Эльман Бейбутов из UserGate: Дипфейки и фишинг превратились в цифровое оружие массового поражения
Форум SOC 2025, как обычно, объединяет экспертов в сфере отслеживания и устранения киберинцидентов, задавая вектор профессиональных обсуждений на предстоящий год. Основные темы включают развитие сервисных моделей, совершенствование подходов к сбору данных об угрозах, применение искусственного интеллекта для анализа атак и проблемы доверия в сетевой среде. О том, как трансформируются требования клиентов, какие решения сейчас наиболее актуальны и какие тренды определяют развитие рынка, в беседе с CNews рассказал директор по бизнес-развитию UserGate Эльман Бейбутов.
«Приоритеты в рамках сервисного портфеля uFactor определяются, исходя из запросов клиентов»
CNews: В каком качестве UserGate представлена на SOC Forum 2025? На какие продукты и услуги компания делает упор в текущем году?
Эльман Бейбутов: UserGate участвует в SOC Forum 2025 в смешанном формате. С презентацией о формировании команды в условиях дефицита специалистов выступит Иван Костыря, руководитель L1 SOC uFactor. На крупном стенде компании в выставочной зоне посетители смогут пообщаться с сотрудниками и детально изучить предложения направления uFactor. Там же состоятся краткие презентации, посвящённые продуктам и сервисам компании, а в зоне для переговоров можно будет обсудить конкретные задачи. Кроме того, представители UserGate — архитектор клиентского опыта Михаил Кадер и менеджер по развитию UserGate SUMMA Виктория Дручинина — выступят в роли модераторов двух секций: архитектурной и бизнес-направления.
CNews: Почему компания сфокусировалась именно на сервисном направлении uFactor? В чём состоит основная польза этого подхода для заказчиков?
Эльман Бейбутов: Действительно, uFactor представляет собой основное бизнес-направление, где сконцентрирована профильная экспертиза нашей компании. Оно охватывает аудиторские и консультационные услуги, создание политик и нормативов для процессов кибербезопасности, а также оценку защищённости с помощью тестов на проникновение. Особо стоит выделить услуги по мониторингу и реагированию на угрозы — SOC как сервис. Его логичным продолжением является направление цифровой криминалистики DFIR, привлекающее специалистов для разбора произошедших инцидентов, установления их причин и сбора цифровых улик, в том числе для судебных разбирательств.
Главное преимущество uFactor для клиентов состоит в том, что оно расширяет продуктовую линейку UserGate, давая возможность получать всестороннюю экспертизу в сфере информационной безопасности, которая не ограничивается лишь готовыми решениями компании.
CNews: SOC как сервис, DFIR, пентесты, консалтинг — вы назвали довольно обширный перечень услуг. Как вы определяете приоритеты внутри этого портфеля? Какие услуги сейчас пользуются наибольшим спросом у заказчиков?
Эльман Бейбутов: Расстановка приоритетов в портфеле услуг uFactor зависит от запросов конкретного клиента и текущего уровня защищённости его информационных систем. Обычно мы советуем стартовать с консалтинга: выполнить аудит, оценить зрелость ключевых аспектов ИБ, сформулировать стратегию, цели и важнейшие направления безопасности в соответствии с бизнес-задачами компании, а также составить план развития ИБ.
Исходя из полученных результатов, определяется дальнейший набор услуг. Например, компания может предоставить эксперта по кибербезопасности на роль виртуального CISO (vCISO): он будет работать с командой заказчика, участвовать в рабочих группах, согласовывать проекты и помогать в управлении процессами безопасности.
При необходимости далее подключается SOC как сервис, где специалисты UserGate осуществляют мониторинг инфраструктуры клиента, обнаруживают инциденты, дают рекомендации и по утверждённым процедурам могут выполнять первоначальные действия по их устранению.
Завершающим штрихом, подобно вишенке на торте, могут служить регулярные тесты на проникновение — раз или два в год, чтобы удостовериться в эффективности всех принятых мер. Это позволяет проверить устойчивость инфраструктуры и убедиться в отсутствии возможностей для несанкционированного доступа к критически важным ИТ-сервисам, таким как контроллеры доменов или основные маршрутизаторы.
«Сетевое доверие — это ключевой элемент миссии и концепции, которую мы продвигаем»
CNews: На вашем стенде представлены возможности UserGate SIEM и UserGate Client. Как они работают вместе и как интегрируются в экосистему решений UserGate SUMMA?
Эльман Бейбутов: Платформа SIEM создана для агрегации событий безопасности и обнаружения инцидентов путем анализа их взаимосвязей. UserGate Client — это агентское ПО, инсталлируемое на серверы или компьютеры пользователей. Оно выполняет локальный сбор данных о событиях ИБ, проводит аудит соответствия хостов политикам безопасности и обеспечивает оперативное реагирование на угрозы непосредственно на устройстве.
Совместное использование UserGate SIEM и UserGate Client даёт возможность не только выявлять, но и быстро нейтрализовывать инциденты. Ответные действия на уровне хоста могут включать завершение подозрительных процессов на рабочей станции или отключение устройства от сети, чтобы блокировать распространение атаки внутри инфраструктуры. Кроме того, агент собирает информацию о событиях информационной безопасности и отправляет её в SIEM, что способствует построению целостной картины происходящего.
Такая интеграция пользуется спросом у клиентов, поскольку объединяет мониторинг и реагирование в рамках единой экосистемы UserGate SUMMA. На нашем стенде в рамках SOC Forum 2025 мы наглядно продемонстрируем совместную работу этих двух решений, чтобы показать, как они эффективно взаимодействуют и усиливают друг друга.
CNews: Вы часто упоминаете концепцию «сетевого доверия» и роль человеческого фактора в её построении. Каким образом этот принцип воплощается в подходе uFactor — как со стороны поставщика решений, так и со стороны клиента?
Эльман Бейбутов: Сетевое доверие — это фундаментальный элемент миссии и философии, которую мы отстаиваем. Мы стремимся к тому, чтобы взаимодействие пользователей с сетевой инфраструктурой основывалось на доверительном и киберустойчивом подходе: пользователь изначально уверен, что работает в защищённой среде, а механизмы обнаружения и противодействия угрозам поддерживают этот уровень безопасности, оставаясь незаметными для добросовестных пользователей.
В концепции UserGate сетевое доверие подразумевает, что сеть, построенная по принципу «безопасность по умолчанию», изначально надёжна, но в случае возникновения инцидентов или подозрительной активности на сетевом или хостовом уровне, продукты UserGate способны мгновенно реагировать, пресекая развитие атак на ранних этапах и сохраняя высокую степень защиты сетевой инфраструктуры, устройств и приложений. Например, можно изолировать хост, утративший доверие или демонстрирующий аномальное поведение, либо остановить определённые процессы на этом узле, восстанавливая сетевое доверие до исходного безопасного состояния.
Таким образом, подход UserGate реализует принцип «доверяй, но контролируй»: пользователи могут полагаться на сеть, в то время как система непрерывно обеспечивает безопасность операций, поддерживая баланс между защищённостью и удобством использования. В отличие от модели Zero Trust, предполагающей изначальное недоверие, наша цель — позволить сотрудникам компании чувствовать, что их рабочая среда стабильна и безопасна, обеспечивая при этом надёжную защиту за счёт механизмов выявления и нейтрализации киберугроз.
CNews: Насколько активно технологии искусственного интеллекта применяются в ваших защитных системах? Какие конкретные практические проблемы они позволяют решать в настоящий момент, кроме автоматизированного разбора угроз?
Эльман Бейбутов: Мы действительно внедряем определенные области искусственного интеллекта, в частности, алгоритмы машинного обучения. К примеру, наша служба наблюдения способна обнаруживать подозрительные цепочки запуска основных и дочерних процессов, формирует модели штатного поведения и идентифицирует последовательности действий, которые можно расценивать как угрозу.
Когда система фиксирует, что один процесс инициирует другой в нехарактерной, отклоняющейся от нормы комбинации, мы отмечаем это как возможную аномалию с применением ИИ-методов и направляем данные дежурным аналитикам. Они уже детально изучают обстоятельства и устанавливают, является ли это действительным нарушением безопасности или же допустимым исключением.
Следовательно, мы внедряем подобные инструменты, чтобы получать более полную картину, чем та, которую специалист может увидеть при ручном разборе событий ИБ, а также чтобы выявлять новые методы атак на начальных этапах их осуществления.
«Наша цель — эффективно противодействовать тем сценариям, где искусственный интеллект также активно задействуется по другую сторону конфликта»
CNews: Компания UserGate активно продвигает собственные аппаратные разработки. Какие выгоды это приносит в сравнении с применением сторонних платформ?
Эльман Бейбутов: Если производитель предлагает и собственную аппаратную базу, и программное обеспечение, это, безусловно, гарантирует их абсолютную совместимость друг с другом. Все аспекты, касающиеся быстродействия, грамотного подбора мощности оборудования, технического обслуживания, поддержки и гарантийного покрытия, полностью принимает на себя поставщик.
В ситуации, когда серверы закупаются у одного вендора, а программный продукт — у другого, ответственность за конечную работоспособность такой сборки по сути переходит к заказчику. Мы устраняем эту сложность: отвечаем как за аппаратную, так и за программную составляющие, обеспечивая комплексный клиентоориентированный подход на всех этапах: от первоначального выбора оптимального программно-аппаратного набора до его технического сопровождения и замены деталей в рамках гарантии.
Таким образом, все обращения по технической поддержке, гарантийному обслуживанию, замене компонентов, исправлению программных ошибок — концентрируются в единой службе поддержки UserGate.
CNews: С какими ключевыми трудностями вы встречаетесь в процессе разработки подобных решений — и каким образом ваша команда с ними справляется?
Эльман Бейбутов: Над подобными решениями, естественно, трудятся множество специализированных групп, и одна из основных трудностей — создать слаженную, межфункциональную модель их совместной работы. Критически важно, чтобы инженеры-программисты представляли, какие циклы обновления «железа» планируются на год-полтора вперед, а коллективы, проектирующие новое аппаратное обеспечение, принимали во внимание пожелания пользователей и общую стратегию развития продуктовой линейки. Это предполагает способность каждого члена команды смотреть чуть дальше текущих задач и предугадывать будущие запросы рынка.
В этом процессе значительную функцию выполняет продуктовый маркетинг, который служит связующим звеном между разработчиками и потребителями через исследования клиентского опыта и систематические опросы заказчиков — всё то, что помогает создавать продукт, остающийся востребованным не только на момент релиза, но и в перспективе следующих трех–пяти лет.
Мы справляемся с этими вызовами благодаря налаженному диалогу между подразделениями: команды постоянно согласовывают графики, обмениваются новостями по проектам, совместно прорабатывают «слепые пятна». При возникновении сложностей к процессу подключаются специалисты по техническому маркетингу, партнеры и отраслевые эксперты. Такой подход в конечном счете позволяет нам выпускать решения, которые в полной мере отвечают запросам клиентов.
CNews: Если взглянуть в более широком контексте, какие основные тенденции в области кибербезопасности вы бы назвали определяющими на ближайшую перспективу?
Эльман Бейбутов: Несомненно, одна из центральных тенденций — это увеличение масштабов применения искусственного интеллекта злоумышленниками. Уже сегодня мы наблюдаем высококачественные дипфейки, генерируемые ИИ-алгоритмами. Это относится и к фишинговым сообщениям, которые таргетируются под конкретную аудиторию или даже под определенные должности, чтобы увеличить эффективность кампаний и шансы, что пользователь кликнет по ссылке или откроет опасный файл.
Возникают и новые каналы атак на основе видео: например, когда человеку приходит видеозапись, якобы от сотрудника службы поддержки компании, который просит предоставить учетные данные для «обслуживания рабочего места». Подобные атаки приобретают массовый характер, и отличить подлинное сообщение от фальшивого становится всё труднее.
В связи с этим перед нами сейчас стоит цель — противодействовать таким методам и совершенствовать защитные механизмы, способные эффективно работать в условиях, когда ИИ активно используется и противоположной стороной.
CNews: Как вы считаете, каким будет главный итог SOC Forum 2025 для отрасли — и какие вопросы лично вы находите наиболее важными для профессионального сообщества?
Эльман Бейбутов: Безусловно, SOC Forum на протяжении многих лет прочно связан с развитием центров мониторинга и реагирования на инциденты безопасности. В последнее время форум последовательно расширяет фокус, демонстрируя не только внутренние процессы Security Operations Center, но и сопутствующие технологии, интеграционные решения и методологии, пользующиеся сегодня спросом на рынке.
Форум предоставляет уникальный шанс лично пообщаться с коллегами и партнерами, с которыми мы давно сотрудничаем в сфере безопасности, поделиться накопленными знаниями, обсудить последние технологические тренды и общую ситуацию на отечественном рынке. Это касается не только специализированных вопросов мониторинга, но и более широкого контекста. По моему мнению, именно такие профессиональные дискуссии и являются ключевым итогом мероприятия для всей отрасли.
■ Рекламаerid:2W5zFGAnZ7nРекламодатель: ООО «Юзергейт»ИНН/ОГРН: 5408308256 / ОГРН 1145476050961Сайт: www.usergate.com/ru
