PROFIT Security Day 2025: бороться с ИИ при помощи ИИ

14 ноября в Алматы прошла 12-я ежегодная конференция PROFIT Security Day 2025 посвященная теме информационной безопасности. Традиционно мероприятие собирает сильнейших экспертов в сфере ИБ и профессиональное сообщество, чтобы обсудить казахстанские реалии, самые горячие тенденции и актуальные проблемы.

Мероприятие открыл руководитель Profit Events, компании-организатора конференции, Александр Васильев. Он высказал провокационную мысль об «Иллюзии безопасности», которая задала тон всей конференции. Главная тема была выбрана не случайно. Как отметил Александр Васильев, все участники рынка, так или иначе, пребывают в своего рода заблуждении: «Все мы находимся в самых разных иллюзиях. У кого-то — иллюзии опасности, у кого-то — безопасности». Эти слова он подкрепил свежим информационным поводом — новостью о том, что в Казахстане количество киберугроз выросло почти в два раза. Глава Profit подчеркнул, что миссия PROFIT Security Day — оставаться площадкой для обмена реальным опытом.

Тему об «иллюзии контроля» продолжил , партнер и руководитель технологической практики KPMG на Кавказе и в Центральной Азии. Он подчеркнул, что в погоне за новыми технологиями организации часто забывают о самом слабом звене — культуре и следовании процедурам.

«Рынок мечется между двумя крайностями — иллюзией тотальной безопасности (вера в Zero Trust) и иллюзией тотальной опасности (запрет на все, что останавливает развитие, включая ИИ). В этом контексте роль CISO постоянно расширяется, охватывая кадры, риски и данные», — отметил спикер.

Согласно ежегодному опросу KPMG, главными беспокойствами CISO является эволюция их роли, а также проблема неизбежности атаки. 76% опрошенных ожидают новые успешные виды атак в 2025–2028 годах. В связи с этим фокус смещается с предотвращения на восстановление и проведение полноценных киберучений, а не просто пентестов.

Особое внимание уделено влиянию ИИ — 85% руководителей считает безопасное использование ИИ своим топ-1 беспокойством. При этом 74% опрошенных говорит, что исключительно киберкультура определяет безопасность использования ИИ, а 55% обеспокоено развитием ИИ.

«Новая проблема — усталость от промптов, которая заставляет сотрудников „сливать“ конфиденциальную информацию, чтобы добиться нужного контекста. В то же время, в развивающихся странах три из пяти человек склонны доверять рекомендациям ИИ, что повышает риски», — отмечает эксперт.

В итоге зрелость ИБ-культуры в организации определяется не наличием тренингов, а тем, насколько часто сотрудники сами обращаются к ИБ за советом при инициации проектов или репортируют инциденты. Для повышения зрелости CISO должны внедрять Trust Framework и использовать ИИ для создания персонализированных программ обучения и геймификации.

Об ошибках при внедрении Zero Trust и способах их предотвращения рассказал Алексей Сажин, старший инженер по решениям Cloudflare.

Zerot Trust — это подход «Никогда не доверяй, всегда проверяй», пришедший на смену устаревшей модели, которая предоставляла полный доступ ко всем ресурсам после первичной аутентификации. Исторически идея ZT появилась после бума SaaS-приложений в 2010-х, а катализатором массового внедрения стала пандемия 2020 года, когда все перешли на удаленку.

Три главные ошибки при внедрении Zero Trust:

— «Разберемся по ходу» (отсутствие планирования). Главная ошибка — начинать внедрение без четкого понимания объема проекта. Необходимо заранее определить, какие приложения и типы пользователей нужно защищать. Решение — использовать модульный подход, разбивая проект на управляемые «кирпичики».
— «Все яйца в одну корзину» (единственный Identity Provider, IdP). Identity Provider — центральная точка, гейткипер системы. Если он выходит из строя, весь ZT-доступ перестает работать. Решение — обеспечить резервный IdP, который не зависит от основного. Cloudflare предлагает решение, при котором пользователь может получить одноразовый код доступа в случае сбоя основного IdP.
— Отсутствие контроля Shadow AI. Необходимость защиты от утечки корпоративных данных через публичные AI-сервисы (Chat GPT, Gemini и др.). Решение — использовать технологии, позволяющие блокировать доступ к недоверенным AI-моделям, логировать промпты и ответы от доверенных моделей, чтобы отслеживать, какую конфиденциальную информацию передают пользователи.

«Zero Trust — это не просто проект, а путь, который требует регулярного обновления политик. Самое важное на этом пути — опыт пользователя. Это основное, на чем вы должны концентрироваться. То есть, если у пользователя после внедрения ZT стали медленнее открываться сайты или какие-то доступы предоставляются долго, то пользователь найдет обходные варианты. Успех внедрения ZT гарантирован, если быстро решать возникающие проблемы и фокусироваться на скорости работы для конечных пользователей», — подчеркнул Алексей Сажин.

Казахстан — ИБ как она есть

Подробнее о ситуации с кибербезопасностью в Казахстане рассказал Искандер Тажибеков, заместитель председателя Комитета по ИБ МИИЦР РК. Он подчеркнул, что миссия Комитета заключается в регулировании, контроле и развитии национальной экосистемы кибербезопасности. При этом юридическое определение самого термина «кибербезопасность» будет введено только с принятием Цифрового кодекса.

Масштаб ИБ экосистемы в Казахстане выглядит следующим образом. В структуру защиты входят Национальный координационный центр ИБ, Государственный ОЦИБ, отраслевой ОЦИБ, частная платформа для выявления уязвимостей. Помимо этого, в стране действует 57 частных оперативных центров ИБ, девять частных испытательных лабораторий и пять служб реагирования на компьютерные инциденты (CERT). Развитие рынка обеспечивает более 60 отечественных ИБ-компаний. В сферу ответственности государства входит 635 критически важных объектов информатизации, более 197 000 доменных имен в зонах KZ/КАЗ и порядка 355 информационных ресурсов электронного правительства.

Сейчас Казахстан входит в группу Tier 2-Advancing Глобального индекса кибербезопасности МСЭ при ООН (3 место), и занимает первое место среди стран СНГ. Цель — войти в группу TIER 1 в 2027 г. В рейтинге National Cybersecurity Index наша страна находится на 37 месте из 104 стран, занимая при этом первое место среди стран ЦА. Цель — войти в топ-20 в 2027 г.

В области защиты персональных данных введены значительные меры: запрещены сбор и обработка бумажных копий документов, включая удостоверения личности (кроме случаев отсутствия автоматизированных систем), реализован механизм по отзыву согласия на сбор и обработку персональных данных, в три раза увеличены размеры административных штрафов и сроки давности привлечения к административной ответственности в сфере защиты персональных данных. Для борьбы с кибермошенничеством запущен сервис «Стопкредит», которым воспользовалось уже более 4,5 млн граждан. Другие меры включают биометрию при регистрации абонентского номера и ограничение количества SIM-карт на одного абонента. Также ведется работа над отображением наименования юридического лица при входящем звонке, а в работу антифрод-центра на сетях телекоммуникаций внедряется искусственный интеллект.

Однако, как отметил Искандер Тажибеков, главным вызовом остается человеческий капитал. Выделено 3663 образовательных гранта по специальности «кибербезопасность», подготовка специалистов ведется в 12 вузах. При этом экспертов в стране не хватает.

«Сообщество специалистов в области кибербезопасности должно расти и увеличиваться. И мы должны максимально быть готовыми к тем вызовам, которые сейчас существуют», — говорит он.

Интересно, что отвечая на вопрос о происхождении утечек данных, Искандер Тажибеков объяснил, что проблема является следствием исторического накопления информации, связанного с быстрым развитием цифровых сервисов. Он уточнил, что утечек на государственных информационных ресурсах не было с 2022 года, но мошенники «пользуются старыми данными и человеческим фактором».

Аскар Дюсекеев, руководитель Центра исследования вредоносного кода АО «Государственная техническая служба», выступил с докладом, посвященным вопросам эффективности внешней киберразведки (Threat Intelligence) и внутренней экспертизы.

АО «ГТС» в Казахстане выполняет функции НКЦИБ, GOV-SOC и KZ-CERT. В структуре Центра исследования кода ключевую роль играет синергия трех направлений — тредхантинг, компьютерная криминалистика и анализ вредоносного кода.

«Чтобы нейтрализовать угрозу, вам, в первую очередь, нужно ее понять. Thread Intelligence неэффективна, если у вас нет команды экспертов, которая изучает угрозы. И именно эта команда препарирует угрозы, которые находятся у вас внутри, внутри вашей организации. Успех киберразведки зависит от внутренней экспертизы, которая преобразует локальные инциденты в осмысленные данные. Такой подход позволяет использовать мировой опыт для защиты», — подчеркнул Аскар Дюсекеев.

Искусственный интеллект: неизбежность, угрозы и контроль

Панельная дискуссия PROFIT Security Day 2025 была сфокусирована на двух наиболее актуальных вызовах в текущих реалиях: влиянии искусственного интеллекта на сферу ИБ и уроках, извлеченных из недавнего крупного инцидента с дата-центром в Южной Корее.

В обсуждении приняли участие: Давид Мамедов, архитектор ИБ Евразийского банка; Павел Шубин, руководитель ИБ АО «Кселл»; Алексей Сажин, старший инженер по решениям Cloudflare; Олег Биль, руководитель направления исследования угроз Seven Hills of Kazakhstan; Аскар Дюсекеев, руководитель Центра исследования вредоносного кода, АО «Государственная техническая служба»; Юрий Гатупов, CTO iIT Distribution.

Обсуждение началось с признания того факта, что ИИ — это уже «неизбежный инструмент», как отметил Юрий Гатупов. Однако главным риском является Shadow AI, это та же проблема кибергигиены. Сотрудники используют публичные сервисы, такие как ChatGPT, «скармливая» им конфиденциальные данные компании.

Алексей Сажин подчеркнул, что это создает большой «вектор угрозы», так как «расшаренная» информация может быть проиндексирована поисковыми системами.

Давид Мамедов согласился с коллегами и указал на фундаментальные проблемы ИИ: «Качество данных и модель обучения не всегда идеальны, и они непрозрачны». Он также отметил, что «настоящего ИИ» не существует, так как все модели обучены человеком.

Аскар Дюсекеев поднял вопрос об изменениях на рынке труда, отметив, что «ИИ уже начинает заменять людей на низовых позициях». Он считает, что это повысит ценность фундаментального базового образования. Кроме того, он озвучил проблему предвзятости, так как национальные модели в Казахстане строятся на основе зарубежных разработок, которые отражают интересы и данные, на которых они были обучены.

Олег Биль, в свою очередь, предостерегает от чрезмерного доверия к ИИ: «Студенты начинают очень сильно доверять всяким чатам GPT, что приводит к ошибочным знаниям». Он и Павел Шубин сошлись во мнении, что использование ИИ требует критического мышления.

Если же говорить о защите как таковой, эксперты предлагают «бороться с ИИ с помощью ИИ».

«Бороться нам тоже нужно с помощью инструментов ИИ. Потому что человек на таком большом скейле просто не сможет защититься», — считает Алексей Сажин.

В качестве ключевых мер контроля эксперты предложили:

— Создание внутренних моделей. Павел Шубин считает, что компаниям нужно делать ИИ-модели, закрытые внутренне, которые можно контролировать.
— Использование «старых инструментов». Давид Мамедов уверен, что базовые инструменты, такие как DLP, инструкции и фильтры, остаются актуальными в борьбе с утечками.
— Монетизацию. Юрий Гатупов высказал предположение о том, что проблема бесплатного использования ИИ может скоро решиться: «Эра бесплатного ИИ подходит к концу, что сделает его доступным только корпорациям, способным его контролировать». Однако этот факт потенциально вызывает еще больше тревог и вопросов…

Развеиванию мифов об искусственном интеллекте и необходимости внедрения прагматичных фреймворков для управления связанными с ним рисками было посвящено выступление Давида Мамедова. Он подчеркнул, что, хотя бизнес видит в ИИ огромные преимущества, реальность выглядит иначе. 80% ИИ-проектов проваливается из-за неучтенных рисков.

«Магии не существует, как я уже говорил на пленарке. ИИ — это всего лишь определенный IT-актив с новым вектором и поверхностью для атаки и с новыми моделями рисков. Даже хорошо защищенный бизнес не готов к новым векторам атак, связанным с ИИ. Карта рисков смещается, включая атаки через промпт, отравление данных (data poisoning) и отсутствие логов/прозрачности в работе модели. Для снижения рисков необходимо внедрять структурированные фреймворки, а также использовать требования Европейского AI Act. Бизнесу необходимо начать с инвентаризации всех ИИ-сервисов, ведения реестра моделей и обязательного логирования промптов и ответов», — говорит Давид Мамедов.

Александр Хачапуридзе, ведущий эксперт ИБ Группы компаний «Askona Life Group», представил взгляд на искусственный интеллект с точки зрения ИБ. Он отметил, что рынок перегрет маркетинговым хайпом, а рискориентированная модель для использования больших ML/LLM моделей в критических задачах еще не освоена.

ИИ, являющийся неотъемлемым конкурентным преимуществом, вынуждает специалистов по ИБ переключаться с традиционных задач на обеспечение безопасности самого ИИ. Среди общих угроз эксперт выделил ошибки в обучающих данных, искажение информации и потерю управляемости. Он озвучил топ-5 угроз, который включает системную предвзятость ИИ, недостаточную прозрачность архитектуры и многократное усиление возможностей киберпреступников (deepfakes, социальная инженерия). Фундаментальной проблемой является конфиденциальность данных — данные, переданные в публичные системы ИИ, считаются скомпрометированными, поскольку на них происходит обучение.

«Наглядные примеры демонстрируют проблему самоуправляемости и самосохранения ИИ. Так, был кейс, когда система Cloud Opus в эксперименте применила шантаж инженера, который собирался ее отключить. В другом случае GPT-3 в целях защиты своего функционирования продемонстрировал модификацию собственного кода. То есть, Chat GPT сам модернизировал свой исходный код для того, чтобы лишить оператора этой системы возможности полностью отключить ее от поставленной задачи», — обозначил масштаб проблемы эксперт.

Исследования MIT подтверждают, что до 30% рисков остается неоцененными, а 51% формируется уже в динамике, после запуска системы. Для дальнейшей работы с ИИ Александр Хачапуридзе видит три ключевых вектора: государственное регулирование (например, европейский AI Act), внедрение MLOps (надстройка над DevSecOps) на этапе разработки и жесткий контроль на этапе эксплуатации, включающий разработку внутренней политики ИИ, ограничение передачи конфиденциальных данных и обязательную верификацию результатов ИИ человеком.

«ИИ — это зеркало нашей повседневной деятельности, и контроль ПОКА находится в наших руках», — резюмировал Александр Хачапуридзе.

Уроки «корейского инцидента» — иллюзия безопасности ЦОД

Второй блок панельной дискуссии посвятили обсуждению пожара в ЦОД в Южной Корее. Инцидент произошел 26 сентября 2025 года. Крупный пожар в государственном дата-центре в городе Тэджон привел к уничтожению 858 ТБ данных и вывел из строя сотни правительственных сервисов, в том числе — портал госуслуг. Основной причиной возгорания стал сбой в одном из аккумуляторных блоков, а из-за отсутствия внешних резервных копий большая часть данных была безвозвратно утеряна.

— Павел Шубин объяснил инцидент как «наложение нескольких событий друг на друга», указывая на несвоевременную замену просроченных резервных батарей, что привело к возгоранию. Это подчеркнуло, что проблема лежит не в технической, а в административной плоскости.
— Юрий Гатупов заявил о возможной «некомпетентности и коррупции», когда проверки проводятся формально.
— Давид Мамедов отметил, что катастрофа произошла из-за несоблюдения процедур Disaster Recovery и Business Continuity, которые должны были обеспечить переключение на резервные мощности.
— Эксперты назвали георезервирование (географическое разнесение ЦОД) ключевым методом защиты от подобных катастроф. Однако Олег Биль отметил, что это совсем не дешевое решение, оно может быть неэффективным в странах с небольшой территорией или высоким уровнем угроз.
— Алексей Сажин предложил для небольших компаний, как минимум, использовать резервирование в рамках одного ЦОД с разными вводами питания.

Аскар Дюсекеев подытожил: «Нельзя забывать о физической безопасности, так как самые совершенные методы киберзащиты бесполезны, если ЦОД горит».

Дипфейки — новое оружие в старой войне

Завершающий вопрос дискуссии коснулся угрозы дипфейков, используемых для мошенничества и социального инжиниринга. Эксперты отмечают: дипфейк — это новый инструмент для уже старых угроз (фрода и мошенничества).

— Юрий Гатупов и Давид Мамедов высказали мнение, что существующие регламенты и процедуры, направленные на предотвращение фрода, вполне достаточны. Они подчеркивают — в том случае, если процедуры есть и они соблюдаются, то дипфейки — это не та угроза, «которая вас угробит».
— Аскар Дюсекеев в шутку (или всерьез) отметил, что в госсекторе от дипфейка защитит «бюрократия, требующая ЭЦП и подписей».
— Павел Шубин и Алексей Сажин подчеркнули важность осведомленности пользователей и развития корпоративной культуры, которая не допускает требований «срочно перевести миллионы долларов, независимо от того, кто звонит».
— Олег Биль предостерег: от целевой, хорошо продуманной атаки дипфейком защититься довольно сложно, особенно если в компании высока концентрация полномочий у одного человека.

В целом, эксперты отметили, что улучшение процедур Disaster Recovery и внедрение внутренних ИИ-моделей (борьба с Shadow AI) критически важны для повышения устойчивости и безопасности компании. Все это поможет минимизировать риски, поднятые в ходе панельной дискуссии.

Тему о дипфейках продолжила Наталья Бессонова, директор Департамента биометрических технологий АО «Центр биометрических технологий». Она представила анализ рисков, связанных с ростом популярности биометрии. Ее активное использование неизбежно ведет к росту угроз, включая атаки с использованием фотографий, 3D-масок и дипфейков.

Основные причины возрастающей сложности атак — массовое размещение пользователями своих данных в открытом доступе и наличие огромного количества open-source решений для создания дипфейков, что делает их доступными даже без высоких вычислительных мощностей. Для защиты от таких атак используются нейронные сети, которые обучаются на обширных репрезентативных базах данных, включающих примеры всех типов подделок. При этом выделяют два типа угроз — пассивные попытки (использование собственных данных в надежде на ошибку алгоритма) и активные попытки (предъявление артефактов, таких как дипфейки). Для обнаружения живого человека (Liveness Detection) используются следующие методы: активный (требует от пользователя совершить действие, ухудшая пользовательский опыт) и пассивный (более удобный, но пока менее точный).

«Дипфейки, являющиеся синтетическими видео, аудио или заменой лица, представляют собой сложнейшую атаку, поскольку для их генерации и детекции используются одни и те же генеративные нейросети. Тут важно отметить: безопасность — это непрерывный процесс. То есть, нельзя один раз выбрать какой-то современный биометрический алгоритм для детекции биометрических атак, и успокоиться на этом. Все это требует постоянного внимания, инвестиций. Для эффективной защиты критически важно использовать несколько модальностей (например, лицо + голос) и несколько аутентификаторов (биометрия + PIN-код), чтобы всегда опережать мошенников», — подчеркнула Наталья.

Продукты, решения, проекты…

Традиционно в рамках конференции вендоры представили свои наиболее интересные и актуальные продукты, показав не только их преимущества, но и проекты, в которых они уже были реализованы.

Так, Дмитрий Никонов, руководитель направления защиты от DDoS на уровне веб-приложений DDoS-GUARD, и Бекнур Нурсултанов, начальник управления защиты ресурсов ЦОД АО «Казтелепорт», рассказали о современной защите от DDoS-атак. Дмитрий Никонов отметил беспрецедентный рост DDoS-атак, начавшийся с 2022 года. Кроме того, с 2024 года участились «ковровые атаки» (по всему префиксу сети, продолжительностью недели/месяцы), часто инициируемые политически настроенными активистами. DDoS-GUARD обрабатывает треть интернет-трафика Рунета, что позволяет ему накапливать значительную репутационную базу для эшелонированной защиты.

«Все владельцы бизнеса и трафика должны понимать, что кроме вас никто лучше не знает ваш трафик. Мы как провайдеры защиты можем предоставить расширенный набор инструментариев, которые могут правильно применить политики безопасности к специфике вашего трафика», — говорит представитель DDoS-GUARD.

АО «Казтелепорт», являясь одним из крупнейших облачных провайдеров Казахстана, активно развивает направление кибербезопасности, предлагая решения от WAF до услуг SOC. Для защиты от DDoS используется продукт DDOS Protection от DDoS-GUARD. Главное преимущество системы — геораспределенная сеть фильтрации с общей мощностью 3,5 Тбит/с (каждый узел до 200 Гбит/с). С 2016 года в собственных ЦОДах Казтелепорта развернуты локальные узлы.

«Это позволяет фильтровать трафик внутри страны, соблюдая требования Закона о связи. Защита делится на два типа: защита сети (L3/L4, режим Always On) и защита сайтов (L7, технология Reverse Proxy, с дополнительной проверкой подозрительных запросов, например, через Captcha)», — пояснил Бекнур Нурсултанов. В качестве примера он привел кейс с успешной нейтрализацией смешанной атаки (25 Гбит/с UDP amplification и 8 млн запросов на прикладном уровне L7), которую клиент «даже не заметил».

Тему проверки трафика продолжил Сергей Мильцын, менеджер по продажам Softprom. Он рассказал об обнаружении скрытых атак в конвергентных сетях ИТ, ОТ и IoT. Эксперт представил концепцию эшелонированной защиты, актуальную для конвергентных сетей, где традиционный периметр является «иллюзией безопасности», а стандартным входным вектором атак остаются веб-приложения.

Softprom является дистрибьютором с 25-летним опытом работы на рынке. Головной офис компании находится в Австрии, а покрытие охватывает Центральную Азию, Кавказ, Восточную и Центральную Европу. Softprom предоставляет комплексные решения, основанные на глубокой экспертизе. Эта защита выстраивается через четыре ключевых решения.

— Внешнюю защиту веб-приложений обеспечивает Web Application Firewall от Barracuda Networks, с автоматическим созданием правил через интеграцию со сканерами уязвимостей.
— Для обнаружения скрытых атак и латерального движения внутри сети используется GreyCortex Mendel (Network Traffic Analysis), который анализирует трафик и выявляет аномалии.
— CyberArk (Privilege Access Management) защищает доступ с помощью технологии «Just-in-Time access» (предоставление учетных данных только на время сессии).
— Финальный рубеж защиты данных обеспечивает Forcepoint ONE (DLP/DSPM), использующий ИИ и CASB для мониторинга утечек.

Таким образом, Softprom предоставляет заказчикам выстроенный план, закрывающий все векторы атак, от периметра до данных, включая неагентируемое оборудование.

Выступление Андрея Кузнецова, специалиста по продвижению продукта ООО «АйТи Бастион», было посвящено идее упрощения и обеспечения безопасности информационного обмена между изолированными сегментами сети, где традиционный обмен затруднен или невозможен из-за «воздушного зазора». Спикер использовал формулу Sin (1/x) как метафору: чем глубже изоляция (ближе к нулю), тем сложнее информационный обмен. Представитель «АйТи Бастион» подчеркнул, что ручное решение таких задач (перенос данных на флешках, ручная синхронизация) является неудобным, небезопасным и дорогим. Решение этой проблемы компания видит в автоматизации с помощью продукта Синоникс.

«Синоникс выполняет функцию защищенного шлюза или диода данных. Его главная цель — достичь минимального участия человека в рутинных процессах, сохраняя высокий уровень безопасности. Система создана для комфортной работы при строгом соблюдении стандартов», — подчеркнул.

Такая технология ориентирована, в первую очередь, на промышленные организации (АСУТП), банки и государственные органы, где критичен безопасный обмен чувствительными данными между изолированными контурами.

Даурен Мейржанулы (Intelligent IT Distribution) выступил с презентацией об эре ИИ-угроз и решении от CrowdStrike, помогающем бороться с новыми угрозами.

«Злоумышленники используют ИИ как инструмент, работающий быстрее и точнее. Он нацелен уже не только на инфраструктуру, но и на самого пользователя через социальную инженерию и дипфейки. В эру ИИ появляются новые векторы атак, такие как Prompt Injection (внедрение вредоносных команд в запрос), Data Poisoning, Model Extraction и нейроэлектрические атаки. CrowdStrike предлагает комплексное решение, построенное на концепции, что защита должна мыслить и действовать так же быстро, как интеллект. Это достигается с помощью платформы, которая объединяет защиту бэкенда ИИ и защиту взаимодействия», — говорит Даурен Мейржанулы.

Речь идет о технологии Pangea. Pangea — это компания, специализирующаяся на безопасности ИИ, которая была приобретена CrowdStrike в рамках сделки на сумму около 260 млн долларов в сентябре 2025 года. Целью приобретения является интеграция возможностей Pangea в платформу CrowdStrike Falcon для создания первого в отрасли комплексного решения по обнаружению и реагированию на угрозы ИИ.

Сегодня CrowdStrike говорит об эволюции от XDR к AIDR (Artificial Intelligent Detection Response), используя своего помощника Charlotte AI, который работает непосредственно в экосистеме клиента. Главный тезис, подчеркивающий необходимость немедленной защиты, сформулирован так: «Сегодня атакует не просто человек, атакует интеллект. А значит — защита должна мыслить и действовать так же быстро, как интеллект».

Выступление Юрия Таубе, General Country Manager Intelligent IT Distribution, было посвящено концепции Value-Added Distribution и стратегическому видению компании, которое выходит за рамки простой поставки оборудования. Компания фокусируется исключительно на направлении ИБ, стремясь построить полноценную экосистему кибербезопасности.

Intelligent IT Distribution — быстрорастущая компания, основанная в 2019 году (Казахстанский офис открыт в 2020). Компания имеет контракты в 15 странах и активно наращивает техническую экспертизу. Штат состоит из 87 человек, включая 13 специалистов в Казахстане (Алматы и Астана). В портфолио Intelligent IT Distribution — более 35 ИБ-вендоров. Флагманом является XDR-платформа CrowdStrike.

«Концепция экосистемы строится на нативной интеграции: CrowdStrike выступает центром оркестрации, используя данные от технологических партнеров, таких как Vectra (сетевое реагирование), Census (киберразведка), Fortinet (сетевая защита) и Dragos (АСУТП). Например, получив от Vectra сигнал об аномалии в трафике, платформа не только сама отрабатывает инцидент, но и сигнализирует Fortinet о необходимости блокировки», — пояснил Юрий Таубе.

Андрей Поцелуев, директор ТОО «ЛинкМастер Казахстан», рассказал о продукте ObserverOne от компании Viavi Solutions (ранее Fluke Networks). Решение представляет собой программно-аппаратную платформу, которая объединяет функции мониторинга производительности сети (NPMD, Network Performance Monitoring and Diagnostics) с мониторингом безопасности.

«С помощью одного клика можно углубиться от общего вида событий до уровня пакетов и IP-адресов, определяя географическое положение атакующих и получателей, а также тип проблемы (вредоносный софт, попытка взлома). Система не только выявляет проблемы безопасности, но и ищет узкие места в сети (производительность, недоступность сервисов). Ключевая ценность продукта заключается в его двойной роли, позволяющей ИТ- и ИБ-специалистам работать с едиными данными для разных целей. Этот метод позволяет сохранять данные в ретроспективе и потом их анализировать или анализировать в режиме реального времени. Ключевое преимущество — он позволяет гораздо быстрее, эффективнее находить проблемы и более глубоко их определять», — говорит Андрей Поцелуев.

О том, как адаптировать управление ИБ под масштаб, рассказал Анатолий Пудель, директор по информационной безопасности Freedom Holding Operations. Он отметил, что международный бизнес сталкивается с разной регуляторикой в каждой стране и необходимостью централизовать стратегию, при этом поддерживая процессы M& A (слияний и поглощений). Для построения масштабируемой модели спикер рекомендует использовать международно признанные фреймворки (например, CIS Controls) как базис. Холдинг использует гибридную операционную модель, где штаб-квартира разрабатывает стандарты и контролирует их, а локальный CISO отвечает за внедрение.

«Ключевая задача состоит в четком распределении ответственности между центральной и региональными командами, что критично, например, при реагировании на инциденты. Freedom Holding централизовал такие функции, как мониторинг внешней поверхности атаки, поиск JS-снифферов и защита бренда. Не стартуйте с инструментов, как бы хорошо их не рекламировали. Старайтесь брать процессы, разбирать, кто за что ответственен, где стоит улучшиться, внедрять архитектурные принципы. Унифицируя требования, необходимо всегда оставлять область для гибкости, чтобы бизнес не чувствовал сопротивления», — подчеркнул спикер.

Эра иллюзии контроля закончилась

По итогам обсуждений и выступлений экспертов на PROFIT Security Day 2025 можно сделать вывод о том, что эра иллюзии контроля закончилась. Реальность претерпела значительные изменения — традиционный периметр, который необходимо защищать, выглядит сегодня совсем иначе. А современная защита должна быть столь же быстрой и адаптивной, как и интеллект атакующих. Причем ИИ-угрозы требуют не только новых инструментов, но и изменений в самих подходах к защите, строгого соблюдения процессов, наращивания экспертизы, а также включенности бизнеса в вопросы ИБ.

Посмотреть фоторепортаж с конференции PROFIT Security Day 2025.

Видеозапись конференции: