Арнур Тохтабаев, T&T Security: стоял вопрос — заниматься наукой или развивать свой продукт

Почти десять лет основатель компании T&T Security Арнур Тохтабаев проработал в различных университетах США, но в итоге вернулся в Казахстан, чтобы с головой окунуться в работу над своим собственным проектом. В интервью говорим о том, что удалось за эти годы, планируют ли в компании выходить на внешние рынки. И насколько хорош «Киберщит» с точки зрения эксперта в области кибербезопасности.

— Арнур, начну с вопроса, вероятно, предсказуемого для вас. Уверен, вам его задавали не раз, как обладателю впечатляющей карьеры в США: профессор, руководитель групп в больших проектах в области кибербезопасности, финансируемых DARPA. Почему вы вернулись в Казахстан? Учитывая, что проекты, над которыми вы работали, наверняка были интереснейшими…

— Хороший вопрос. В тот момент, когда я разработал софт для обнаружения вредоносных программ через глубокий поведенческий анализ на уровне ДНК вируса, — а идея была в том, чтобы создать технологию, которая обнаруживала бы даже вирусы, которые нельзя обнаружить стандартными средствами, — я вдруг понял, что у меня получился очень интересный продукт. И еще я понял, что хочу развивать его уже как коммерческий. К слову, вокруг этой технологии уже имеется более 10 научных работ и более 100 ссылок от различных ученых по всему миру.

Решение уехать или не уехать было скорее в этой плоскости: заниматься наукой или развивать продукт, коммерциализировать его. С первой частью понятно, а вот со второй дам пояснение. Я четко понимал, что такое решение как tLab — это начало большой истории для меня как для предпринимателя. Более того, я смотрел шире — видел, что через такие продукты и вся отрасль кибербезопасности будет эволюционировать. И еще я понимал, что если я не попытаюсь в эту волну войти, то это сделает кто-то другой. Еще один момент — когда я тестировал технологию, то обнаружил, что потребление вычислительных ресурсов у нее находится на очень низком уровне — то есть, они используются очень бережно. Это было важное открытие в пользу коммерциализации — что еще нужно? Высокая эффективность + невысокие потребляемые вычислительные мощности!

Но, к сожалению, коммерциализация продукта в США вызывала большие вопросы. Я изучил этот рынок, пообщался с учеными, которые пытались коммерциализировать свои идеи — и ответ негативный: к тому моменту, когда ты выйдешь через несколько кругов финансирования на рынок, у тебя от компании останется совсем немного. Так устроена венчурная индустрия в США.

Что касается Казахстана, то тут ситуация была привлекательнее. Во-первых, в республике были заинтересованы в таких решениях. Во-вторых, была реальная поддержка подобных проектов — по приезду в Казахстан, я получил несколько грантов на развитие, было и частное финансирование. В итоге, в 2017-м мы вышли на рынок, начались продажи продукта. Чуть позже мы стали участниками госпрограммы «Киберщит», став одним из его официальных поставщиков решений по кибербезопасности.

— Еще один отвлеченный вопрос. Как вы оцениваете ситуацию с киберугрозами в Казахстане? Она как-то отличается от общемировых трендов, есть ли специфика?

— Когда я вернулся в Казахстан, то обратил внимание, что ситуация не особо отличается, она была характерна для рынков, где собственной экспертизы в области кибербезопасности недостаточно. Набор угроз был достаточно широк — от фишинга до фрода и целевых атак. В то время превалировал спрос на стандартные линейные решения — простые и малоэффективные. Был большой голод на специалистов, хотя, он и сейчас имеется. Но тогда это был реальный вакуум.

Тут нужно понимать, что средства защиты всегда будут отставать от угроз — они работают как реакция, поэтому у злоумышленников есть фора. Пока так все это работает: появляется угроза нового поколения, мы пытаемся закрыть эту брешь, создаем патчи, новые продукты, и в конце — новый класс решений.

Размышляя дальше в этом направлении, а мы уже говорим о tLab, нужно сказать, что когда мы создавали наш продукт — песочница, а в дальнейшем и anti-APT, — мы понимали, что помимо всего прочего нужно создать ценность для потребителей. В нашем случае — это возможность обнаруживать риски, которые не видит никто. И это стало нашей сильной стороной в итоге — скрытые угрозы, то есть, те угрозы, которые обходят другие песочницы. Это, кстати, продукты известных компаний. Большие компании неповоротливы, они проигрывают в скорости принятия решений, инициации новых технологических разработок и смены подходов к защите. И как следствие — страдает скорость реакции на новые вызовы и угрозы.

Понимая это, мы изначально закладывали в наше решение модульную архитектуру, гибкость, мы двигались в сторону общих решений, вооружили его даже метастатическим анализом, кстати, достаточно мощным. Теперь решение способно создавать эмуляцию скрипта за какие-то 3 секунды, и на основе поведения объекта мы делаем выводы о том, вредоносный он или нет. Это наше сильное технологическое преимущество — у нас высокий уровень детекции новых угроз.

— Арнур, вы уже частично начали говорить о продукте. И все-таки я хотел как-то структурировать эту информацию. Не могли бы вы рассказать о философии компании. С какими инновациями вы пришли на рынок?

— Думаю, нас отличает то, что 40% наших сотрудников занято в R&D. То есть, почти 40% нашего бюджета расходуется на поиск прорывных технологий. Потому что мы понимаем, что ландшафт угроз развивается настолько динамично, что без постоянной эволюции, без постоянных инноваций не то, что быть впереди, даже на месте не получится устоять. Еще важно предвидеть, как эти самые угрозы будут развиваться в будущем — необходимо стремится к тому, чтобы сделать продукт, который будет обнаруживать актуальные угрозы и через 3 года, то есть, он должен сохранять актуальность, его технологическая база должна быть на уровне и через несколько лет. Здесь «предвидение» — это понимание, куда движется хакерский мир, что в тренде, куда движется модель угроз. Именно поэтому T&T Security является соучредителем одной из известных пентестерских компаний Казахстана, которая как раз и занимается «белым», этичным хакингом.

Вот если у вас есть все эти компоненты, то, думаю, вы в тренде со своей компанией.

— Давайте поговорим о ваших технологиях. В чем их новизна и конкурентное преимущество?

— Думаю, что основная технология — это наш поведенческий движок высокого уровня, который позволяет определять угрозы, опираясь на модель их поведения. Есть так называемый «искусственный» пользователь, через которого мы как бы имитируем реального пользователя, чтобы активировать вредоносный код.

Сейчас мы сфокусированы на статическом анализе, потому что поведенческий анализ имеет слабую сторону — ему нужно от 30 секунд и выше на определение вредоноса. Статический лишен этого недостатка, здесь счет идет на секунды — и это подходит для систем предотвращения атак. Здесь у нас есть очень интересная технология — движок Deep Slicer, который извлекает «поведение» из скриптов, макросов, например, в офисных документах. А это почти 90% угроз. Мы эти скрипты извлекаем, «прогоняем» через наш движок, просматривая статический код и, эмулируя шаг за шагом каждую инструкцию, рассматриваем все возможные ветвления. Таким образом, Deep Slicer рассматривает модель поведения потенциального вредоноса по всему его коду. Ну, а дальше в работу включается tLab, который уже на основе полученных данных (которые, напомню, получены за несколько секунд) смотрит на объект с точки зрения поведенческого анализа, отвечая на вопрос: что в объекте может быть конкретно вредоносным.

В итоге, в отличие от ряда наших конкурентов, мы уже через несколько секунд можем сказать, что этот объект делает и почему он является вредоносным.

Другая технология, над которой мы работаем — анализ бинарных документов для поиска эксплойтов нулевого дня. Мы фактически создаем спецификацию конкретного типа документа. И если происходят какие-то отклонения от эталонной модели, это можно принять как проявление эсплойта.

Наконец, есть еще одна технология, где мы развиваемся. Задача тут понимать, когда к вам приходит какой-то офисный документ с вредоносом. Это может случиться раз в месяц, к примеру. Все остальное время вы будете получать нормальные, то есть, «чистые» документы. Обычно все движки, которые занимаются анализом, они пытаются увидеть вредоносность объекта, но проблема в том, что это не всегда работает: например, произошел новый тип атаки и запутывание кода. Поэтому мы пошли с другой стороны — мы идентифицируем легитимное поведение объекта: этот код работает с таблицей, этот — с кнопкой и т. д. И если движок говорит, что он понял, что 90% кода — это легитимный софт, а остальное он просто не понимает, то это есть причина для беспокойства, тогда мы помещаем его в список подозрительных объектов. То есть, мы говорим о поиске «серых» зон.

— Арнур, насколько понимаю, вы активно участвуете в госпроекте «Киберщит». По крайней мере, об участии отечественных разработчиков было заявлено около года назад. На каком этапе он находится, насколько он хорошо проработан, каков уровень участия отечественных компаний в нем?

— Хороший вопрос. Мы в «Киберщите» участвуем как поставщик решений по безопасности. В частности, в ряде министерств уже используется система tLab, о которой мы достаточно подробно говорили выше. Это программное решение используется в интеграции с продуктами одного из мировых лидеров в области кибербезопасности — Trend Micro. Интеграцию мы провели еще в начале прошлого года.

В целом, участие отечественных компаний, хоть и фрагментарно, но заметно.

Что касается проработанности программы, то тут нужно понимать, что «Киберщит» — это что-то новое для Казахстана. Программа масштабная и, конечно, она будет эволюционировать через какие-то ошибки, она будет становиться лучше, эффективнее. Мы только в начале пути.

— Над какими проектами сейчас работают в T&T Security?

— О каких-то проектах я уже рассказал — это движок Deep Slicer, который анализирует легитимное поведение объектов. Вторая технология — это создание объекта в стандартной спецификации, которая присуща ему. И быстрая проверка объекта на предмет различий, с целью обнаружения эксплойта нулевого дня. Об этом мы тоже говорили ранее.

Одно из интересных направлений — использование Искусственного интеллекта для того, чтобы анализировать контекстные данные, вредоносное поведение на уровне аномалий. Идея тут в том, чтобы увидеть ранее неизвестные атаки.

Из продуктов — мы работаем над tMail — решение для анализа почтового трафика. Цель — обнаружение вредоносного контента, но не только в части анализа вложенных объектов, но и в части фрода, спама и фишинга. То есть, тут и репетиционный, и семантический анализ текста.

— Планируете ли выходить на внешние рынки? Если да, то раскройте, пожалуйста, детали.

— Да, конечно, мы рассматриваем выход на внешние рынки — это вполне логичный шаг. Пока через дистрибьюторов — уже есть подобные договоренности. И пока речь идет о tLab. И, конечно, мы планируем выйти и на рынок США — это крупный маркет, тем более, мне он знаком, более того, мои публикации там знают, а многие их них связаны с tLab прямо или косвенно. Это плюс.

Что нас сдерживает пока — нам нужна линейка продуктов, поэтому мы ждем, когда работа над tMail будет завершена. Таким образом, у нас появится комплексное решение.

Еще важный момент — чтобы продавать наши решения по всему миру, нам необходимо перевести их в облако. Над этой идеологией мы сейчас тоже работаем. В итоге мы получим очень простой и апробированный подход к коммерциализации наших продуктов на глобальном уровне — как решение Security as a Service (SECaaS).