Антон Замараев: «Мечтаю о системе, где компании объединяются для защиты от кибератак»

Директор дирекции кибербезопасности ОТП Банка Антон Замараев выступил на сессии «Киберустойчивость как новая стратегическая метрика бизнеса» в рамках Киберсьезда 2025, прошедшего в Кибердоме в Москве. Он рассказал о состоянии киберустойчивости сегодня и поделился взглядом на будущее, в котором компании объединяют усилия, чтобы быстрее и эффективнее противостоять угрозам.

В начале выступления спикер подчеркнул: киберустойчивость — это не попытка избежать атак, которые все равно произойдут. Это способность максимально быстро устранить возникшую угрозу и восстановить работу сервисов. «Мы не можем полностью заблокировать работу сервисов или ограничить текущий процесс, бизнес должен работать всегда. Поэтому наша задача — встроить такие механизмы безопасности, которые позволяют обнаруживать и устранять угрозы без вреда для бизнеса».

А. Замараев рассказал, что в ОТП Банке процессы выстроены так, чтобы разработчики и devops-команды могли самостоятельно замечать и исправлять уязвимости. Это снижает нагрузку на профильных специалистов и ускоряет работу. При этом важной частью системы становится оперативный мониторинг: контроль нужен не только внутри инфраструктуры, но и на внешних сервисах, в том числе в клиентских зонах.

Антон отметил, что сейчас ключевым элементом киберустойчивости становится регулярное тестирование негативных сценариев: «Важно понимать, из чего состоят процессы, какие системы за ними стоят и в какой последовательности нужно их восстанавливать. Это позволяет командам уверенно действовать даже в непривычных ситуациях».

Завершая выступление, он сформулировал идею, которую назвал своей профессиональной мечтой: создание добровольной системы коллективной кибербезопасности. По его словам, компании могли бы передавать друг другу не формальные отчеты, а реальный опыт — как победили конкретную угрозу, какие методы сработали, какие нет. Такой обмен, считает он, сделал бы рынок заметно устойчивее.

«Каждая компания проходит один и тот же путь: сталкивается с похожими угрозами, решает похожие задачи. Если бы мы начали добровольно делиться экспертизой, мы бы все стали защищеннее и быстрее реагировали на новые вызовы», — отметил Антон Замараев.

Дополнительно он обратил внимание на технологический горизонт: квантовые вычисления в ближайшие годы могут поставить под угрозу привычные методы шифрования. Подготовка к переходу на криптографию нового поколения — вызов, который весь рынок еще только начинает осознавать.

ОТП Банк внедрил Kaspersky Anti Targeted Attack и Kaspersky EDR Expert

ОТП Банк внедрил платформу «Лаборатории Касперского» Kaspersky Anti Targeted Attack, а также Kaspersky EDR Expert. Связка KATA и KEDR Expert представляет собой решение класса XDR нативного типа с широкими возможностями обнаружения и исследования сложных инцидентов, а также реагирования на них. Продукты «Лаборатории Касперского» позволили ОТП Банку защитить свою корпоративную инфраструктуру от сложных кибератак без привлечения дополнительных ресурсов и с соблюдением требований законодательства.

ОТП Банку требовались современные инструменты для обнаружения следов компрометации и реагирования на угрозы для реализации стратегии информационной безопасности. Среди критериев выбора в приоритете было качество предоставляемых детектов киберугроз.

Решение KATA и KEDR Expert обеспечивает комплексный контроль и защиту основных векторов возможного воздействия угроз: сетевой инфраструктуры, веб-трафика, электронной почты и конечных точек. Система не только выявляет начавшиеся атаки и их последствия, но и позволяет предотвратить потенциальные инциденты.

Благодаря анализу сетевого трафика, использованию передовой песочницы для эмуляции угроз и применению широкого набора современных технологий детектирования, решение «Лаборатории Касперского» позволяет выявлять даже продвинутые атаки. Дополнительно комплекс поддерживает интеграцию с уже действующими средствами защиты информации в банке, обеспечивая единое информационное пространство и повышая эффективность реагирования.

Платформа позволяет автоматизировать оценку и вынесение вердиктов по потенциальным угрозам безопасности, снижая нагрузку на специалистов ИБ. Например, с помощью XDR можно реализовать автоматизированную отправку подозрительных файлов (в результате срабатывания правил корреляции SOC) на проверку в песочницу, а также проанализировать исходный код с использованием искусственного интеллекта. Аналитик SOC получает результирующий отчет с указанием степени угрозы и, опираясь на приоритетность, оперативно реагирует с применением широких возможностей платформы для локализации инцидента.

«Целевые кибератаки тщательно готовятся злоумышленниками и учитывают специфику организации. Часто организации не могут обнаружить атакующих в течение длительного времени. Итогом может стать утечка данных, остановка работы предприятия и удар по репутации. Благодаря интеграции двух передовых продуктов “Лаборатории Касперского” — КАТА и KEDR — предприятия получают возможность обеспечить комплексную защиту своей инфраструктуры от целевых атак и сложных угроз, а также значительно упростить процесс управления информационной безопасностью», — комментирует Марина Усова, директор по корпоративным продажам «Лаборатории Касперского» в России.

«От стабильной работы наших систем зависит благополучие многих людей, и мы уделяем большое внимание вопросам информационной безопасности. Наша стратегия включает и технические средства защиты, и обеспечение безопасности инфраструктуры и приложений, противодействие мошенничеству и анализ рисков. Решения “Лаборатории Касперского” позволили нам реализовать комплексную защиту от целенаправленных атак и гибкую систему проактивного противодействия им в рамках одного решения», — комментирует Антон Замараев, начальник управления информационной безопасности ОТП Банка.

Дональд Хак: троян SleepyDuck угрожает системам Windows

Выявлена опасная вредоносная кампания с участием расширения SleepyDuck, маскирующегося под легитимный IDE-плагин ‘juan-bianco.solidity-vlang’ в реестре Open VSX. Руководитель группы аналитики L1 GSOC компании «Газинформсервис» Андрей Жданухин объяснил, как можно бороться с угрозой.

Расширение первоначально было опубликовано как безобидная версия 0.0.7, однако уже 0.0.8 содержала в себе скрытый RAT-модуль, имея более 14 000 загрузок. Эксперт отмечает: угроза особенно серьёзна тем, что SleepyDuck использует блокчейн Ethereum для организации C2-инфраструктуры. То есть вредоносный код обращается к заданному смарт-контракту для получения адреса сервера управления, что делает его устойчивым к традиционным методам блокировки.

«В данном контексте рекомендации от центра мониторинга GSOC строятся на разностороннем подходе. С одной стороны — усиление контроля над цепочкой поставок ПО и расширениями, что особенно важно, но тяжело в организации-разработчике, так как ИБ не должна мешать работе бизнеса. С другой — активный мониторинг поведения конечных устройств», — подчёркивает Андрей Жданухин.

По словам эксперта, важно внедрять правила: запрещать установку расширений из непроверенных источников, использовать белые списки издателей и фиксировать изменения в средах разработки. «GSOC обеспечивает наблюдение за аномалиями в различных ОС, в том числе Windows. Это может быть неожиданная активация .sol-файлов или сетевые обращения к неизвестным C2-адресам. При выявлении подозрительной активности GSOC инициирует изоляцию устройства и расследование инцидента, что позволяет предотвратить массовое заражение через разработческую инфраструктуру», — добавляет он.