Антон Иванов, Лаборатория Касперского: Автоматическое реагирование — это ближайшее будущее

Редакция Anti-Malware.ru взяла интервью у Антона Иванова. Антон рассказал о будущем релизе Kaspersky VM, который позволяет быстро и точно выявлять уязвимости и при этом доступно объяснять, как их устранить. Также Антон поделился информацией о развитии продукта MLAD, предназначенного для предотвращения сбоев, аварий или деградации промышленных установок.

Мы работаем здесь на KICS Conf 2025 в Сочи. Мой гость — Антон Иванов, директор по исследованиям и разработке «Лаборатории Касперского». Антон, привет!

А.И.: Привет-привет, рад тебя видеть.

Общение с тобой на этой конференции становится уже такой хорошей традицией, тоже рад тебя видеть. Скажу честно, что послушал твой доклад буквально 5 минут назад, и он меня приятно удивил. Я думал, на фоне прошлогоднего лонча (запуска продукта — прим. ред.) с NGFW новых событий и новинок не будет, но оказалось, что они есть, и есть о чём поговорить. Скажи, может быть, для тех, кто не видел твой доклад, что нового и интересного вы в этом году на конференции представили?

А.И.: Да, мы анонсировали выпуск нового продукта. В конце этого года предоставим версию для тестирования заказчикам и партнёрам — решение класса vulnerability management с автоматическим анализом поиска уязвимостей, приоритизацией и историей работы. Это будет частью нашей XDR-платформы — агентское и безагентское решение, которое в режиме Blackbox сможет сканировать сеть, находить различные активы и определять наличие уязвимостей или неправильной настройки. Решение позволит анализировать соответствие серверов и устройств внутренним правилам комплаенса (соответствия требованиям) организации.

Вторая часть — совместный проект со Сбером. Это агентская система искусственного интеллекта (ИИ), которая полностью автоматизированно проверяет уровень защищённости сети, проводит пентестинг серверов, узлов и устройств, приоритизирует уязвимости и выявляет неправильные конфигурации. Всё это работает круглосуточно, 7 дней в неделю.

На видеодемонстрации, которую вы показывали, выглядит почти фантастически: автоматизированный пентест вызывает ощущение, что профессиональные пентестеры могут быть удивлены или даже обеспокоены результатами.

А.И.: В первую очередь мы продемонстрировали решение нашим коллегам, которые занимаются пентестингом. Сначала они относились скептически: пентестеры — это высококвалифицированные специалисты, изучающие внутреннюю механику операционных систем и программного обеспечения годами. А тут появлялась машина, которая автоматически проводит пентест.

Когда мы показали результаты совместно с коллегами из Сбера, реакция была положительной. Решение позволяет разгрузить профессиональных пентестеров и направить их усилия на наиболее критичные и сложные участки инфраструктуры, требующие высокого уровня экспертизы для проведения атак.

Это также высвобождает ресурсы: в России, как и в других странах, получить пентест означает ждать несколько месяцев, поскольку квалифицированные команды заняты. Человеческий ресурс остаётся самым дорогим, а полный аудит инфраструктуры требует значительного времени. Автоматизация позволяет сократить эти сроки и направить специалистов на действительно критичные задачи.

Часто в отчётах фиксируются банальные уязвимости, которые можно было бы обнаружить с помощью автоматизированных средств.

А.И.: Именно поэтому совместно со Сбером мы разработали решение, которое позволяет быстро и точно выявлять уязвимости и при этом доступно объяснять, как их устранить. В демонстрации я показывал, что системе можно давать задания на обычном русском языке, например: «Попробуй проверить этот узел» или «Используй такую-то технику».

Если необходимо оценить надёжность учётных записей или соответствие парольной политики, агент выполнит проверку и представит результаты понятным, доступным языком. Это значительно экономит время специалистов.

Когда можно попробовать Kaspersky VM?

А.И.: Kaspersky VM станет доступен партнёрам и клиентам в 4-м квартале текущего года, с ноября по декабрь, для сбора обратной связи.

Отлично. С твоей точки зрения, будет ли этот продукт применим в OT-сегменте, в промышленной инфраструктуре?

А.И.: Абсолютно. Сейчас фокус на ИТ-сегменте, но в будущем обучение модели будет включать техники и тактики злоумышленников, необходимые для анализа защищённости промышленных сетей. Это направление — часть будущего. Через 2–3 года атаки будут выполняться не людьми и группировками, а искусственным интеллектом в автоматическом режиме. Они будут идти круглосуточно, без выходных и перерывов, и для эффективной защиты потребуется такой же искусственный интеллект.

Компании, которые не будут инвестировать в автоматическое выявление и реагирование на угрозы с помощью ИИ, не смогут справиться с объёмом атак, используя только человеческие ресурсы.

Да, согласен. Лет 10 назад промышленный сегмент полностью отвергал внешнюю защиту, потом появилась концепция неинвазивности. Как, по твоему мнению, сейчас выглядит кибербезопасность в промышленных сетях?

А.И.: Да, абсолютно. В рамках наших сервисов по анализу уровня защищённости, включая закрытые индустриальные сети, практика показывает, что изоляция часто носит условный характер: даже полностью изолированная сеть оказывается доступной для тестирования, и при необходимости можно перемещаться из промышленной сети в ИТ и обратно.

Инструменты, применяемые в ИТ-сегменте, актуальны и для OT-сегмента. К ним относятся индустриальный EDR (Endpoint Detection and Response, технология мониторинга, обнаружения и реагирования на угрозы), средства анализа защищённости сети, NGFW (Next-Generation Firewall, межсетевой экран следующего поколения). Каждый из этих инструментов имеет свою специфику: защита уровня конечной точки позволяет настраивать функциональность так, чтобы не влиять на работу узла, при этом остаётся возможность автоматического реагирования там, где это позволяют внутренние процессы.

Практика показывает: с помощью этих инструментов можно получить доступ к любому сегменту и выполнить те же операции, что и в обычных ИТ-сетях. Одного антивируса для выявления современных угроз недостаточно. В промышленной сети при необходимости можно развернуть отдельный SIEM (Security Information and Event Management, технология мониторинга, анализа и управления событиями безопасности), если его нельзя интегрировать в общую систему. Все перечисленные средства защиты полностью применимы и эффективны в промышленном сегменте.

Это миф, что подходят только неинвазивные средства?

А.И.: Это устаревший подход. Сейчас практика требует более решительных действий, поскольку злоумышленники не ограничиваются неинвазивными методами.

Как глубоко адаптированы ваши продукты под промышленный сегмент? Насколько глубокой является эта адаптация, и чем, по твоему мнению, продукт, специально разработанный для промышленного сегмента, отличается от универсального решения, рассчитанного на любые среды?

А.И.: Компания инвестирует значительные ресурсы и время в адаптацию своих продуктов. Я хочу подчеркнуть, что мы вкладываем большое количество времени, ресурсов и технологий для защиты Linux-станций и Linux-серверов. В промышленном сегменте есть своя специфика: там очень старые ядра Linux, старые операционные системы, ядра версии 2.6 и так далее. У них отсутствует современная функциональность, которая позволяла бы защитному решению получать необходимую телеметрию или безопасно реагировать на уровне ядра. Это требует, чтобы продукт дописывали, дорабатывали и адаптировали для его корректной работы на старых операционных системах.

Если сравнить современную Windows с той, которая была 15 лет назад, в новой есть множество механизмов для антивирусных решений, чтобы выявлять угрозы и реагировать на них. Linux также развивается, появляются новые технологии логирования, реагирования, перехватов и так далее. В старых ядрах этого нет, поэтому адаптация продукта требует значительных усилий и тщательного тестирования. У нас целый «зоопарк» Linux-систем с разными ядрами, сборками и особенностями. Этот «зоопарк» включает разные ядра и пересборки, и именно это является одной из причин, почему продукт требует адаптации.

Второй аспект — добавление функциональных возможностей для работы с промышленным оборудованием, девайсами и прочими устройствами, чтобы можно было анализировать их уровень защищённости в соответствии с правилами настройки, как неинвазивно, так и с активным сканированием. Это создаёт отдельную, полностью специализированную линейку продуктов.

Наиболее важным является то, что все эти продукты интегрируются в нашу XDR-платформу: это позволяет видеть и контролировать всё происходящее как на уровне ИТ-сегмента, так и на уровне промышленного сегмента.

Споры о целесообразности применения превентивных мер в промышленных сетях ведутся уже давно. Ещё в 2020 году обсуждался этот вопрос, и, насколько я помню, «Лаборатория Касперского» всегда придерживалась позиции необходимости превента, в отличие от многих других, которые считали, что достаточно просто наблюдать, а решения о реагировании должны принимать администраторы систем управления технологическими процессами. Как вы считаете, эта концепция набирает популярность на рынке, и заказчики начинают её принимать?

А.И.: Эта концепция полностью принимается. Мы наблюдаем, что при внедрении наших индустриальных продуктов заказчики активно выбирают превентивные настройки для автоматического реагирования на угрозы. В продукте предусмотрен специальный обучающий режим: при его включении система работает без превентивного вмешательства, показывая, на какие события она сработала бы и где может потребоваться ручная настройка.

Это обеспечивает гибкость, позволяя заказчикам убедиться, что технологические процессы остаются неизменными, и безопасно активировать превентивный уровень защиты. Мы предоставляем такую возможность и видим устойчивый рост интереса к этому механизму.

Это особенно важно, учитывая обсуждаемые сегодня угрозы для транспорта, энергетики, ЖКХ и других критических инфраструктур. Необходимость мгновенного реагирования становится критической: ждать, пока человек осмыслит ситуацию и примет меры, нельзя.

А.И.: Особенно это важно с учётом того, как действуют группы злоумышленников: их цель — полностью вывести из строя инфраструктуру. Нет времени на анализ инцидента и принятие решений вручную, требуется автоматическое превентивное реагирование, чтобы защитить технологические процессы. Каждая минута и секунда здесь имеет критическое значение.

В контексте анонсированных тобой новинок микросегментация сейчас воспринимается как ключевой инструмент, который существенно снижает риски развития атак в информационной инфраструктуре. Насколько, с твоей точки зрения, этот подход применим в промышленных сетях?

А.И.: Микросегментация отлично применима, аналогично ИТ-сегменту. В нашей компании все сети полностью микросегментированы, что позволяет эффективно препятствовать атакам целенаправленных группировок. Такой подход замедляет злоумышленников, значительно усложняя переход между сегментами и выполнение деструктивных действий. В индустриальном сегменте при корректной настройке микросегментация также оправдана и существенно повышает уровень защиты от актуальных угроз, не нарушая технологические процессы.

Мне кажется, для тех, кто эксплуатирует автоматизированные системы управления (АСУ ТП), это будет настоящий шок: они привыкли к плоской сети, а здесь всё дробится на мелкие сегменты, появляется много прав доступа и высокая динамика — управлять этим значительно сложнее.

А.И.: Это большая и сложная работа, требующая от сетевых инженеров определённого уровня подготовки, но оправданная с точки зрения инвестиций. В рамках пентестов и анализа защищённости собственной сети мы постоянно проверяем уровень защиты: микросегментация зарекомендовала себя как эффективный фактор сдерживания в большинстве атак.

Важно, чтобы средства, реализующие межсетевую сегментацию, сами были безопасны и надёжно настроены. В своей недавней презентации я показывал, что значительная доля атак на организации в России связана с уязвимостями в сетевом оборудовании и иностранных межсетевых экранах, которые не обновлены. При желании на GitHub можно найти эксплойты для ряда популярных иностранных решений.

Вывод очевиден: необходимо ускорить переход на отечественные аналоги. Это своего рода рекомендация.

А.И.: Я хотел бы дополнить, что в рамках нашей работы мы выпускаем собственный межсетевой экран, и в ближайшее время сторонний лидер в области анализа защищённости приложений и пентестов проведёт его проверку. Результаты мы представим нашим партнёрам и заказчикам.

Эта проверка будет открытой: не только мы в рамках процессов безопасной разработки уделяем внимание уязвимостям продукта, но и независимая организация проведёт аудит и предоставит заключение. Оно подтвердит безопасность продукта и продемонстрирует, что злоумышленник не сможет обойти микросегментацию, реализованную в нашем решении. Результаты проверки будут опубликованы и станут известны всем заинтересованным сторонам.

Это действительно важно и вызывает определённое волнение, ведь всегда есть вероятность обнаружения уязвимостей.

А.И.: Даже если будут обнаружены уязвимости, это положительный знак, потому что зрелая компания и зрелая разработка предполагают, что баги в программном обеспечении — нормальное явление. Никто не создаёт софт без ошибок: уязвимости есть у всех, вопрос лишь в стоимости их эксплуатации. Можно допустить простую ошибку, которая будет заметна менее опытному пентестеру или исследователю.

Эти недостатки можно устранить, вложившись в безопасную разработку и проведя внешний пентест, после чего оставшиеся уязвимости будут слишком дорого обходиться злоумышленнику. Оставшиеся уязвимости сделают эксплуатацию атаки экономически невыгодной, и атакующие предпочтут искать более лёгкие цели.

Да, согласен. Спасибо. Мы обсудили превентивную защиту, но не менее дискуссионным остаётся вопрос автоматического реагирования. В прошлом году мы уже затрагивали эту тему. Как ты оцениваешь изменения за этот год и как заказчики воспринимают автоматизацию реагирования в промышленных сетях?

А.И.: Для промышленных сетей заказчики пока относятся к автоматическому реагированию с осторожностью. Мы только что обсуждали включение превентивных механизмов и блокировок, автоматический респонс (Response, реагирование) остаётся отдельной темой, хотя некоторые организации уже готовы его использовать. При этом с учётом развития искусственного интеллекта становится очевидно, что автоматическое реагирование — это ближайшее будущее как для обычного ИТ, так и для индустриального сегмента. Ключевое условие — доверенная модель, которая обеспечивает понятные объяснения своих действий.

Во время своей презентации я отметил, что через 2–3 года атаки будут осуществляться автоматически с использованием искусственного интеллекта, и защита также потребует ИИ для эффективного противодействия. Без автоматического респонса и ИИ невозможно будет справляться с таким уровнем угроз. Мы придём к этому через несколько лет.

Это будет своего рода «копайлот» (copilot, ассистент-помощник) для киберзащиты, как сейчас принято говорить.

А.И.: Да, только отечественный.

И мне ещё показалось интересным: по меркам ИТ и кибербезопасности Kaspersky MLAD — достаточно устаревший, и создаётся впечатление, что давно не обновлялся. Вы как раз рассматриваете его интеграцию с искусственным интеллектом, чтобы придать продукту новое развитие?

А.И.: Да, этот продукт действительно получит новое развитие. Мы протестировали его у нескольких заказчиков в рамках интеграции не только с промышленными системами, но и с нашим SIEM для выявления аномальной активности с учётными записями в домене. Результаты показали высокую эффективность. В этом контексте интеграция с нашими стандартными продуктами, такими как EDR и SIEM, демонстрирует значительный потенциал, и мы планируем продолжать её развитие.

Какие перспективы реализации этой системы, чтобы она заработала в полном объёме?

А.И.: Система уже функционирует внутри компании, активно используется, и её пилотирование проводится у нескольких заказчиков, показывая положительные результаты.

MLAD может использоваться для анализа самых разных событий, включая как индустриальные, так и обычные сценарии?

А.И.: Да, конечно. MLAD работает не только с индустриальными событиями, но и с обычными в доменной среде. Мы реализовали эти функциональные возможности, и в результате получились возможности уровня UEBA (User and Entity Behavior Analytics, поведенческий анализ пользователей и сущностей). В этом направлении продукт уже пилотируется у нескольких крупных заказчиков.

Отлично! Будем следить за развитием этого продукта и реакцией рынка на него. Антон, спасибо за содержательное интервью, было приятно обсудить ваши новинки.