Кирилл Суворов
Руководитель направления развития продуктов для конечных устройств в «Лаборатории Касперского».
Получил высшее техническое образование: Национальный исследовательский ядерный университет «МИФИ» (Московский инженерно-физический институт), факультет кибернетики.
Более 20 лет занимается информационной безопасностью и Endpoint защитой в частности, 18 лет в «Лаборатории Касперского». Прошёл путь от работы в «полях» (предпродажная поддержка, внедрение, обучение Endpoint защите) до руководителя направления по развитию Endpoint продуктов — живой свидетель и участник становления современных решений для защиты Endpoint.
О тенденциях и подходах современных EPP-решений мы поговорили с Кириллом Суворовым, руководителем направления развития продуктов для конечных устройств в «Лаборатории Касперского». Обсудили, как платформы EPP адаптируются к усложнению инфраструктуры и эволюции атак, назвали ключевые критерии выбора эффективного решения для защиты конечных точек и не только.
Добрый день, коллеги. Сегодня у нас в гостях Кирилл Суворов, руководитель направления развития продуктов для конечных устройств в «Лаборатории Касперского».
К. С.: Привет.
Число рабочих станций, мобильных и периферийных устройств в компаниях растёт, а инфраструктура становится более сложной и распределённой. Это повышает критичность защиты конечных точек. Как в таких условиях меняются требования к EPP-решениям?
К.С.: Да, конечных точек становится больше, и число атак на них с каждым годом растёт. Но смысл решений, требования к ним остаются прежними: обеспечить безопасность инфраструктуры компании. Правда, если раньше с этим справлялись антивирусы, то сегодня на это способны только комплексные системы.
На защите рабочих устройств экономить нельзя, это звено в информационной безопасности должно быть прочным и надёжным по умолчанию. Только так можно расти и развиваться.
Мы знаем, что злоумышленники постоянно совершенствуют свои техники и тактики. Как решения для защиты конечных точек реагируют на такие изменения и каким образом эволюционируют в ответ?
К.С.: Угрозы развиваются уже многие десятилетия: они прошли путь от простейших файлов-вирусов, создававшихся ради интереса, до высокотехнологичного кибероружия, ориентированного на компании или даже государства. Для бизнеса такие атаки могут привести к частичной или полной остановке работы, например, при утечке критически важных данных или недоступности систем из-за программы-шифровальщика.
По своей сути эффективное EPP-решение представляет собой многоуровневую интеллектуальную систему, которая постоянно совершенствуется. Оно включает набор компонентов, перекрывающих основные векторы атак: файловые операции, интернет-трафик, электронную почту, приложения, уязвимости. Эти компоненты работают совместно и взаимно дополняют друг друга, формируя полноценную многоуровневую защиту конечной точки.
Наша EPP-платформа охватывает полный диапазон технологий защиты: классический сигнатурный, эвристический и поведенческий анализы, эмуляцию, а также технологии машинного обучения, искусственного интеллекта и облачную защиту, которая реализуется при помощи инфраструктуры Kaspersky Security Network (KSN).
Именно KSN позволяет обеспечивать высокий уровень точности детектирования угроз при минимальном числе ложных срабатываний. Только за первый квартал 2025 года решения на базе KSN отразили более 629 миллионов атак с интернет-ресурсов и распознали 88 миллионов уникальных вредоносных ссылок. Благодаря объёму и полноте собираемых ею данных не только в России, но и по всему миру, как от B2C-, так и B2B-пользователей система получает актуальные сведения о новых угрозах ещё до того, как они попадут в локальную инфраструктуру.
Вы упомянули сейчас использование технологий машинного обучения и искусственного интеллекта. Какую конкретно роль в современных решениях для защиты конечных точек играет искусственный интеллект?
К.С.: В наших решениях для защиты конечных точек искусственный интеллект и машинное обучение (machine learning, ML) используются для анализа огромного потока угроз и автоматизации процессов детектирования. Например, в 2025 году мы обнаруживали в среднем 500 тысяч новых вредоносных файлов ежедневно, что на 7% больше, чем в 2024 году. Одной ручной аналитики для такого объёма уже давно недостаточно. Отмечу, что именно ML позволяет EPP быстро адаптироваться к эволюции угроз.
Мы анализируем с помощью машинного обучения образцы файлов и шаблоны поведения программ и на основе этого формируем детектирующую логику продуктов. Эта логика доступна как через обновления баз, так и в режиме реального времени через KSN.
Увеличение нагрузки на защиту привело к формированию многокомпонентных систем, которые работают уже не как изолированный антивирус, а как целостный механизм мониторинга и реагирования. Из каких ключевых элементов сегодня состоит современное решение для защиты конечных точек?
К.С.: Современные EPP-решения давно перестали быть просто антивирусными продуктами. Если взять в качестве примера наш продукт, Kaspersky Security для бизнеса, сегодня он представляет собой настоящий швейцарский нож в кибербезопасности.
Во-первых, это многоуровневая система, состоящая из компонентов для защиты файловых операций, веб‑трафика, электронной почты, интернет‑активности и приложений. Помимо этого, есть разные механизмы контроля, которые уменьшают поверхность атаки. Например, можно запретить использовать определённые приложения или устройства.
Также в нашем EPP-решении есть встроенное шифрование и инструменты системного администрирования, которые упрощают жизнь командам ИБ и ИТ. Они позволяют удалённо устанавливать программное обеспечение, конфигурировать устройства и управлять системой.
Одним словом, как ни парадоксально это звучит, в современном защитном решении нельзя ограничиваться только защитой.
Как можно объективно определить качество решений для защиты конечных точек? По каким критериям следует оценивать эффективность продукта, помимо заявлений самого производителя?
К.С.: Во-первых, ключевым фактором является качество технологий детектирования. Оно должно подтверждаться не только внутренними оценками производителя, но и независимыми внешними тестами и сертификациями — как отечественными, так и международными. Например, «Лаборатория Касперского» многие годы является лидером международных тестов, таких как AV-Test, AV-Comparatives, SE Labs.
Для защиты критической инфраструктуры и государственных предприятий важным аспектом является наличие сертификаций соответствующих органов, таких как Федеральная служба по техническому и экспортному контролю России, Федеральная служба безопасности России. Они гарантируют качество продукта и надёжность используемых технологий защиты.
Во-вторых, решающее значение имеет максимальное покрытие всех платформ: рабочие станции, серверы и мобильные устройства на различных операционных системах, включая Windows, Mac, Linux, Android и iOS.
Не менее важна мощная и гибкая консоль управления, которая позволяет администратору быстро и с минимальными трудозатратами развернуть защиту, мониторить её работу, поддерживать и управлять ею.
Импортозамещение привело к активному внедрению отечественных операционных систем (ОС) и, как следствие, — к появлению требований по их защите. Что изменилось в вашем подходе?
К. С.: Наша цель — чтобы все наши решения поддерживали отечественные ОС. На сегодняшний день Kaspersky Security для бизнеса поддерживает более 10 ОС. Среди наиболее известных: Astra Linux, Alt Linux, Red OS, «Аврора» (мобильная ОС), менее распространённые — «Атлант», «Роса», «ОСнова». Поддерживает и те, что разработаны внутри отдельных организаций, например SberOS и MosOS.
В целом можно сказать, что мы обеспечиваем защиту всех отечественных ОС, доступных для коммерческого использования на рынке.
Компании всё чаще используют виртуализацию, мобильные устройства и специализированные системы, включая банкоматы и POS-терминалы. Какие особенности имеет защита таких сред?
К.С.: Эти устройства также являются конечными точками и представляют собой потенциальные векторы атак аналогично рабочим станциям и серверам. Следовательно, их тоже нужно защищать.
Для таких устройств мы разрабатываем специализированные решения, которые учитывают их особенности и обеспечивают эффективную защиту без снижения производительности. Например, для мобильных устройств мы предлагаем Kaspersky Secure Mobility Management, который объединяет функции защиты и централизованного управления, позволяя быстро настроить устройства, поддерживать обновления и управлять безопасностью. Для банкоматов и POS‑терминалов доступно решение Kaspersky Embedded Systems Security, а для виртуализированных и облачных сред — Kaspersky Hybrid Cloud Security.
Специфика таких систем обусловлена как особенностями инфраструктуры, так и характером угроз. В банкоматах, например, классический антивирусный движок можно отключить для особо слабых систем и реализовать не менее эффективную защиту. Она будет строиться на базе технологий белого списка программ по принципу «запрещено по умолчанию», когда к запуску разрешены только доверенные программы, утверждённые администраторами.
В мобильных устройствах основной акцент делается на управление и предотвращение утери данных: контроль приложений, возможность удалённо стирать данные при потере устройства и централизованное управление.
Для виртуальных сред применяются специализированные технологии, такие как запатентованный «лёгкий агент», который минимизирует нагрузку на виртуальные машины, переносит сканирование объектов на центральный узел и снижает влияние на работу пользователей и бизнес-приложений.
В последние годы получила распространение удалёнка. Как меняется подход к управлению защитой предприятия в этой ситуации?
К.С.: Одним из заметных изменений постковидного периода стал рост числа удалённых сотрудников и, как следствие, «смещение» рабочих устройств за пределы корпоративной сети, где ранее их защищали межсетевые экраны и другие средства безопасности периметра. Сейчас люди могут работать дома, на даче, в кафе, коворкинге или других удалённых локациях, что существенно повышает требования к их локальной защите.
С точки зрения управления и защиты это требует полной видимости таких устройств для администратора, а также возможности управлять ими, поддерживать их и обеспечивать защиту независимо от местоположения. Для описанных сценариев используются облачные системы управления защитой, которые позволяют управлять и защищать устройства удалённых сотрудников.
Каждый узел сети должен быть защищён. Если оставить хотя бы одно устройство без защиты, оно может стать уязвимой точкой, через которую злоумышленники смогут получить доступ к инфраструктуре компании и распространить угрозы на другие элементы сети.
К.С.: Даже если сотрудник работает за пределами корпоративного периметра, он обычно имеет удалённый доступ к ресурсам компании. Рано или поздно такое устройство может оказаться внутри периметра.
Если устройство было скомпрометировано или заражено за пределами предприятия, оно становится потенциальным источником распространения угроз на всю инфраструктуру компании через удалённый доступ или при возвращении в корпоративную сеть.
Современные угрозы всё чаще требуют комплексных систем защиты. Как на практике объединяются продукты классов EPP с другими решениями?
К.С.: Эффективная защита конечных точек остаётся фундаментом, вокруг которого выстраивается вся архитектура безопасности компании.
На её базе строится защита от продвинутых и целевых атак с использованием решений Endpoint Detection and Response (EDR) для конечных устройств и Network Detection and Response (NDR) на уровне сети. Поверх этого контура добавляется защита почтового и веб-трафика, а мониторинг и реагирование объединяются в рамках Extended Detection and Response (XDR) или систем уровня Cybersecurity Exposure Management (CEM).
Такой подход реализован в продуктах «Лаборатории Касперского» и позволяет сформировать комплексную защиту на единой платформе.
При этом перечень необходимых технологий зависит от масштаба организации и её ресурсов. Небольшим компаниям, как правило, достаточно использовать защиту конечных точек в сочетании с контролем почты и веб-трафика. Для таких организаций разработаны решения, не требующие сложного администрирования и отдельной команды специалистов информационной безопасности.
По мере роста бизнеса увеличивается сложность инфраструктуры и вероятность стать целью атак. В этих условиях компаниям среднего масштаба, в которых нет развитого отдела ИБ, требуется расширение мер безопасности за счёт функциональности детектирования сложных угроз и реагирования на них. Для них предусмотрены продукты уровня EDR с базовыми возможностями анализа и устранения инцидентов, например Kaspersky EDR для бизнеса Оптимальный.
Крупным предприятиям необходимы более сложные механизмы: экспертный EDR, средство защиты от целевых атак, системы мониторинга и реагирования для SOC команд — SIEM и XDR. Для таких компаний ущерб от инцидентов может быть значительным, поэтому требуется постоянный мониторинг угроз и работа специализированной команды SOC.
Подчеркну, что все перечисленные технологии опираются на EPP. Масштабирование осуществляется последовательно: при переходе на более высокий уровень не требуется переустановка базовых компонентов. Единый агент Kaspersky Endpoint Security обеспечивает автоматическую защиту от угроз, сбор телеметрии и выполнение реагирования для EDR-, NDR- и XDR-решений. При этом, будучи единым агентом, снижает нагрузку на устройства и упрощает администрирование.
Кирилл, спасибо за столь подробное и интересное интервью! Удачи вам в развитии всех ваших продуктов!
Реклама, 18+. АО «Лаборатория Касперского» ИНН 7713140469.
ERID: 2VfnxvUDW9o
