10 Сентября 2025 12:51 | 10 Сен 2025 12:51 | |

Поделиться

Евгений Царёв, Medoed: Автоматизация в ИБ сегодня — не только необходимость, но и вопрос выживания

«Мы начали с выполнения требований профильных законов»

CNews: Главное, чего опасаются сегодня крупные и небольшие компании — это инциденты. Есть ли у вас оценка рисков по рынку?

Евгений Царёв: Конечно. По нашему прогнозу на 2026 год, риск значимого ИБ-инцидента в среднем по компаниям в России составит 10%. А в госсекторе, финансах, промышленности и ИТ — более 25%. И даже если компания из этих секторов обеспечивает средний уровень инвестиций в ИБ, но процессы не отлажены, этот показатель не падает ниже 18%.

CNews: Но ведь сегодня на рынке нет недостатка в специализированных решениях. Почему вы утверждаете, что уровень защищенности вызывает вопросы?

Евгений Царёв: Так уж складывается наша отрасль, что на каждую задачу ИБ есть свое отдельное решение: одно для логов, другое для учета активов, третье — для обучения сотрудников. Каждое из них требует внедрения, сопровождения, настроек, интеграций. И всем этим набором решений должна заниматься команда специалистов. А их-то как раз и не хватает — 4 из 5 отделов по безопасности не укомплектованы. А это повышает риск с 10% до 25% — то есть каждая четвертая организация в стране может столкнуться с критическим инцидентом — как «Аэрофлот» или СДЭК. Причем, по нашим исследованиям, кадровые проблемы есть у всех компаний. В результате, решений много, расходов — тоже, а риски для средних и крупных организаций не уменьшаются ниже среднего уровня. Причем многие даже не осознают наличие высоких рисков, подтверждение тому — успешные целевые атаки последних месяцев.

CNews: Какой выход вы предлагаете? Что делает Medoed, чтобы изменить эту ситуацию?

Евгений Царёв: Мы начали с идеи: автоматизация должна давать четкий, измеримый результат и быть не сложной. Мы начали с выполнения требований профильных законов и регуляторов, в первую очередь, ФСТЭК, ФСБ, Роскомнадзора и ЦБ Мы создавали Medoed для людей, которые хотят систематизировать работу с нормативкой и не сойти с ума от объема требований и формулировок.

На втором этапе мы задали себе вопрос, а что может сделать реальная служба информационной безопасности, чтобы на порядки снизить вероятность существенного инцидента? На основе опыта судебной экспертизы и расследования инцидентов мы реализовали функционал, который разрывает цепочки ранее совершенных злоумышленниками целевых атак на российские компании, либо, как минимум, снижает тяжесть последствий.

Со временем платформа обрастала дополнительным функционалом, как раз под требования рынка практической безопасности. И теперь Medoed — это «одно окно» для систематизации работы службы ИБ, выполнения обязательств: от учета активов и контроля за персоналом до комплаенса и шаблонов документации.

CNews: Какие проблемы и задачи для служб информационной безопасности закрывает Medoed?

Евгений Царёв: Medoed закрывает три ключевые боли пользователей.

Первая — нормативный ад и невозможность разобраться в требованиях регуляторов. Большинство компаний даже не понимают, что на них распространяется законодательство об ИБ. А уж как его исполнять — вообще никто не объясняет. Medoed достаточно сказать, являетесь вы субъектом КИИ или оператором ПДн, — и он сам подскажет, какие требования распространяются на компанию. И даст пошаговую инструкцию — без юридических талмудов и «задвинутости». Это, пожалуй, единственный ИБ-продукт, установка которого и начало работы занимают меньше 30 минут.

Вторая — существенное снижение риска целевой атаки. При систематическом использовании технических модулей Medoed на порядки снижается риск реализации целевых атак злоумышленников. Для этого в Medoed реализован функционал решений, которые относятся к классам ITAM, SAM, SOAR, UEBA и Awareness.

Третья — системность. Результаты наших исследований показывают, что специалисты по ИБ тратят сегодня крайне много времени на внутренние совещания и взаимодействия (более 40% респондентов); разработку и актуализацию внутренней документации (более 30% респондентов). В итоге, только 19% задач информационной безопасности выполняется в срок. При этом просрочка более 2 недель актуальна для 15% задач, среди которых и критически значимые — обновление ПО и устранение уязвимостей. Мы автоматизировали рутину, дали шаблоны, планировщик, отчеты — чтобы безопасник стал действительно стратегом, а не «человеком на все руки».

«Если в компании уже есть хоть какая-то ИТ-инфраструктура, то потребность в автоматизации возникает неизбежно»

CNews: На компании какого масштаба рассчитано решение?

Евгений Царёв: Решение подходит для организаций с разной степенью зрелости, но используют они его по-разному. Например, у крупных компаний, как правило, есть сложившаяся философия: они предпочитают протестировать продукт, выбрать отдельные модули и применять только актуальную для них часть функционала.

Средние компании, напротив, используют платформу более полно, покрывая весь спектр задач: от повышения осведомленности сотрудников до категорирования КИИ и управления инцидентами. Для них Medoed — универсальный инструмент автоматизации и управления процессами ИБ.

Вообще, если в компании уже есть хоть какая-то ИТ-инфраструктура, то потребность в автоматизации возникает неизбежно. Часто в среднего размера организациях два человека вынуждены закрывать весь объем задач, и мы предлагаем удобный способ разбить процессы на небольшие управляемые блоки, поскольку так работать легче.

CNews: Давайте раскроем детальнее, какие модули у вас есть, то есть функции под какие задачи можно выбрать в продукте?

Евгений Царёв: Среди основных — набор модулей SGRC (ПДн, КИИ, СКЗИ и пр.), модуль повышения осведомленности (Awareness) — позволяет назначать и контролировать обучение сотрудников. Управление инцидентами ИБ — модуль с различными сценариями регистрации и реагирования на инциденты ИБ, регистрирует факт утечки, помогает проводить расследование и оставляет артефакты, подтверждающие, что организация выявила инцидент и отработала по нему.

Это важно как для реального реагирования, так и для последующих проверок. Модуль управления ИТ-активами — позволяет проводить систематическую инвентаризацию ПО и оборудования в компании, сигнализирует о нарушении установленных политик. Модуль управления уязвимостями — сопоставляет данные об установленном ПО с известными уязвимостями. Позволяет поддерживать систематический контроль отсутствия уязвимостей. Например, если у пользователя установлен программа с критичной проблемой, — система подсветит это, подскажет, что нужно обновить или удалить, и покажет это ответственному специалисту.

Краткая биография

Евгений Царёв

• Евгений Царёв — директор по развитию бизнеса Medoed, управляющий RTM Group.
• Эксперт в области информационной безопасности и IT-права.
• Более 15 лет занимается разработкой систем обеспечения кибербезопасности, аудитом и нормативной экспертизой.
• Участвовал более чем в 100 судебных процессах.
• Сертифицированный аудитор и тренер СТО БР ИББС и ISO 27001.
• Автор 15+ курсов и 400+ публикаций в СМИ.
• Ведёт преподавательскую деятельность с 2008 года.
• Основатель RTM Group, одной из ведущих ИБ-компаний в России.

подробнее

Модули управления активами ITSM и контроля поведения пользователей UEBA используют агенты. Агентская часть под Windows и Linux (включая отечественные операционные системы) — это небольшие программы, которые устанавливаются на рабочие станции и серверы. Они собирают технические и поведенческие данные, обогащают их и передают на сервер. Эти агенты реализуют собственные алгоритмы, позволяют указывать на вероятность подготовки целевой атаки, анализировать поведение пользователей, в том числе распознавать, что за компьютером работает не тот, кто должен. Такие данные можно передавать в SIEM и другие внешние системы.

CNews: Вы говорили про снижение риска целевой атаки. Как и по каким критериям проводят риск-анализ угроз?

Евгений Царёв: За основу мы берем классические модели оценки и анализа рисков, в том числе под требования регуляторов. Мы ориентируемся на нормативные документы, в частности, отраслевые. Используем в работе международный стандарт по управлению рисками информационной безопасности в организации — ISO 27005 и модель FAIR.

Второе направление — это более практическая, прогностическая аналитика. Мы изучаем данные об утечках, инцидентах, уголовных делах, собираем обобщенную статистику и на её основе строим модель оценки вероятности наступления критических событий ИБ по риск-профилю. Можем сказать, что у конкретной компании с определённым составом решений и профилем сотрудников вероятность столкнуться с серьезным инцидентом составляет, скажем, 60%. Инциденты последних месяцев укладываются в нашу прогностическую модель.

«Все аналитические данные загружаются автоматически — системе не нужно мешать, она сама покажет, где есть риски и на что стоит обратить внимание»

CNews: В чём ключевое отличие вашей платформы от классических SIEM, DLP или решений для управления уязвимостями? К какому классу решений можно отнести Medoed?

Евгений Царёв: Medoed частично совмещает в себе SGRC, ITAM, LMS, UEBA и даже элементы SOAR. Как SGRC мы конкурируем с лидерами рынка, а в части ITAM, LMS, UEBA и SOAR мы решаем задачу радикального снижения риска успешных целевых атак. Мы провели большой анализ инструментов из этих классов и пришли к выводу, что это очень важные решения для обеспечения ИБ, но 70% от их возможностей на практике не используется, поскольку это сложно, дорого, непонятно. Более того, не всегда они предотвращают целевые атаки, ибо разработчики не ставят перед собой такой цели. Для них важнее мощный функционал. Мы подошли с точки зрения практики, и MEDOED закрывает ровно те 30%, которые реально нужны в ежедневной работе и дают результат. Без долгих и тяжелых внедрений.

При этом мы не конкурируем с SIEM или DLP, скорее, усиливаем их, повышая защищённость компании.

CNews: Как установить продукт?

Евгений Царёв: Medoed разворачивается за полчаса, и уже в первый день можно начать работать с платформой. Большинство функций доступны «из коробки», без сложной предварительной конфигурации. Для установки достаточно «голой» операционной системы, на которую ставится, в зависимости от архитектуры, deb или rpm пакет, указывают учетные данные администратора — и можно начинать работу.

Установка агента на серверы и рабочие станции опциональна и зависит от инфраструктуры заказчика. Если, например, есть централизованное управление через домен, развертывание занимает порядка двух часов. Если централизации нет — то немного больше времени, но даже в этом случае результат внедрения и тестирования обычно виден в течение одного-двух дней.

После установки заказчик сразу получает наглядную картину: какие устройства есть в сети, какое программное обеспечение установлено, какие версии являются уязвимыми, что стоит удалить или обновить. Все аналитические данные загружаются автоматически — системе не нужно мешать, она сама покажет, где есть риски и на что стоит обратить внимание.

CNews: Можете привести в пример какие-нибудь интересные кейсы внедрения или пользования системой?

Евгений Царёв: Многие небольшие государственные предприятия начали активно внедрять наши модули, особенно по комплаенсу. После одной крупной конференции, где регулятор рекомендовал наше решение, за один день мы получили около 200 регистраций — для нас это показатель высокого доверия.

В рамках двух пилотов мы выявили присутствие, скажем так, посторонних лиц внутри периметра организации. Последующий разбор показал, что в первом случае они находились внутри два месяца, во-втором — чуть больше недели.

CNews: А как работает техподдержка?

Евгений Царёв: Мы максимально оперативные и доступные. У нас действует SLA, и мы стремимся решать возникающие вопросы как можно быстрее. Если что-то не получается — мы дорабатываем, подключаемся, сопровождаем. Это живой процесс, и команда реагирует быстро. Сейчас у нас в планах развития 19 новых функций, и ещё около 20 находятся в очереди на доработку в течение следующего года.

CNews: Как в целом видите картинку будущего у продукта?

Евгений Царёв: Мы активно развиваем модуль комплаенса в сторону расширенного решения SGRC-класса (Security Governance, Risk and Compliance). Планируем добавить новые инструменты для моделирования угроз, хранения документации, будем активно инвестировать в управление программным обеспечением и оборудованием. Также будет расширен функционал по действиям пользователей — мы хотим, чтобы платформа могла учитывать активность конкретных сотрудников в конкретных приложениях. Ну и объединим имеющиеся в системе сведения для расчета соответствия требованиям — по ПДн, КИИ, и так далее.

В долгосрочной перспективе мы видим Medoed не просто как систему соответствия требованиям, а как полноценный элемент экосистемы ИБ, который существенно дополняет SIEM и DLP. Хотим стать тем элементом, который «связывает» технические данные с управляемыми действиями и помогает службам безопасности видеть полную картину и быстро реагировать.

Виктория Смирнова

Поделиться

Короткая ссылка