку до 20 млн руб.
Чем PT X отличается от традиционных ИБ-продуктов?
Ключевая особенность — минимальные затраты на внедрение и минимум СЗИ на стороне клиента. Мы внедряем только EDR, а вся тяжелая логика и ML-алгоритмы запускаются в облаке. При этом мы продолжаем снижать требования к инфраструктуре и автоматизировать процесс подключения клиентов. Идеальная картина будущего выглядит так: пользователь получает логин и пароль от облачного личного кабинета, дистрибутивы, понятные инструкции «Next-Next-Finish», инсталлирует набор агентов и тут же получает должный уровень защиты.
Кроме того, мы предлагаем клиентам верификацию выстроенной защиты. CISO и безопасники часто не могут ответить на вопросы: «Насколько защищеннее стала компания после внедрения ИБ-продуктов?» и «Сколько еще нужно инвестировать?». Мы выводим пользователей PT X на кибериспытания, где предлагаем белым хакерам реализовать типовые инциденты: шифрование инфраструктуры, кражу конфиденциальных данных или денежных средств, остановку критических бизнес-процессов. Заказчики в реальном времени следят, как PT X отражает атаки на их инфраструктуру. А если исследователям все-таки удастся реализовать инцидент и продемонстрировать это, мы сами выплатим вознаграждение и модернизируем защиту компании (при условии выполнения заказчиком всех требований «Киберминимума»). Более того, если во время эксплуатации PT X случится реальный инцидент, клиенту будет возмещен ущерб. К слову, пока таких кейсов в нашей практике не было.
По сути, у нас получился SaaS-продукт, объединяющий ИБ-технологии Позитива в единое автоматизированное решение. При этом клиент не тратится на эксплуатацию и поддержку, а после согласования плана реагирования может полностью передать нам работу с инцидентами. Фактически это кибербез под ключ.
Каким компаниям подходит PT X?
Всем :) В качестве примера приведу несколько сценариев:
- У вас произошел инцидент, и вы хотите быстро/качественно поднять уровень защиты (есть рекордсмены, которых ломали по два, три и даже пять раз за пару лет, потому что уроки не были выучены).
- Нужно обеспечить безопасность инфраструктуры, но из ИБ-инструментов у вас только антивирус (или нет даже его).
- У вас свой SOC — в этом случае PT X будет работать как система second opinion.
Если говорить об усредненном портрете клиента, то это компании с оборотом 20–50 млрд руб. и количеством ИТ-активов до 10–15 тысяч. Представители ретейла, финансов, аптечные сети и т. д. Эти компании уже осознали зависимость от «цифры», возможно, даже ощутили реальные потери от киберинцидентов, но пока не готовы выделять огромные деньги на кибербез. Многие просто не могут позволить себе штат безопасников: бывает, что ИТ-директор и картриджи в принтере меняет, и за ИБ отвечает… On-premise SIEM или EDR там не внедрят никогда — СЗИ в любом случае некому будет сопровождать. А вот облачный PT X быстро закроет все потребности такой компании.
Мы приняли решение о создании продукта летом 2025-го и уже работаем с 19 компаниями (у каждой около 2100 ИТ-активов). Предполагаем прибавлять по 30–40 клиентов в год.
У каждого второго нашего клиента вообще нет ИБ-специалистов — в этом случае мы общаемся с ИТ-шниками или владельцем / генеральным директором. С помощью дашборда в личном кабинете PT X мы стараемся наглядно показать им текущее состояние ИБ компании в режиме светофора — без хардкорных терминов.
Технологии и эксплуатация
Какие ИБ-технологии стоят за PT X?
- MaxPatrol EDR + MaxPatrol EPP: защита эндпоинтов.
- PT Sandbox: сейчас переводим песочницу в облако, чтобы не приходилось ставить железо на стороне клиента.
- PT NAD: хакеры пока не научились ломать компании без следов на уровне трафика, так что это must have.
- MaxPatrol VM и HCC: сканирование и устранение критических уязвимостей.
- В облаке развернуты Data Lake, ML-модели, процессинг инцидентов, а также тикет-система и личный кабинет с дашбордами. Клиент в режиме реального времени видит данные по инцидентам, статистику выполнения «Киберминимума», результаты кибериспытаний, а также нашу оценку уровня защищенности компании.
По отдельности все это нужно не только купить и установить, но и грамотно эксплуатировать. PT X же позволяет получить сразу все плюшки по подписке. При этом мы стараемся автоматизировать все возможные процессы и реализовать humanless-подход к защите. Атаки отражает PT X, а наши ребята в основном работают как бэк-офис: оптимизируют ML-модели, помогают выявлять недостатки инфраструктуры и т. д.
Чем больше компаний подключаются к PT X и передают нам телеметрию, тем точнее работают наши алгоритмы. Анализ массивов данных из разных отраслей позволяет быстрее детектировать злоумышленников и предотвращать вредоносные кампании на ранних этапах.
Приведите пример инцидента, с которым вы столкнулись за время эксплуатации PT X.
Клиент из финансового сектора купил PT X на 500 хостов. Мы начали онбординг и в процессе раскатки обнаружили на 130-м хосте взлом через уязвимость в российском ВКС-сервисе. Заходим со стороны защиты, а там уже хакеры сидят... Клиент будто чувствовал, что что-то не так, и пришел вовремя.
Где заканчивается зона ответственности PT X?
Там, где не выполняются требования «Киберминимума». К сожалению, это довольно частая история, но мы ведем диалог с заказчиками — и они постепенно устраняют недостатки. Длительность процесса во многом зависит от цифровой зрелости компании: от недели на раскатку EDR до полугода на внедрение 2FA, если проводить конкурс.
Кроме того, PT X не ловит инсайдеров. Мы выслеживаем технический инструментарий злоумышленника: например, можем поймать человека, который вставил флешку, скачал эксплойт и начал взламывать учетки. Если же ваш главный сисадмин с легитимными правами выкачал весь CRM — это не наш кейс.
Странно, когда компании держат почту в «Яндексе», но при этом опасаются передать безопасность в облако. Мы яростно защищаем свой Data Lake. Конечно, взломать можно что угодно — вопрос в ущербе. Если случится инцидент, приведет ли он к утечке данных наших клиентов? Нет.
Поделитесь планами по развитию продукта.
Захватить весь мир! Во второй половине 2027 г. мы хотим выйти на международный рынок — нужно будет только подготовить инфраструктуру с учетом местного законодательства.
