Андрей Милованов: Мы провели анализ и поняли, что рынок нуждается в создании альтернативных решений

Подводя итоги 2023 года, мы поговорили с представителями компании R-Vision — Андреем Миловановым, коммерческим директором, и Алексеем Дашковым, директором центра продуктового менеджмента. Они рассказали о стратегии компании, планах развития, тенденциях на рынке кибербезопасности в России, а также об экосистеме продуктов R-Vision EVO и о том, как ИБ договориться с ИТ для активного реагирования на инциденты.

Хотелось бы спросить в первую очередь о том, как меняются рынок и потребности заказчика, учитывая произошедшие за последние два года события.

Андрей Милованов: За последние два года на российском рынке информационной безопасности произошло много значимых событий. Выросли количество и сложность киберугроз, за этим последовало повышение требований к защите информации со стороны регуляторов. С точки зрения заказчиков и их потребностей я бы выделил два ключевых направления: первое — это люди, второе — технологии.

Что касается людей — на рынке ИБ и в целом в ИТ-отрасли сегодня, так же как и три-пять лет назад, не хватает квалифицированных сотрудников и экспертов по определённым направлениям. При этом за последние же два года произошёл большой отток кадров, вследствие чего весь рынок столкнулся с массовой нехваткой профессионалов в области ИБ. По данным Минцифры, в России не хватает около 700 000 ИТ-специалистов. Спрос на экспертов в области информационной безопасности стабильно увеличивается, а количество квалифицированных кадров не соответствует потребностям рынка.

Второй вопрос — технологии, которые позволяют автоматизировать процессы и тем самым убирать рутинные задачи, повышать эффективность и хотя бы немного, но нивелировать нехватку кадров. Также, как мы все знаем, в последние годы многие зарубежные вендоры со своими технологиями покинули российский рынок. В каких-то направлениях они занимали ключевые позиции, и ИБ-отрасль начала планомерный, но небыстрый переход на отечественные продукты. Поэтому сейчас наша компания старается методично закрывать наиболее критические для наших заказчиков места с точки зрения функциональности, которая требуется для повышения уровня информационной безопасности в их организациях. По понятным причинам такая задача стоит сейчас во главе угла практически в каждой крупной компании, госсекторе и так далее.

Мы — сторонники постепенного развития. Наши технологии призваны полностью удовлетворить все функциональные запросы центров мониторинга кибербезопасности (SOC).

Вы отмечаете, что один из трендов на российском рынке – это автоматизация процессов ИБ, которая стала особенно актуальной в связи с кадровым голодом. Например, чтобы нивелировать нехватку специалистов, стоит автоматизировать процессы реагирования на киберинциденты, так как от этого зависит защищённость компании. Какое будущее вы видите здесь?

Алексей Дашков: Автоматизация процессов реагирования на киберинциденты позволяет быстрее и эффективнее отвечать на возникающие угрозы. Это, в свою очередь, повышает уровень защищённости компании и снижает риск серьёзных последствий от киберинцидентов.

У нас есть примеры кейсов, где автоматизация выстроена на высоком уровне. В одном из проектов по внедрению R-Vision SOAR наша команда предложила заказчику решение, которое позволило компенсировать недостаток персонала с помощью технологий и процессов, используемых в SOC. Так, проектная команда в рамках проработки сценариев закладывала альтернативные маршруты обработки инцидентов. Например, при необходимости изменения рабочего процесса (workflow) инцидента нужно просто выбрать значение из выпадающего списка без внесения правок в сценарии реагирования (плейбуки), и уже следующий инцидент будет обрабатываться по альтернативному пути. Кроме того, в процесс реагирования на инциденты в ИБ активно вовлекались действующие сотрудники в дочерних компаниях и филиалах — благодаря детализированным рекомендациям и чек-листам по реагированию. Высокая степень автоматизации позволила снизить требования к компетенциям персонала, который эксплуатирует систему, что чрезвычайно актуально при текущем дефиците высококвалифицированных специалистов.

Сейчас можно уже с полной уверенностью сказать, что на базе наших технологий можно построить у заказчика полноценный SOC, начиная со сбора событий на конечных точках, простого сканирования сети, работы с логами и уязвимостями и заканчивая процессами реагирования, проактивной работой с данными  киберразведки (Threat Intelligence) и созданием ложной виртуальной инфраструктуры. Все наши технологии объединены в рамках единого решения — экосистемы R-Vision EVO. Они глубоко взаимосвязаны и интегрированы, что создаёт дополнительный синергетический эффект от их использования. Это позволяет заказчику подойти к вопросам кибербезопасности комплексно и решать задачи на стыке технологий и продуктов, чего крайне трудно добиться при интеграции решений нескольких производителей. Мы также расширяем нашу линейку продуктов. Например, в сентябре этого года мы представили два новых решения — SIEM и VM, которые расширяют функциональные возможности нашей экосистемы.

Алексей Дашков

Директор Центра продуктового менеджмента

Окончил Санкт-Петербургское высшее военное училище радиоэлектроники по специальности «Инженерные технологии в области управления и автоматизации». Опыт работы в сфере информационной безопасности — более 15 лет. Работает в R-Vision более 8 лет. Ранее занимал руководящую должность в крупной российской ИТ-компании — Leta Group.

На рынке уже есть много SIEM- и VM-решений, почему вы решили создать свои продукты?

А. Д.: Необходимо выпускать только те продукты, которые действительно востребованны и отвечают потребностям заказчиков. На протяжении долгого времени мы анализировали рынок, собирали обратную связь от заказчиков и ориентировались на большое количество исследований и экспертных отчётов в этой области. Исходя из этого, сделали вывод, что рынок нуждается в создании альтернативных решений, в которых учтены ошибки и опыт предыдущих разработок.

Многие проблемы заказчиков, которые годами не решались вендорами, теперь требуют новых подходов. Мы проанализировали запросы и выделили наиболее актуальные направления с точки зрения функциональности, удобства и простоты использования, производительности технологий и даже архитектуры в целом. Так мы поняли, что заказчикам и рынку в целом необходимы новые решения SIEM и VM. Поэтому наша компания активно работает в обоих направлениях.

Думаю, читателям будет интересно узнать о главных преимуществах и основных функциональных возможностях ваших новых технологий.

А. Д.: R‑Vision SIEM комплексно подходит к обработке событий в безопасности на всех этапах работы с данными, оптимизируя использование ресурсов компании. Наш продукт собирает и анализирует широкий спектр событий из различных систем, управляет хранилищем данных для минимизации затрат и применяет многофункциональные правила обнаружения для выявления сложных кибератак. Также R‑Vision SIEM выдерживает высокие нагрузки до 500 тысяч событий в секунду (EPS) для обеспечения стабильной работы.

Кроме того, при совместном использовании R-Vision SIEM с другой технологией — R-Vision Endpoint — появляется возможность реализовать практически любые сценарии сбора и комплексной обработки событий.

R-Vision VM является полноценным решением для управления уязвимостями, охватывая все этапы процесса: от инвентаризации и обнаружения до приоритизации, устранения и контроля. Наш сканер обладает высокой скоростью поиска уязвимостей, что позволяет в короткие сроки провести аудит больших инфраструктур клиентов. Кроме этого, продукт интегрируется с большинством систем, которые обладают информацией об уязвимостях и активах. Помимо встроенных интеграций в R-Vision VM также есть возможность написать собственную интеграцию с любыми внешними системами с помощью конструктора на языке Python.

Получается, что у компании, которая делает ставку на новые подходы и новый технологический стек, есть определённые шансы на успех на рынке, несмотря на его заполненность?

А. М.: Есть продукты, которые развивались годами или даже десятилетиями, но они, как правило, в части архитектуры находятся на том же уровне, что и в момент их создания.

Для актуализации устоявшихся решений, по сути, необходимо создавать другой продукт, который будет отвечать запросам заказчиков. Безусловно, новые игроки выходят на рынок и предлагают свои технологии, но не все они обладают достаточным уровнем экспертизы и поддержкой команд, которыми мы располагаем как разработчик. Так, на сегодняшний день в R-Vision больше 350 сотрудников, и значительную часть из них (60–70 %) составляет команда разработки.

Сегодня вопрос о повышении уровня информационной безопасности стал острым не только в коммерческом секторе, но и в целом на уровне государства. Поэтому наша компания вышла на рынок, где уже присутствуют некоторые вендоры, но при этом у нас есть запросы от разных секторов экономики. Более того, мы уже «пилотируем» и планируем ко внедрению технологии SIEM и VM, несмотря на то что они недавно появились.

Сейчас все крупные игроки рынка кибербезопасности в России заявляют о развитии своих экосистем. Не получится ли так, что через несколько лет мы получим глобальную конкуренцию внутри страны между 10 и более экосистемами, которые не будут друг с другом интегрированы? Возможно, лучше кооперироваться и развивать хотя бы две-три открытые экосистемы?

А. М.: По моему мнению, качественных и полнофункциональных экосистем на самом деле сейчас не так много. Я бы сказал, что их всего три, включая нашу. Однако у нас разные подходы: коллеги шли от средств защиты к автоматизации процессов ИБ, а у нас — обратная ситуация. Мы развивались от процессов и их автоматизации и со временем поняли, что логичным путём такого эволюционного развития будет как раз уход в полноценную экосистему.

В жёсткой конкуренции нет необходимости, поскольку, несмотря на общую концепцию, которая объединяет экосистемы кибербезопасности, они всё равно сильно различаются по своей функциональности: у R-Vision есть технологии, которых нет у других, а у коллег, наоборот, есть продукты, которыми мы сейчас не обладаем. В этом плане мы даже дополняем друг друга, и зрелому заказчику ничто не мешает использовать две или полторы экосистемы для обеспечения полнофункциональной защиты. Кроме того, у компонентов экосистемы R-Vision EVO настроены интеграции с различными системами других игроков, число которых только растёт.

Мы открыты к технологическому сотрудничеству, чтобы заказчики могли получить максимальный результат от взаимодействия нескольких экосистем в виде эффективной защиты организации.

Есть ли у вашей экосистемы (и, может быть, её отдельных технологий) экспортный потенциал? Мне кажется, что полученный опыт за эти годы даст некое глобальное преимущество, которое можно будет превратить в хорошие рыночные позиции, потому что эту накопленную экспертизу можно будет продавать.

А. М.: Сегодня российские компании получили бесплатный пентест от всего мира. Эти условия способствовали повышению уровня экспертизы и улучшению состояния информационной безопасности в стране. Действительно, сейчас все мы находимся перед лицом серьёзных испытаний, поэтому для нас невозможно остановиться в развитии, повышении защищённости и экспертизы. Для R-Vision это — своего рода стимул и шанс, который мы планируем использовать. В настоящее время мы активно сотрудничаем с заказчиками из стран СНГ, но также развиваем и направления Азии и Ближнего Востока, где уже проводится ряд пилотных проектов.

Кибербезопасность во многом зависит от информационных технологий, которые пока не удалось полностью импортозаместить. В чём вы видите сложности этого процесса и что уже сделано в этом направлении для обеспечения совместимости с отечественным стеком ИТ-продуктов?

А. Д.: Процесс импортозамещения в области ИТ представляет собой сложную задачу, особенно в контексте кибербезопасности. Некоторые ключевые технологии требуют весьма сложных компонентов и узкоспециализированных знаний. Разработка аналогичных отечественных продуктов требует значительных инвестиций в исследования и разработку (RnD). Компания R-Vision понимает это и активно вкладывается в RnD, большую часть штата нашей компании как раз составляют аналитики и разработчики ПО.

Для успешного импортозамещения необходимо разработать соответствующую законодательную базу, поддерживающую и стимулирующую разработку и использование отечественных технологий в области кибербезопасности. В последние годы предпринимаются определённые шаги для поддержки отечественных технологий в сфере кибербезопасности. Например, государственные программы и стартапы могут получать поддержку и финансирование для разработки и внедрения новых решений. Важно продолжать улучшать и расширять эти усилия, чтобы обеспечить устойчивость и конкурентоспособность отечественных технологий в области кибербезопасности. Мы, в свою очередь, активно участвуем в различных государственных инициативах и сотрудничаем с регуляторами.

При разработке наших продуктов сразу был фокус на использовании открытых или отечественных компонентов. Поэтому для нас переход на отечественные операционные системы (ОС) и базы данных произошёл практически бесшовно. Наши решения протестированы на большинстве отечественных ОС, и мы предлагаем клиентам возможность такой интеграции.

Большое спасибо за интересное и содержательное интервью! Мы желаем вам успехов, а нашим читателям, как всегда, — всего самого безопасного.