ИБ может быть Позитивной. Positive Technologies. PT NGFW
И «Б» должно быть позитивным. И встречайте на этой сцене коммерческого директора Positive Technologies Владимир Клявин. Спасибо. Спасибо всем. Приветствую. Доброе утро. Как настроение? Будем стараться быть позитивными. Если кто замечал название улицы, с которой вы съезжали, чтобы попасть в эту ивент-площадку, я сначала подумал, что я знаю, кто согласовывал место, потому что улица называется Ермакова роща, но Ивана что-то не видно.
Поэтому давайте поговорим про ИБ в целом. Сейчас это, конечно, актуальная история, но хотелось бы понять, что такое позитивно в данном случае. Потому что, когда выступаю перед заказчиками, я всегда спрашиваю коллеги. Сейчас очень много айтишных мероприятий начали поддерживать.
Я спрашиваю коллеги, кто отвечает за ИБ, кто не отвечает за ИБ. Ну и на айтишных мероприятиях, понятное дело, что там рук мало про ИБ. И можно сразу травить шутки про то, что там ИБС, ИТ всегда дерутся и вообще это враги номер один. Вот наша задача, чтобы такого не было. Наша задача, чтобы все-таки была какая-то дружба, было понимание.
Посмотрим, что мы можем предложить по этому поводу. Соответственно, заглавный слайд был белым, но начну с темного. Темный слайд, понятно, все страшно, а так больше. Мы в таком месте живем, на земном шаре, что, в общем-то, количество атак в мире растет, в принципе, уже много лет, но в России это особенно чувствуется.
И наша команда, вот ЭСК, Expert Security Center, который называется, это люди, которые находятся прямо вот на передовой, прямо вот в окопах. Они расследуют эти инциденты, они смотрят за этими, они смотрят, ищут следы от проникновения в инфраструктуру заказчиков. Естественно, все те знания, которые мы получаем, это сразу идет в продукты. Но они, мягко говоря, загружены. Мягко говоря, загружены. И тут что еще нужно сказать, что так же, как в инфраструктуре, так же, как в IT-инфраструктуре, Ну на вопрос, кому нужна виртуализация, или там кому нужна SHD, или кому нужен backup, ответ всем.
Нет такого, что есть какая-то индустрия, специализация и так далее. Вот статистика об этом же и говорит. Мы живем в России, поэтому госучреждения, конечно же, находятся на первом месте. Но посмотрите, как равномерно распределены другие индустрии.
Ну практически нет разницы. То есть там плюс-минус. Я думаю, если список этот продолжать и дальше. К сожалению, почему-то кто-то очень не любит блокчейн-проекты.
Или кто-то очень любит математическое округление. Поэтому, что это значит для заказчиков вообще, для наших с вами? Это значит, что если у заказчика нет ЦПК, ну или СОКа, Security Operation Center, который работает 24 часа на 7, Это значит, что он играет в русскую рулетку. Вот слайдов с пистолетом было много в предыдущей презентации. Вот заказчики у нас играют с вами в русскую рулетку с шансом один к двум. То есть один к двум после атаки будет нарушена основная деятельность компании.
Ну и я бы даже не сказал, что это самое плохое, потому что ты это заметишь. Ну, то есть, ты это заметишь, ты начнешь это исправлять, окей, а следующая цифра, 40% утечка конфиденциальной информации, вот тут можно и не заметить. Ну, как, заметишь, когда на РБК тебе напишут, тогда заметишь.
Соответственно, это история, если вообще ничего не мониторить. Но проблема и в другом. То, что даже если у заказчика есть этот сок, и у него есть ставки на ИБ, и он готов платить рыночную зарплату этим специалистам, специалистам, то этих специалистов, вот мирового класса, топового класса, которые от любых атак практически гарантированно защитят, ну при наличии нужного инструментария, конечно, ну их сотни, несколько сотен таких человек в России есть. Ну многие у нас работают, там кто-то у вас работает в штате, кто-то в крупных государственных корпорациях вот топовых работает. А большинству заказчиков на самом деле остается довольствоваться не не то, что малым, а чаще всего ничем. Они просто не могут найти этих людей.
Даже люди, которые там, мы сейчас наймем 10… То есть очень много встреч уже было, когда заказчик среднего уровня говорит, что мы сейчас вот 10 ставок уже открыли нам, тут посчитали, в общем, мы обычно улыбаемся. Потому что, ну, во-первых, нам действительно приятно, что люди так внимательно смотрят на eBay, но по факту у них скорее всего не получится даже половину этих ставок закрыть. Потому что людей на рынке нет. Что делать? Потому что ну окей, хорошо.
Вот компания решила сделать сок какой-то. Надо разобраться во всех классах решений. Вот у позитива 20 плюс продуктов. 26, по-моему, мы считали последний. Вот там основные на слайде. Как можно командой даже из 10 человек полностью выстроить ибс систему? Чаще всего никак. Чаще всего
нужно обращаться к партнерам. Чаще всего нужно обращаться, чтобы как сервис предлагали вот именно услугу мониторинга. Но тут я подвожу к другой истории, что вот следующие слайды, они будут очень связаны вот с двумя словами на этом. У нас есть
цель продуктовая. То, что все продукты наши должны приносить практический результат и каждое средство защиты в своем классе. Вот. И два ключевых слова, которые мне хотелось бы отметить, это практический результат. Потому что можно рисовать в списке фичей, можно ставить все продукты, можно даже купить на пару миллиардов софта и радоваться, нас порадовать с вами. Вот Монт как дистрибутор порадуется, что большая сделка прошла. И заказчиков все равно
ломанут. И ноль цена таким внедрением. Соответственно, мы хотим, чтобы практический результат был принесен в любых обстоятельствах. С уточнениями. Модель угроз, понятное дело, но в правом нижнем углу
не требовать экспертизы от заказчика и максимально автоматизировать сам процесс. То есть уменьшить количество людей. То есть многие очень говорят, что ну вот коллеги, вы там предлагаете оптимизировать, ну автоматизировать все. А как же люди? Ну нет такого риска, я вам точно скажу. Просто потому что нет людей. Люди не могут их найти. Компании не могут найти ибэшников.
Соответственно, все, что продуктовое, там фичи, списочки, вот все-все-все, оно где-то вот здесь находится. Оно находится вот тут, в правом нижнем углу, где вот продукты. Вот у нас их 26, у каких-то других вендоров их еще сколько-то. Они могут быть хорошими, могут быть какими угодно эти продукты. Но возвращаемся к нехватке кадров.
Соответственно, предлагаю вам всем при разговорах с клиентами, с заказчиками помнить о том, что история про результативность достигается путем автоматизации. И у нас есть группа мета-продуктов, которая объединяет результат работы двух, трех, четырех, пяти, шести продуктов позитива. И что значит поставить CM, например, для заказчика? Это значит, что заказчик, один человек или десять человек, неважно, или 30 человек будут смотреть в SIEM и видеть десятки тысяч сработок. Десятки тысяч. И там желтеньких, красненьких, там вот это все в IP-шнике это светится, там надо как-то это все связывать, коррелировать. Это очень большой труд. И ну человек ломают. Знаете, когда ломают? 23.59 в пятницу
в 4 утра. Вот еще наши хакеры говорят, что в 4 утра это самое лучшее время. Потому что где бы, Какой бы классный человек не был, даже если у него смена только началась 2 часа назад, биологически 4 утра для человека – это очень плохо. То есть мы перестаем быть бдительными. Поэтому сок заказчика должен быть географически распределенным.
Представляете, какие-то деньги. В любой момент времени никогда не должно быть 4 утра для человека, который смотрит в эти 10 тысяч сработок. И он не найдет там ничего. Ну то есть он найдет половину или треть, или вообще одну десятую обработает. А тот же самый MaxPatrol O2, он, это продукт, который построит цепочку из этих сработок. И вместо десятков тысяч вот этих событий, покажет 2, 3, 4 цепочки реальных, прямо уже скоррелированных, которые можно будет абсолютно точно даже одним или двумя людьми обработать и понять.
Это там действительно у нас сидит какой-то злоумышленник или какая-то хакерская группировка, или это все-таки на воду дует система. Соответственно, точно так же кнопочкой одной среагировать. Красная кнопочка, респонс, блокируем узлы, начинаем расследование. Вот это будущее. Сейчас Гартнеры, IDC, вот эти гигаомы рисуют квадратики, кружочки для систем, которые называются automated SOC. То есть автоматизированный ЦПК – Центр противодействия киберугрозам.
И, ну, надо сказать, что практически ни у кого в мире сейчас из вендоров не готовы эти продукты, а у нас есть внедрения, уже которые работают в ряде госорганов, в нескольких частных организациях, энергетических в том числе. И мы в данной истории, мы даже, в общем-то, не хотели бы мериться, потому что мы уже впереди здесь и реакция есть на то, насколько более эффективно происходит реагирование на кибер-огрозы с помощью O2. Потом опять же разговор ИТ и ИБ. Вы общаетесь как партнеры и с айтишниками, кто-то с ИБшниками, кто-то и с теми, и с другими. Соответственно, как выглядит обычно общение айти с ИБ? ИБ приносит вот такую пачку, светокопию зеленую.
Там отчет на трехстах страницах, вот прям в пачке они приносят, на стол кладут и говорят патчите, исправляйте уязвимости, которые мы нашли. Ну и IT, конечно, вынуждено соглашаться, но удовольствие это им не приносит, и скорее всего они будут саботировать. А надо ли это все патчить? Ну то есть как бы вот все вот эти системы, они что? Они вообще на периметре? Они ведут ли они каким-то целевым системам критическим или как. То есть это гигантский ручной труд. И для этого мы
делаем, сделали уже продукт MaxPatrol Carbon. Что он делает? Он имеет под собой ассетную модель. Он знает маршруты до критических систем заказчика в рамках правильной и хорошей, конечно же, интеграции от вас.
Он знает, какие системы являются критическими для заказчика, которым ни при каких обстоятельствах нельзя доходить. Он знает, какие целевые системы, которые на маршруте до этих систем стоят. И он понимает, что вот вес, если мы пропатчим системы на маршрутах, на этих, то вероятность взлома значительно меньше становится. И не надо патчить вот эти десять тысяч. Начните вот с этих тридцати
сначала. И вы уже увеличиваете там на шестьдесят, на семьдесят, на восемьдесят процентов свою устойчивость. Я надеюсь, что все-таки по-другому после этого будет разговор айтишников с ибэшниками, потому что разумность возвращается в этот разговор. Ребята, мы за результат, мы не за то, чтобы просто от забора и до обеда копать.
И вот такие подходы, то, что мы кладем в основу разработки наших продуктов, они как раз и ведут к тому, что реализация недопустимых событий становится невозможным. Это наша основная цель. Опять же напомню, для каждой компании недопустимые события это что-то свое, но в итоге результат это то, что не ломанули. Вот не ломанули. А как это можно понять?
Попробовав сломать. Причем пентест пентестами. Многие умеют делать пентесты. Приводите заказчиков на нашу платформу BlackBounty. Это когда 8-10 тысяч исследователей, белых хакеров, нами в общем-то проверенных, могут участвовать за взломе систем заказчика, в исследовании систем заказчика. И заказчик платит только за результат.
То есть очень интересная история. Вы можете быть в цепочке этих всех историй. То есть сертификаты на bug bounty можете через себя прогонять, оставлять часть вот этих выплат себе. Абсолютно мы здесь
гибки. Но именно это будет являться результатом нашей с вами общей деятельности. Потому что иначе это просто поставил продукт. И хотелось бы один продукт рассказать, который мы не хотели выпускать, коллеги.
Удивительная история, но не хотели. Вот два с половиной или три года назад, когда мы думали об этом, два года назад, когда мы начинали разрабатывать Next Generation Firewall, мы не хотели его делать, потому что мы понимали, что NGFW это очень критичная часть ИБ заказчика. Это вещь, которая стоит на периметре, которая является первым объектом для атаки, для обхода и так далее. И мы хотели просто запартнериться с кем-то из существующих разработчиков, коих было действительно меньше, чем сейчас, чтобы вместе достигать результата. Были требования простые. То есть это должен был быть стабильный, быстрый, функциональный НГФВ, который не падал, который патчился нормально, у которого там нормально работала кластеризация и так далее.
Какие-то базовые вещи, интерпрайзные, чтобы мы могли полагаться на этот НГФВ, у которого были бы мощные, хорошие движки защиты. И мы не нашли такого продукта на рынке. Поэтому вынуждены были начать делать свой. Получилось. Соответственно, сейчас уже по разным оценкам от 70 до 80% функционала, который большинству заказчиков нужен, мы поддерживаем. У нас в ноябре сейчас будет большой анонс, уже совсем официально коммерческий launch, но продажи в партнеров уже есть, продажи в заказчиков первые несколько уже есть, маленьких коробочек, поэтому двигаемся здесь вперед. Кстати, есть QR-код, есть еще будут QR-коды на последнем слайде, если интересно, можете сканить.
Если еще более интересно, я считаю, надо подойти на наш стенд. У нас, кстати, сегодня даже квиз по NGFV. Самый сложный вопрос будет, видимо, чей NGFV лучше.
Подходите, посмотрите. Классная есть раздатка. Мы анонсировали полностью линейку от маленьких коробочек, которые умеют от миллиона пакетов в секунду и 5 гигабит до больших содовых коробок, там 300 гигабитные пропускной способностью с 20 миллионами пакетов в секунду. Маленькие есть, средние по-моему вот на этой неделе должны приехать. Соответственно, вместе с ними приедут и большие.
Соответственно, пилотьте, спрашивайте. Продукт действительно рабочий. Наш офис уже, например, работает полностью на наших НГФВ. Стабильность действительно подтверждается в продуктиве. Идем дальше. И, наверное, такая самая, ну не то, что спорная, а вещь, о которой многие очень всегда забывают.
А именно, вот это наши инвестиции в R&D по годам. 24 год еще не закончился, мы там вот это распределение на красное и синее поймем по итогам года, ну и финальную цифру, естественно, тоже. Но если вкратце, то примерно план мы этот выполняем по инвестициям. Вот цифра 8-10 миллиардов рублей, это больше, чем у подавляющего большинство вендоров P&B на российском рынке вообще, в принципе ревенью. А у нас это инвестиции в R&D. Поэтому мы очень уверены в том, что мы будем быстро двигаться уверенно по всей нашей продуктовой линейке, включая ПТ, НГФВ. Там
очень интенсивные, очень интенсивные roadmap по развитию. Вот. И мы полностью уверены, что вот этот наш коммерческий успех, благодаря вам в том числе, который у нас есть сейчас, мы его сможем монетизировать в том числе такими способами, в том числе мощнейшим приливом инвестиций в R&D. А из плюсов позитив является брендом, ну по некоторым версиям, вот в 23 году был брендом номер один, HR брендом номер один для разработчиков, для программистов. Я вам так скажу, нам это очень сильно облегчает жизнь. Потому что нам нужны
кадры, естественно, разработчики, чтобы вот эту красоту все писать, и они у нас есть. Сейчас мы перевалили через 3000 сотрудников, было 2200 в начале года. Это очень серьезный рост и мне отрадно изнутри видеть, что мы с ним справляемся. Поэтому вот об этом конечно же нужно помнить при выборе долгосрочного отношения. Ну и естественно меряемся мы на топовых западных вендоров. В мире есть три компании,
которые действительно зарекомендовали себя на этом рынке. Это Palo Alto, Checkpoint и Fortinet. Мы взяли одного из них, самого популярного, наверное, в России, и посмотрели наши алгоритмы на их серверах. Так вот, мы в 4 раза быстрее на ядро, чем вот эти сервера. И в 10 раз быстрее на сервер,
потому что просто у нас более мощный новых поколений сервера. Мы используем ксионы четвертого поколения. Ни один производитель не использует такие производительные процессоры в своих решениях. Потому что, во-первых, их тяжело достать. Во-вторых, в общем-то, все довольствуются предыдущим поколением по ряду причин. Ну и последний слайд про IT. Мы все-таки хотим, чтобы мы были не только ИБ-компанией, но еще и немного IT-компаний. У нас есть 20 лет опыта на
Мы видели тысячи взломов. Мы расследовали тысячи постфактум взломов. У нас бешеное количество пентестов, которые наши хакеры провели. И мы видим, что большинство взломов можно было бы избежать, если бы IT-инфраструктура была нормально настроена. Понятно, надо мониторить, понятно, инструменты, которые мы продаем, решения, которые мы предлагаем, они, конечно, сильно упрощают и ускоряют это все.
Но если просто нормально настроить IT-инфраструктуру, уже очень многое становится суперсложным. И это все равно даже базовые все эти вещи не делают. Поэтому мы запускаем консалтинг в области IT, чтобы облегчить, чтобы вот показать этот путь трансформации IT от текущей состоянии большинства заказчиков к нормальной киберустойчивости. И как и весь наш консалтинг, мы это можем продавать как сертификаты. То есть вы это можете переподавать. Под своим именем вы можете предлагать эти сертификаты, спокойно дополняя продуктовые продажи и, в общем-то, тоже на этом зарабатываю в полной мере.
Поэтому вот так выглядит путь, который мы выбрали. Пожалуй, максимально сейчас у нас полноценная картина продуктовой линейки из всех вендоров, которые сейчас представлены, с точки зрения полноты покрытия ИБ в B2B заказчиках. Мы этому рады и мы очень хотим развивать дальше эту историю. Инвестируем многократно в наши, в общем-то, разработки, выстраиваем свою основную платформу съемом-съемом, дополняем это все сильнейшим, как мы считаем, НГФВ на рынке и, в общем-то, теперь экосистема позитива действительно в полной может заказчика и с железной точки зрения, и с софтверной точки зрения защищать. Спасибо большое.
Спасибо большое, Владимир.
2024-12-15 02:42
