Виктор Рыжков
Руководитель развития бизнеса по защите данных в компании Positive Technologies
Окончил Томский государственный университет по профилю “Компьютерная безопасность”. 11 лет в кибербезопасности.
Прошёл путь от инженера по качеству до руководителя продукта (CPO). Руководит направлением защиты данных в Positive Technologies.
Кража данных стала серьёзной угрозой для развития бизнеса - более 50% успешных атак оборачивается утечками, а рост объёмов информации и сложности инфраструктуры только усугубляют ситуацию. Почему прежние системы защиты данных не справляются с проблемой? В чём новизна подхода PT Data Security, продукта компании Positive Technologies, о старте продаж которого было объявлено на конференции е Positive Security Day 2025? С этими вопросами мы обратились к Виктору Рыжкову, руководителю развития бизнеса по защите данных в компании Positive Technologies.
Positive Technologies называет PT Data Security принципиально новым решением на российском рынке защиты данных. В чём состоит его новизна?
В. Р.: Мы пошли в разработку PT Data Security для того, чтобы остановить нарастающий поток утечек данных, с которым компании сталкиваются повсеместно. Казалось бы, на рынке уже есть немало решений, но утечки всё равно случаются. Мы глубоко изучили проблему, поговорили о конкретных трудностях с ИБ-специалистами и директорами, проанализировали глобальные тренды. Поняли, что в отрасли сложилась следующая ситуация: инфраструктура хранения и обработки данных эволюционировала — кратно увеличилась в объемах, распределилась по огромному количеству сегментов и обросла сложными взаимосвязями между ее элементами. А защищают ее инструментами из прошлой эпохи, предназначенными для узких задач.
Такой атомарный подход не способен обеспечить полное покрытие инфраструктуры и ее внутренних связей, что приводит к появлению «слепых зон», которыми успешно пользуются хакеры.
Мы поняли, что рынку нужен единый продукт, который способен в реальном времени оценивать уровень защищенности инфраструктуры, хранения и обработки данных: проводить инвентаризацию хранилищ, выявлять критичные данные, анализировать схему доступов и обращения к ним, тем самым выявлять риски и инциденты. Такой подход к защите сегодня называется Data Security Platform (DSP). Он набирает обороты в мире, а в России мы стали первыми, кто пошел по этому пути развития решения.
Какие основные принципы заложены в PT Data Security?
В. Р.: Первый принцип касается безопасности работы с данными разных типов: структурированнымих, полуструктурированных и неструктурированных. Защита должна распространяться на всё пространство существующей корпоративной информации, а не ограничиваться только ее подмножеством.
Второй принцип – реализация дата-центричной безопасности (Data-Centric Security). Он подразумевает реализацию полного цикла задач: от инвентаризации хранилищ и классификации данных до разграничения доступов и предотвращения инцидентов.
Это позволяет выстроить единый подход к обеспечению безопасности данных, независимо от способа их хранения. Он обеспечивает инвентаризацию хранилищ, классификацию данных по уровню чувствительности, анализ рисков, мониторинг обращений и выявления инцидентов. Решать эти задачи на современных ИТ-инфраструктурах способны сейчас продукты класса DSP.
Объясните простыми словами, какие принципиальные отличия DSP от DLP.
В. Р.: DLP работает по принципу: «Я знаю, где у меня хранятся критичные данные и хочу контролировать их использование». Модель применения DSP принципиально другая: «Я не знаю, где хранятся данные, подлежащие защите, но хочу получить эту информацию и выстроить эффективную политику безопасности».
DLP эффективны на компактных инфраструктурах. С ростом разнообразия объектов хранения, а также повышения мобильности данных внутри инфраструктуры преимущество получают DSP-системы. DSP — более молодой класс решений, поэтому разработчики (в т.ч. мы) имеют возможность сразу заложить в архитектуру продукта возможность встраиваться в гетерогенные инфраструктуры и гибкого масштабироваться под динамику их изменений.
Кроме того, традиционные решения часто заставляют строить «лоскутную» защиту из 6–10 инструментов — это дорого и сложно в обслуживании.
На какой архитектуре выстроена PT Data Security, чтобы обеспечить гибкость, масштабируемость и отсутствие потерь производительности?
В. Р.: Продукт построен на базе микросервисной архитектуры. Каждый компонент PT Data Security — это микросервис, слабо зависимый от других элементов. Благодаря этому, можно динамически обновлять компоненты, легко масштабировать любой из них под меняющиеся нагрузки без влияния на работу других микросервисов.
В результате создаётся распределённая система компонентов PT Data Security (коннекторов), которые отвечают за взаимодействие с хранилищами. Их можно разносить по инфраструктуре в любом количестве, устанавливать на любом «расстоянии» от главного ядра системы. Такая гибкость позволяет применять PT Data Security как для небольших компаний с простой ИТ-инфраструктурой, так и для крупных заказчиков, имеющих разветвлённую сеть филиалов.
Можете ли привести пример типичного для нынешнего времени сценария утечки данных, с которым не справляются традиционные инструменты, но который сможет предотвратить PT Data Security?
Один из наиболее распространенных сценариев сегодня может выглядеть следующим образом. Злоумышленник получает первичный доступ в инфраструктуру компании или ее подрядчика. Компрометирует учетную запись одного или нескольких сотрудников. Начинает «исследовать» инфраструктуру и доступы: ходить по внутренним порталам, файловым хранилищам – по всему, до чего может дотянуться. На этом этапе получает полезную информацию для дальнейшего продвижения к целевым хранилищам. Подключается к ним под легитимным доступом. Начинает выгружать данные – зачастую, постепенно, не вызывая статистических аномалий в трафике.
В данном случае ни одно из традиционных решений не спасет: DLP не увидит ничего странного во взаимодействии легитимной учетной записи с внутренними ресурсами; DAM (Database Activity Monitoring) или DCAP (Data-Centric Audit and Protection), увидят запросы к хранилищу, но данная активность будет расцениваться как легитимная; SIEM запишет все события, но не поймёт, что это именно утечка чувствительных данных.
PT Data Security работает со всеми хранилищами одновременно и знает, какие категории данных где расположены. Это позволяет отслеживать аномальное потребление данных, связывает контекст: кто пользователь – его типичное поведение – чувствительность информации – объем выгрузки – канал передачи и может автоматически заблокировать действие или собрать готовую цепочку для проведения расследования.
На Positive Security Day 2025 было объявлено, что перед своим запуском PT Data Security прошёл этап раннего тестирования. Оно проводилось на реальных инфраструктурах заказчиков. Каковы его результаты?
В. Р.: В стратегии разработки PT Data Security мы опираемся на максимально плотный диалог с рынком.
Особенную ценность имела проверка производительности PT Data Security на реальных задачах сетевого сканирования при классификации больших объёмов данных. Результатом такой проверки стала разработка в дополнение к сетевым ещё и локальных коннекторов.
Потребуется ли заказчикам кастомизация PT Data Security для учёта своей отраслевой специфики?
В. Р.: С самого начала мы предусмотрели отраслевые профили для классификации данных. Их наполняли на основе реальных данных, в этом нам помогла программа предварительного тестирования «Ранние ПТашки». Её участники пошли на беспрецедентный шаг: они предоставили нам доступ к своим данным для обучения ML-модуля. Уже есть несколько профилей, работа продолжается.
Расскажите подробнее про ML- модуль. Для решения каких задач вы внедрили AI в продукт?
В. Р.: Наш ML-модуль повышает точность классификации данных. Традиционные методы классификации информации базируются на регулярных выражениях. Даже объединенные в сложные логические взаимосвязи, они не позволяют добиться высокого качества результатов при работе с большими объемами данных. Неизбежно появляется огромное число ложных срабатываний, на разбор которых тратится слишком много сил вручную.
AI помогает уйти от рутины и ошибок. Уже в первом релизе мы добавили NER-модель (Named Entity Recognition, распознавание именованных сущностей — прим. ред.), которая позволяет охватить сложные примеры классификации, где невозможно применять регулярные выражения. Например, имена, название компаний, номера телефонов, данные паспорта и другие типы данных с высокой энтропией (неопределенностью для классификации). Важно, что мы обучали модель на реальных данных. Она получилась легковесной и быстрой, её можно ставить on-premise прямо у заказчика без необходимости подключения графических процессоров. Мы продолжим развивать эту модель дальше, а также в течение следующего года представим еще одну, которая позволит сделать нашу классификацию еще полезнее для клиентов.
Помимо классификации данных, мы планируем развивать использование AI для решения задач инвентаризации (автоматического поиска) хранилищ, для поиска аномалий в обращениях пользователей. Это поможет выявлять атипичные запросы к данным и через них видеть попытки совершения утечек.
Информацию можно защищать на уровне объектов (файлы, таблицы и т. д.) и на уровне контента (смысла). Насколько широкие возможности для контроля данных заложены в PT Data Security?
В. Р.: Для построения политик в PT Data Security ИБ-специалист может оперировать как объектами с разным уровнем детализации, так и категориями данных. Он может сочетать различные подходы, что позволяет защищать данные от утечек, даже если заранее неизвестно, где именно они могут произойти, в каких хранилищах или при каких запросах.
С какими хранилищами умеет работать PT Data Security?
В. Р.: Для структурированных данных это — СУБД PostgreSQL, она есть у 100 % наших клиентов. Но в enterprise-сегменте (крупный бизнес — прим. ред.) уже появилось немало других российских СУБД на основе PostgreSQL. Мы прорабатываем сейчас возможность выстраивания с некоторыми из них технологического партнёрства.
Второе направление — это поддержка СУБД Microsoft SQL. Хотя положение дел у «Майкрософта» в России в настоящее время не совсем определённое, её СУБД продолжает широко использоваться, в том числе в корпоративных системах CRM, ERP и т. д.
Для неструктурированных данных уже есть поддержка популярных файловых хранилищ на базе Server Message Block (SMB), а также объектных хранилищ S3. Мы прорабатываем интеграцию с несколькими российскими вендорами, предлагающими собственные версии хранилищ на базе S3.
В настоящее время мы продолжаем формировать список хранилищ, популярных среди российских заказчиков. В начале 2026 года появится дорожная карта развития PT Data Security, где будет информация и про планы расширения списка поддерживаемых хранилищ. Карта будет доступна клиентам и партнёрам PT. Все развитие продукта и дальше мы будет строить на принципе открытого диалога с отраслью.
Виктор, большое спасибо за интересное и содержательное интервью! Желаю вам всего самого безопасного!
