Продукты, решения, сервисы

Актуальность и предпосылки разработки

Эксплуатация уязвимостей остается одним из основных методов атак злоумышленников. В 53% атак использование недостатков безопасности приводит к утечкам конфиденциальной информации — персональных данных (29%), учетных данных (26%), коммерческой тайны (20%). При этом в силу вступил Федеральный закон от 30 ноября 2024 года № 420‑ФЗ, который определил оборотные штрафы за утечку персональных данных — до 500 млн руб. Чтобы помочь российским компаниям повысить уровень своей защищенности, вовремя узнавать об опасных уязвимостях и устранять их, Positive Technologies создала сканер нового поколения, который показывает полную картину уязвимостей в инфраструктуре.

Отличительные характеристики

XSpider PRO находит бреши в сетях и системах и дает рекомендации по их устранению. Продукт имеет низкие аппаратные требования, что позволяет эффективно внедрять его в любую инфраструктуру без затрат на дополнительные серверные мощности.

Команда XSpider PRO сделала упор на экспертизу. Сканер нового поколения включает обширную базу уязвимостей, основанную на сведениях из БДУ ФСТЭК, CVE, OWASP Top 10, а также собственной базы Positive Technologies. Благодаря актуальной экспертизе XSpider PRO с высокой точностью выявляет уязвимости в инфраструктуре.

Продукт также полностью адаптирован для работы на Astra Linux, что отвечает запросу отечественных компаний и позволяет внедрять его в любую импортозамещенную инфраструктуру.

Точки роста

• Рост в сегменте SMB клиентов в России путем замены продукта MaxPatrol 8 и XSpider, а также ростом новых клиентов с начальным уровнем кибербезопасности.
• Новые клиенты в сегменте LE, для которых XSpider PRO станет дополнительным инструментом обеспечения безопасности отдельных сценариев.

Отличительные характеристики

• Экспертиза продукта. Высокое качество детектов уязвимостей, доставка информации о трендовых уязвимостях в продукт за 12 часов.
• Стабильная работа продукта даже на больших  инсталляциях.
• Запатентованная технология инвентаризации активов.

Итоги 2025 года

В 2025 году мы сосредоточились на увеличении производительности и стабильности работы продукта.

• Продукт стал быстрее: расчет уязвимостей ускорился в два раза, отображение информации в интерфейсе — в семь раз. Поиск по PDQL стал как минимум в пять раз быстрее. В модуле MaxPatrol HCC проверка активов на соответствие стандартам безопасности стала более чем в 10 раз быстрее. Оптимизированные настройки позволяют системе производить сбор данных с активов на 30–40% быстрее. Благодаря этому специалисты по ИБ могут быстрее реагировать на угрозы и, как следствие, быстрее передать эту информацию ИТ‑специалистам для закрытия недостатков безопасности.
• За счет оптимизации архитектуры система стабильно работает у клиентов с крупными инфраструктурами.
• Команда MaxPatrol VM также повысила качество детектов. MaxPatrol VM 2.10 в три раза точнее обнаруживает недостатки безопасности за счет пересмотра уже существующих детектов и использования современных методологий.
• Обновлена и улучшена функциональность проверки безопасности паролей.
• Улучшен модуль комплаенс‑контроля и харденинга инфраструктуры MaxPatrol HCC. Этот модуль проверяет ИТ‑инфраструктуру на соответствие стандартам кибербезопасности, что позволяет пользователям соблюдать требования приказа ФСТЭК России № 117. В MaxPatrol HCC был добавлен графический конструктор для создания собственных стандартов и требований. Пользователи могут использовать встроенный шаблон и редактировать в нем параметры или самостоятельно создавать стандарты и требования с нуля под собственную инфраструктуру и регламенты.

Точки роста

• Фокус на улучшение пользовательского опыта и ускоренного достижения ценности (time to value) через технологические инновации:
  • ML/AI как для расширения сценариев использования, так и для развития экспертного блока (скорость и качество экспертизы по уязвимостям в продукте);
  • развитие и улучшение существующих технологий для расширения пользовательских сценариев.

Отличительные характеристики

• Представляет собой уникальное для российского рынка решение класса Threat Exposure Management — следующего этапа развития Vulnerability Management, направленного на повышение защищенности компании за счет превентивного анализа полной поверхности атаки, в соответствии с подходами Gartner и IDC.
• Управляет потенциальной площадью атаки, в том числе анализирует уязвимости, ошибки конфигурации, избыточные права, сетевой доступ и другие недостатки инфраструктуры с учетом их опасности для бизнеса.
• Включает в себя уникальную технологию моделирования угроз PT Threat Modeling Engine, которая позволяет прогнозировать потенциальные пути атак и выявлять наиболее опасные источники угроз.
• Непрерывно анализирует уровень защищенности компании от реализации атак разного уровня сложности.
• Повышает эффективность ИТ и ИБ: показывает, как выполнение мер усиления защиты сокращает количество и повышает сложность потенциальных путей атакующих, что позволяет экономить ресурсы ИБ и ИТ, концентрируясь на наиболее значимых задачах.
• Преобразует стратегию киберустойчивости в конкретные шаги по ее достижению, для того чтобы сделать компанию слишком сложной и дорогой целью для хакеров.

Итоги 2025 года

С момента коммерческого запуска MaxPatrol Carbon продемонстрировал устойчивое технологическое развитие и подтвердил эффективность проактивного подхода к выявлению путей возможных атак в инфраструктуре и управлению на их основе всеми источниками угроз, а не только уязвимостями, на 10 проектах внедрений.

Первые внедрения на инфраструктурах разного масштаба подтвердили, что продукт позволяет снижать трудозатраты команд ИБ и ИТ на более чем 80% за счет точной приоритизации задач и фокусирования на устранении 1–3% наиболее критичных недостатков, напрямую влияющих на киберустойчивость компании.

Технологии и экспертиза

• Существенно расширены сценарии атак: в два раза увеличено количество учитываемых атакующих действий для расширения вариативности сценариев атак.
• Добавлены новые рекомендации: по исправлению ошибок конфигураций, настройке политик сетевого доступа, общим инфраструктурным настройкам, журналированию событий безопасности и контролю привилегий пользователей.

Полностью переработан алгоритм оценки опасности потенциальных маршрутов атак, что помогает фокусироваться на наиболее опасных сценариях.

Масштабируемость и работа с крупными инфраструктурами

• Поддерживается работа с крупными инфраструктурами >20 тыс. активов.
• Расширена поддержка сетевых устройств, популярных на рынке Российской Федерации, и разработан новый движок топологии, обеспечивающий более быстрое и точное построение карты сети и расчет достижимости.

Аналитика, сценарии и отчетность

• Реализовано автоматическое формирование наиболее популярных сценариев реализации недопустимых событий, что упрощает работу специалистов по ИБ.
• Улучшена визуализация: добавлена подробная визуализация каждого маршрута, позволяющая наглядно показать путь злоумышленника до критического актива.
• Отчеты: в разделе статистики появилась возможность сформировать отчет по объему выполненных рекомендаций и их влиянию на количество маршрутов атак.
• Дашборды и виджеты: добавлены страницы с виджетами по готовности инфраструктуры к эффективному использованию системы и основным метрикам киберустойчивости.

Отличительные характеристики

• Автоматизация: не требует постоянного участия экспертов.
• Реалистичность цепочек атак: максимальная за счет экспертизы ESC и Red Team PT.
• Масштабируемость: охват всей инфраструктуры, включая территориально распределенные сегменты.
• Гибкость: настройка тестирования, исключений, атакующих действий.
• Контроль и безопасность: согласование действий, полная видимость хода пентеста.
• Информативность: отчеты показывают реальные пути компрометации и слабые места в защите.

БИЗНЕС‑ОБОСНОВАНИЕ

Пентест остается единственным корректным способом оценить реальную защищенность организации. При этом сам рынок в классическом понимании выглядит ограниченным, поэтому фокус был сделан не на его объеме, а на роли пентеста как ключевой точки входа. PT Dephaze задумывался как открывающий продукт в логике «пентест → продукты» и инструмент, который масштабирует завоевание заказчиков.

Итоги 2025 года

• 27 февраля 2025 года вышел коммерческий релиз.
• 60+ пилотных проектов за год и и 150+ заявок на проведение к текущему моменту.
• В октябре 2025 года вышел релиз версии 2025.3.0.
• Полностью безопасная эксплуатация продукта — от настроек для атак до полного согласования любых действий.
• Прозрачность при пентесте — детализация всех атакующих действий, их данных, времени выполнения.
• Добавлено более 70 атак для типового ландшафта инфраструктуры российских организаций.
• Полноценное моделирование атак на Active Directory — от первоначального доступа до полного компрометирования домена, включая эксплуатацию уязвимостей в PKI.
• Поддержка различных сред — проверка защищенности не только Windows‑, но и Linux‑инфраструктур.
• Тестирование критически важных приложений — GitLab, Veeam, FTP и СУБД (PostgreSQL, MS SQL) на наличие слабых конфигураций и возможностей удаленного выполнения кода.

Технические характеристики

• Линейка ПАК PT NGFW включает 10 моделей: решения как для небольших филиалов, так и для центров обработки данных.
• Самый производительный российский межсетевой экран благодаря модернизированному стеку TCP/IP и собственным алгоритмам модулей безопасности (IPS, DPI, антивирус и более чем 10 тыс. сигнатур от PT Expert Security Center)
• Понятный и отзывчивый веб-интерфейс и открытый API.
• Собственный протокол отказоустойчивости, позволяющий реализовать переключения в случае аварии менее чем за 300мс. Это гарантирует стабильную работу сервисов в высоконагруженных сетях.
• Поддержка до 100 тыс. правил безопасности на одно устройство.

• Первый российский межсетевой экран нового поколения, сертифицированный согласно новым требованиям ФСТЭК России к многофункциональным межсетевым экранам уровня сети по 4 классу защиты (сертификат ФСТЭК № 4877 от 19 ноября 2024 года, переоформлен 22 декабря 2025 года).
• Получили сертификат ФСТЭК России на межсетевой экран типа «Д» и запустили разработку промышленной NGFW платформы. Это позволит выйти на новый для PT NGFW рынок — защиты АСУ ТП.
• PT NGFW выбрали для защиты своей инфраструктуры не только субъекты КИИ (крупные финансовые организации, банки, муниципальные органы госуправления и другие), но и коммерческие компании, чей выбор традиционно шире, так как не ограничен только российскими решениями.
• PT NGFW получил первые публичные истории успеха с Rambler&Co, одним из крупнейших медиахолдингов России, финтех-сервисом JoyMoney, крупным дальневосточным банком.
• ПАК PT NGFW внесен в единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России и единый реестр российской радиоэлектронной промышленности Минпромторга России.
• Рекордный функциональный прирост. За год реализовано более 100 новых функций, востребованных рынком, в том числе: S2S VPN, BFD, BGP Community, ICAP, CLI, DHCP relay и другие. Новая функциональная версия ПО выходит каждые два месяца.
• PT NGFW прошел сертификацию в Оперативно-аналитическом центре при Президенте Республики Беларусь, а также получил сертификат соответствия требованиям технического регламента Республики Беларусь «Средства электросвязи. Безопасность».
• Вышли на рынок СНГ: Беларусь, Армения, Азербайджан. Провели первые отгрузки заказчикам из Беларуси.
• PT NGFW — крупнейшая отгрузка Positive Technologies на международном рынке. Наша платформа стала одним из ключевых элементов защиты критической информационной инфраструктуры в сетях стран Юго-Восточной Азии. Кроме того, работаем над выходом нарынки стран Латинской Америки.
• Количество партнеров и дистрибьюторов с собственным демофондом PT NGFW достигло 48 компаний, которые инвестировали более 80 млн руб.
• Стабильно выдерживаем кратчайшие сроки отгрузки ПАК — менее чем за две недели с момента размещения заказа.
• Расширили партнерскую сеть. У PT NGFW появилось восемь авторизованных сервисных центров, которые прошли подготовку, могут оказывать полную техническую поддержку и предоставлять персонализированные услуги гарантированно высокого качества по всей России.

Также в 2025 году:

• создали комьюнити вокруг продукта PT NGFW;
• провели серию технических онлайн-марафонов «PT NGFW: исповедь инженеров», количество участников которой превысило 1 тыс. человек;
• продолжили рассказывать о внутренней кухне разработки в реалити-проекте «PT NGFW за стеклом»;
• провели открытое тестирования PT NGFW модели 2010 в лаборатории «Инфосистемы Джет» и показали лучшие результаты производительности;
• активно сотрудничаем с ведущими сетевыми сообществами Linkmeup, GetNet;
• выпустили обучающие курсы на базе собственной платформы и в учебных центрах;
• продолжили проводить регулярные семинары для заказчиков и партнеров;
• поддерживаем программу try & buy, позволяющую выкупить оборудование только после успешной опытной эксплуатации.

Точки роста

• В 2026 году Компания предлагает клиентам комплексное предложение для всесторонней защиты устройства, а не отдельные продукты. Клиенты смогут начать с базовой защиты и усилить ее для противодействия сложным атакам. 
• На текущий момент мы становимся вторым вендором, который способен предоставить мощную связку решений EPP + EDR.
• Это рыночная тенденция, являющаяся де‑факто стандартом в западных решениях, которые ранее привыкли использовать в том числе и наши клиенты.
• 5% — минимальный целевой ориентир Компании по доле на российском рынке. Мы также продолжаем наращивать свое присутствие на международном рынке, конкурируя с крупнейшими игроками индустрии кибербезопасности, включая традиционных поставщиков антивирусного ПО.

Отличительные характеристики

• Антивирус способен обнаруживать замаскированные угрозы, целые семейства ВПО по их поведению, а не отдельные экземпляры.
• Продукт не ограничивается антивирусом: помимо простого удаления зловредных файлов, предусмотрены дополнительные действия, реализующие сценарии защиты от вирусов‑шифровальщиков и вайперов (ПО для уничтожения данных).
• MaxPatrol EPP тесно взаимодействует с ранее выпущенным на рынок продуктом класса EDR (MaxPatrol EDR). Концепция единого предложения избавляет клиентов от необходимости устанавливать несколько программных компонент (агентов) на свои устройства. Такой подход снижает нагрузку на устройства, минимизирует возможные конфликты и упрощает эксплуатацию.

Бизнес‑обоснование

• Рынок продуктов для защиты конечных устройств в России составляет, по разным оценкам, около 30 млрд руб. Сегмент включает антивирусы и более функциональные корпоративные решения (EDR). Если ранее Positive Technologies работала в основном в сегменте продвинутых решений против APT, то теперь Компания может предлагать комплексное решение.
• Компания планирует занять долю не менее 5% этого рынка.
• У ряда клиентов антивирусный контур закрывают конкурентные продукты. Единое предложение Positive Technologies позволит таким заказчикам использовать единый агент и снизить капитальные и операционные затраты как ИБ‑, так и ИТ‑команд.
• Совместное предложение EDR + EPP повышает потенциал увеличения среднего чека Positive Technologies. В проектах, где клиенты выбирают MaxPatrol EDR, Компания сможет дополнить контур комплексным решением MaxPatrol EPP.
• Продукт хорошо включается в подход Positive Technologies к РКБ. В комплексных проектах удастся закрывать больше векторов атак и не зависеть от сторонних решений в инфраструктуре заказчика.

Итоги 2025 года

• Приобрели технологию белорусской компании «ВИРУСБЛОКАДА». Вместо трех‑четырех лет разработки с нуля интегрировали наработки и усилили их многолетним опытом Positive Technologies в защите крупных российских компаний.
• Международное присутствие позволило также обогатить продукт экспертизой по отражению зарубежных группировок.
• На 25% увеличили базу антивирусных сигнатур после приобретения технологии.
• Получили первые продажи, продукт показал себя на играх Standoff 16. Используем продукт во внутреннем контуре. При развернутом MaxPatrol EDR антивирусную функциональность получили на тех же агентах. Аналогичный сценарий доступен и нашим клиентам.
• Приобретение доли «ВИРУСБЛОКАДЫ» стало первой M&A‑сделкой Positive Technologies. Интеграцию провели оперативно, в составе единой команды и без сбоев, не прерывая выпуск обновлений.

Точки роста

• Соответствие требованиям регуляторов в России и Беларуси — сертификация САВЗ — снимает барьер для продаж в Enterprise. Особенно важно для финансового сектора, где есть требование двух независимых сертифицированных антивирусов.
• Усиливаем возможности превентивной защиты. Это и паритет по сравнению с конкурентами, и значимый шаг к РКБ — снижаем поверхность атаки у клиентов, популярные методы проникновения не сработают.
• Международный рынок — конкуренция с мировыми лидерами и OEM.
• Увеличение клиентской базы — продажи в «юбки» холдингов, где тяжелые экспертные решения недоступны.
• Многие наши клиенты именно для антивирусной защиты применяют продукты конкурентов. Предложение от Positive Technologies позволит таким клиентам использовать наш единый агент — это заметное снижение капитальных и операционных затрат как ИБ‑, так и ИТ‑команд. Совместное предложение = увеличение среднего чека.

Отличительные характеристики

• Поддержка более 30 ОС, что особенно важно в условиях импортозамещения и использования различных отечественных ОС у крупных корпоративных клиентов и государственных организаций.
• Самый широкий выбор действий реагирования на киберугрозы по сравнению с конкурентами. Это важно для специалистов SOC: решение закрывает задачи разной сложности и помогает снижать операционные затраты.
• Автономная работа. Защита сохраняется, когда устройства не в сети, сотрудники находятся в командировках или работают удаленно без постоянного подключения к корпоративной сети.

• Очень крупные внедрения продукта, в том числе проекты масштаба 80+ серверов управления и 40 тыс. защищаемых устройств.
• Суммарное количество защищаемых устройств превысило 155 тыс.
• MaxPatrol EDR стал одним из ключевых элементов облачного решения PT X, которое обеспечивает быстрый старт и легкое развертывание защиты у клиентов.
• Единый агент — это ключевой поставщик данных для Security Data Lake, обеспечивающий движение к облачным и гибридным технологиям защиты будущего.

Точки роста

• Рынок EDR‑решений России — около 4 млрд руб. (экспертная оценка). В 2025 году мы заняли на нем 22% и показываем рост в 2,5 раза год к году.
• Соответствие требованиям нового класса защитных решений от ФСТЭК — СОР. Мы одними из первых выполнили сертификационные требования. Это важно клиентам для соблюдения требований приказа ФСТЭК № 117 (требования к защите информации для ГИС и ИС госсектора).
• Важно снижать операционные затраты на установку и настройку продукта — такую функциональность развиваем в 2026 году еще больше. В конечном итоге клиент получит установку и ввод продукта в эксплуатацию за один день.
• Ультимативная защита — хакеры, привыкшие обходить антивирусы и другие средства защиты, не смогут это сделать в случае MaxPatrol EDR, защита работает всегда. Продукт уже на Bug Bounty, и проверить его защищенность могут исследователи со всего мира.

Отличительные характеристики

• Единое решение защиты почты (подход «всё в одном решении») — антиспам‑ и антифишинг‑движок собственной разработки, средства статического анализа, включая антивирус PT AV, базу PT IoC и набор правил PT ESC. PT Crawler для выявления угроз в ссылках, а также поведенческий анализ в виртуальных машинах с ловушками, которые позволяют раскрыться ВПО, еще не замеченному антивирусными сигнатурами.
• Технологическая основа от PT Sandbox — удобство установки и работы, гибкость продукта, быстрая доставка обновлений.
• Базы знаний, антивирусная лаборатория, источники данных об угрозах из экспертного центра PT ESC.
• Интеграция с продуктами Positive Technologies — MaxPatrol SIEM, PT NAD, MaxPatrol EDR, PT NGFW, PT AF, PT ISIM.

Бизнес‑обоснование

За последние пять лет атаки на электронную почту эволюционировали от массового спама к высокоцелевым фишинговым кампаниям, оставаясь главным вектором киберугроз. Простые ссылки заменились QR‑кодами, ведущими на фишинговые ресурсы и переводящими пользователей за пределы защищаемого контура организации. Архивы с паролем из вложений заменились архивами‑полиглотами, размещенными на общедоступных легальных файлообменных сервисах, снижающих опасения пользователей. Фишинговые атаки стали более точечными за счет применения ИИ, а сервисы для фишинга (Phishing‑as‑a‑Service) вовсе снизили порог входа — они доступны даже неквалифицированным злоумышленникам.

Эти тезисы подтверждаются статистикой за прошедший год — 86% успешных атак социальной инженерии осуществляется через электронную почту.

PT Email Security стал финальным аккордом в продуктовой линейке — средством многоуровневой защиты электронной почты, построенным на основе зарекомендовавшей себя песочницы PT Sandbox. Продукт защищает не только от сложного ВПО, которое проявляет себя лишь в ходе динамического анализа, но и от массового спама и адресного фишинга.

Точки роста

1. Новый смысл для известного класса продуктов:
   • от почтового шлюза (SEG) → к многоуровневой платформе предотвращения email‑атак.
2. Фокус на ransomware‑сценариях (шифровальщики как угроза № 1, от которой защищает PT ES):
   • продажа через тезис: остановка атаки до стадии шифрования;
   • детект loader / stealer / C2, а не только финального ВПО.
3. Sandbox‑first архитектура как ключевой дифференциатор:
   • поведенческий анализ вместо сигнатур;
   • обнаружение неизвестных и целевых атак.
4. Монетизация базы PT Sandbox:
   • апгрейд существующих клиентов;
   • превращение Sandbox в экспертное ядро всей email‑защиты.
5. Ответ на новые типы атак 2026 года:
   • QR phishing, AI‑фишинг, polyglot‑архивы, PhaaS
   • акцент на анализе ссылок и многоэтапных атак.
6. Системная ценность (SOC‑ready):
   • интеграция с MaxPatrol SIEM, MaxPatrol EDR, PT NAD, PT AF, PT NGFW;
   • единый контекст атаки и ускорение расследований.
7. Снижение сложности и совокупной стоимости владения (TCO):
   • замена «зоопарка СЗИ» одним решением;
   • упрощение архитектуры и эксплуатации.

Отличительные характеристики

• Унификация всех типов данных: работает со структурированными, неструктурированными и полуструктурированными данными в рамках одной платформы.
• Продвинутая AI‑классификация: минимум ложных срабатываний, автоматизация, адаптация под бизнес‑глоссарий и модели доступа конкретной компании.
• Полная видимость данных и инфраструктуры: инвентаризация, классификация, анализ рисков и мониторинг обращений — всё в одном интерфейсе.
• Автоматизация тяжелого: фокус на классификации, которая составляет фундамент защиты данных, снижает количество ручных операций и освобождает время специалистов по ИБ для анализа.

Бизнес‑обоснование

Мы запустили разработку PT Data Security как ответ на системный запрос рынка: данные стали ключевым активом бизнеса и одновременно — одной из главных целей атак со стороны злоумышленников. При этом управление безопасностью данных для большинства компаний по‑прежнему остается серьезной проблемой: оно фрагментировано, трудозатратно и неэффективно из‑за использования морально устаревших средств защиты, созданных 10–15 лет назад и не рассчитанных на современные ИТ‑ландшафты.

Сегодня такие понятия, как «утечки данных», вышли далеко за пределы узкого ИБ‑сообщества и воспринимаются как понятные и измеримые риски для бизнеса, влияющие на операционную устойчивость, финансовые показатели и репутацию компаний.

Компании сталкиваются сразу с несколькими ключевыми вызовами при построении единой системы безопасности данных:

• стремительный рост объемов данных, а также числа и типов хранилищ;
• высокая распределенность инфраструктуры хранения и обработки данных — от десятков до сотен и тысяч сегментов;
• невозможность сформировать целостную картину и обеспечить полную видимость данных из‑за разрозненности классических инструментов защиты.

С точки зрения бизнеса это приводит к избыточным трудовым и финансовым затратам на приобретение и поддержку нескольких решений одновременно, отсутствию полной прозрачности инфраструктуры и появлению большого количества слепых зон, не покрытых ни одним средством защиты. Именно такие зоны чаще всего становятся точками входа для злоумышленников.

PT Data Security создавался как единая платформа, которая позволяет:

• централизованно работать с данными независимо от места их размещения и формата;
• связывать безопасность данных с реальными бизнес‑рисками за счет единой системы построения и управления политиками безопасности, адаптируемой под конкретную компанию;
• снижать совокупную стоимость владения за счет автоматизации, использования AI‑подходов и консолидации всех функций безопасности данных в одном решении.

Для нас безопасность данных — это новое и стратегически важное направление развития. Мы расширяем продуктовый портфель, фокусируясь на решении одной из самых критичных задач для бизнеса, напрямую влияющей на его репутацию, капитализацию и операционную эффективность.

Итоги 2025 года

В 2025 году мы выпустили первую версию PT Data Security, которая зафиксировала ключевую продуктовую идею и задала основу дальнейшего развития направления:

• все данные, независимо от формата и способа представления, — в одном месте;
• все задачи по работе с данными и их безопасности — в одном месте;
• продвинутая классификация данных с применением AI, ориентированная на практическую пользу для бизнеса, с минимальным количеством ложных срабатываний.

Основной целью первого релиза была демонстрация наших продуктовых идей и подхода широкому кругу клиентов и партнеров, а также сбор рыночного отклика и практической обратной связи. Параллельно мы вели проработку собственного бэклога уникальных функций, формируя долгосрочное видение развития продукта.

В результате релиза и последующих обсуждений мы привлекли более 30 клиентов и партнеров, которые высоко оценили выбранный подход и концепцию платформы.

По итогам первых пилотных проектов и взаимодействия с рынком мы сформировали топ клиентских запросов, которые легли в основу публичной части роадмапа продукта.

Таким образом, на сегодняшний день планы развития PT Data Security на 2026 год разделены на две части:

• публичная часть — составляет около половины всех планов и доступна для клиентов и партнеров Компании по запросу;
• непубличная часть — включает уникальные сценарии и «киллер‑фичи», формирующие долгосрочное конкурентное преимущество продукта.

Результаты реализации непубличной части роадмапа мы планируем представить рынку по факту готовности, в том числе на Positive Security Day в октябре, где будет показана версия PT Data Security 2.0, адаптированная под специфику крупного enterprise‑сегмента.

В целом мы рассматриваем 2025 год как точку выхода продукта на рынок и формирования устойчивой базы для масштабирования в 2026 году и далее.

Отличительные характеристики

• Точечное машинное обучение. Помогает обнаруживать угрозы определенного класса (например, обфусцированный веб‑шелл) и аномалии в трафике без риска появления ложных срабатываний и ухудшения производительности.
• Расширенные механизмы полноценной защиты API‑трафика. Обнаруживают атаки внутри API‑запросов за счет анализа вложенных данных, поддерживают современные технологии (SOAP, RestAPI, GraphQL API и JWT) и позволяют блокировать атаки из рейтинга OWASP API Security Top 10.
• Собственный модуль распознавания внедрений. Продвинутый механизм точно выявляет атаки с использованием внедрения кода (SQL injection, JavaScript, OSCommand injection, XPath, LDAP и другие), повышает эффективность защиты и уменьшает число ложных срабатываний.
• Шаблоны политик безопасности для популярных приложений. Готовые редактируемые шаблоны минимизируют время активации защиты, учитывают особенности и специфические уязвимости для каждого языка, совместимы с CMS‑решениями Bitrix, OWA, ASP.NET и другими.
• Виртуальный патчинг. Дополнительный уровень защиты, который помогает выявлять и блокировать попытки эксплуатации до того, как уязвимости будут исправлены.
• Мы анализируем отчеты о реальных векторах атак и уязвимостях приложений, полученные от белых хакеров на платформе Standoff Bug Bounty, анализируем способность PT Application Firewall защищать от таких атак и постоянно совершенствуем продукт.
• Экспертная база международного уровня за счет многообразия источников ее пополнения.
• Собственная библиотека языковых контекстов совместно с лексическим и синтаксическим анализом запросов позволяет значительно повысить точность обнаружения атак, снижая количество ложных срабатываний, по сравнению с сигнатурным анализом.
• Заботимся не только о приложении, но и о ваших клиентах: модуль WAF.js предотвращает атаки на пользователей, сохраняя их лояльность и защищая вашу репутацию.

Итоги 2025 года

2025 год стал для PT Application Firewall PRO годом системного развития продукта: мы последовательно улучшали архитектуру, производительность и эксплуатационные свойства решения, ориентируясь на реальные сценарии использования в инфраструктурах заказчиков.

Основные усилия команды были сосредоточены:

• на повышении производительности ядра обработки трафика;
• масштабируемости и работе в распределенных инфраструктурах;
• повышении стабильности и предсказуемости обновлений;
• развитии интеграций и автоматизации;
• улучшении UX для повседневной работы инженеров ИБ и эксплуатации.

Существенный рост производительности ядра

В течение всего 2025 года велась непрерывная работа по оптимизации ядра обработки трафика PTAF, отвечающего за применение политик безопасности.

Результат:

• при сравнении версии 4.1.6 (декабрь‑2024) и версии 4.3.0 RC (декабрь‑2025)
  • производительность для большинства сценариев эксплуатации выросла в два раза,
  • в отдельных сценариях рост оказался выше двукратного.

Практический эффект для заказчиков:

• инсталляции, рассчитанные на ~50 тыс. RPS, на новых версиях способны обрабатывать до ~100 тыс. RPS;
• рост пропускной способности достигается без обновления аппаратных платформ;
• снижается TCO и упрощается масштабирование при росте нагрузки.

Синхронизация параметров защиты между экземплярами PT AF

В 2025 году была реализована возможность синхронизации параметров защиты приложений между экземплярами PT AF, установленными в разных ЦОД.

К концу года функциональность была доведена:

• автоматическая синхронизация по расписанию (4.2.2).

Ценность:

• устранение конфигурационного дрейфа;
• единая модель защиты для распределенных инсталляций;
• упрощение эксплуатации в multi‑DC и geo‑distributed сценариях.

Бесшовное применение конфигурации

В течение года был значительно переработан механизм применения конфигурации:

• изменения динамической и статической конфигурации применяются «на лету»;
• по умолчанию включен механизм поэтапного применения конфигурации (rolling update);
• снижены риски влияния изменений на обработку трафика.

Результат:

• более предсказуемое поведение;
• снижение операционных рисков;
• повышение доверия пользователя в разрезе процедуры изменения конфигурации.

Аутентификация через внешние сервисы

Добавлена поддержка аутентификации через внешние сервисы по протоколу OAuth 2.0.

Ценность:

• интеграция с корпоративными IAM;
• упрощение управления доступом;
• повышение соответствия требованиям заказчиков к централизованной аутентификации.

ICAP и интеграции с внешними системами анализа

В 2025 году реализована поддержка протокола ICAP:

• возможность отправки файлов на внешние ICAP‑серверы для дополнительной проверки;
• интеграция с системами антивирусного и репутационного анализа;
• сокращение технологического разрыва с PT Application Firewall 3 и потенциальный рост миграций на PRO.

Улучшение наблюдаемости и аналитики

• Расширены возможности фильтрации событий безопасности.
• Улучшена работа с временными диапазонами на дашбордах.
• Добавлена отправка расширенных данных (включая ошибки) во внешние SIEM‑системы.
• Улучшена прозрачность действий, выполняемых при срабатывании правил.

Результат:

• быстрее расследование инцидентов, меньше слепых зон, лучшее понимание поведения защиты.

Развитие механизмов защиты

В течение года:

• добавлены новые правила для защиты популярных платформ и технологий;
• расширена поддержка современных протоколов (HTTP/2, WebSocket);
• реализована поддержка HTTP/2;
• оптимизированы существующие механизмы (например, защита от CSRF);
• улучшена работа с исключениями и шаблонами правил.

Итог

По итогам 2025 года PT Application Firewall:

• стал значительно производительнее;
• лучше масштабируется в распределенных инфраструктурах;
• проще и безопаснее конфигурируется;
• глубже интегрируется с другими продуктами Компании;
• стал удобнее для повседневной эксплуатации.

Эти изменения создают прочную основу для дальнейшего развития продукта в 2026 году.

Объем рынка WAF в 2026 году

Отличительные характеристики

• Собственный модуль распознавания внедрений. Продвинутый механизм точно выявляет атаки с использованием внедрения кода (SQL injection, JavaScript, OSCommand injection, XPath, LDAP и другие), повышает эффективность защиты и уменьшает число ложных срабатываний.
• Шаблоны политик безопасности для популярных приложений. Готовые редактируемые шаблоны минимизируют время активации защиты, учитывают особенности и специфические уязвимости для каждого языка, совместимы с CMS‑решениями Bitrix, OWA, «1C» и другими.
• Виртуальный патчинг. Дополнительный уровень защиты, который помогает выявлять и блокировать попытки эксплуатации до того, как уязвимости будут исправлены.
• Полноценный WAF в облаке. Пользователям доступна полная функциональность PT Application Firewall PRO, включая возможность тонкой настройки профилей защиты.
• Единственный в России WAF, постоянно тестируемый на Standoff Bug Bounty. Белые хакеры непрерывно ищут уязвимости в продукте, а значит, вы получаете решение, защищенность которого подтверждена и тестируется круглосуточно.
• Гибкая тарифная сетка. Любой бизнес может подобрать оптимальную цену защиты в зависимости от объема трафика и не переплачивать.

Итоги 2025 года

Планы на 2026 год

Отличительные характеристики

• Минимум ложных срабатываний. Символьное выполнение снижает количество ложных срабатываний: анализ показывает, какие уязвимости действительно могут быть использованы, снижая затраты на проверку.
• Удобная совместная работа. PT Application Inspector обеспечивает возможность командной работы без ограничений по количеству приложений, сканирований и пользователей даже для минимальных конфигураций.
• Выявление уязвимых сторонних библиотек. PT Application Inspector обнаруживает такие библиотеки и определяет, действительно ли приложение использует их уязвимые части. Дополнив обработку результатов SCA анализом кода (SAST), мы в десятки раз сократили число ложных срабатываний и повысили информативность результатов.
• Практическая экспертиза. Специалисты отдела анализа защищенности регулярно пополняют базу знаний продукта информацией об уникальных уязвимостях, обнаруженных в реальных приложениях.
• Синергический эффект гибридных технологий. Наши методы анализа эффективны не только сами по себе. Объединив SAST и DAST, мы получили возможность автоматического подтверждения уязвимостей, что позволяет сократить трудозатраты на обработку результатов анализа.
• Детектор скрытых функций. PT Application Inspector обнаруживает признаки недекларированных возможностей, что помогает выявлять механизмы обхода защиты, целенаправленно заложенные в код.

Гибкость и управляемость анализа безопасности

Управление правилами безопасности через DSL

• Реализован DSL для описания правил анализа безопасности без доработки ядра и сложных скриптов.
• DSL позволяет задавать входные точки данных, потенциально опасные операции и фильтры в декларативном виде.
• Единый подход работает для нескольких языков (Go, Java, JavaScript/TypeScript, PHP, Python).
• Низкий порог входа и возможность адаптации анализа под стандарты конкретной компании или проекта.

Смысл: анализ безопасности стал настраиваемым, управляемым и масштабируемым без увеличения операционных затрат.

Группы правил анализа

• Реализована возможность объединять правила анализа в группы и подключать их выборочно к проектам.
• Проекты больше не обязаны использовать полный набор проверок.
• Упрощена настройка анализа под разные команды, типы приложений и уровни критичности.

Смысл: выше точность анализа, быстрее внедрение и эксплуатация.

Масштабируемость и удобство в CI/CD и больших инсталляциях

Метки и очередь сканирования в CI/CD

• Решена проблема параллельных запусков сканирования в одной ветке.
• Добавлена возможность ожидания завершения предыдущего сканирования вместо аварийного завершения.
• Реализованы уникальные метки сканирований для прозрачного отслеживания запусков в CI/CD и веб‑интерфейсе.

Смысл: стабильные и предсказуемые пайплайны даже при высокой параллельности разработки.

Упрощение CI/CD‑интеграции: aiCTL

• Выпущена beta‑версия единого CLI‑инструмента aiCTL.
• Принцип «одна команда — одно действие» упрощает сценарии автоматизации.
• Поддержка всех ключевых операций: проекты, ветки, сканирование, ожидание, отчеты.
• Публичная разработка с ориентацией на комьюнити (выходим в open‑sourse).

Смысл: быстрое и предсказуемое внедрение в любые CI/CD‑процессы.

Работа с ветками и параллельной разработкой

• Один проект теперь поддерживает несколько git‑веток.
• Сканирования по разным веткам не блокируют друг друга.
• Результаты анализа и триажа синхронизируются между ветками с сохранением контекста.

Смысл: безопасность встроена в реальный процесс разработки без дополнительных сущностей и ручных операций.

Пагинация списка проектов

• Внедрена постраничная загрузка проектов.
• Существенно улучшена отзывчивость интерфейса при большом количестве проектов.

Смысл: продукт комфортно используется в крупных организациях и масштабных установках.

Поддержка современных языков и фреймворков

• Java (Java 21, Vert.x 5.0.4),
• Scala (Play Framework 2.8.19),
• .NET / C# (C# 11, C# 12, .NET 8, .NET 9),
• JavaScript / TypeScript (React, Angular 18),
• Go (Go 1.25),
• Python (Starlette 0.27.0),
• PHP (Yii 2.0.42).

Новый модуль анализа сторонних компонентов (SCA)

Контекстный SCA: совместная работа SCA + SAST

• Реализован контекстный анализ зависимостей:
  • система не только находит уязвимые компоненты,
  • но и определяет фактическое использование уязвимого кода в приложении.
• Анализ фокусируется на вызовах методов и сценариях использования, которые с наибольшей вероятностью приводят к эксплуатации уязвимости.
• Каждое реальное использование уязвимого компонента в коде фиксируется как отдельная уязвимость.

Смысл: внимание концентрируется не на всем потенциально опасном, а на том, что действительно влияет на безопасность приложения.

Приоритизация и прозрачность результатов

• В результатах анализа:
  • реальные уязвимости, которые используются в коде, подсвечиваются отдельно,
  • остальные считаются потенциальными и доступны через фильтры.
• Для каждой уязвимости доступна расширенная информация:
  • уровень и вектор CVSS,
  • источники,
  • версия компонента и лицензия (при наличии),
  • ссылка на конкретный файл и строку кода, где происходит использование.

Смысл: проще принимать решения, быстрее разбирать результаты, меньше ручной работы.

Граф зависимостей

• Контекстный анализ дополняется графом зависимостей, который:
  • показывает все найденные уязвимые компоненты,
  • визуализирует связи между прямыми и транзитивными зависимостями.
• Это позволяет видеть, как именно уязвимость «приходит» в проект: напрямую или через цепочку библиотек.

Смысл: прозрачность состава ПО и понимание реальных путей риска внутри приложения.

Надежность, качество и зрелость продукта

• Снижение количества обращений в RND со стороны поддержки (−35%).
• Снижение числа багов в продакшене (−15%).
• Существенное расширение автоматизированного тестирования (145 новых тестов).
• Средняя задержка релизов — около трех дней.
• Существенно улучшена документация (127 новых и 235 обновленных разделов).

Смысл: продукт стабилен в эксплуатации и предсказуем в развитии.

Развитие плагинов для IDE

• Глубокая интеграция IDE‑плагинов с сервером анализа (push/pull, автосинхронизация, удаленные сканирования).
• Встроенный ассистент для ускоренного триажа уязвимостей.
• Массовое управление статусами уязвимостей.
• Экспериментальный Copilot для генерации исправлений уязвимостей с помощью LLM.

Смысл: сокращение времени от обнаружения проблемы до ее исправления в коде.

Рынок PT AI 2026

Отличительные характеристики

• Мультикластерность. Централизованное управление несколькими кластерами Kubernetes вне зависимости от их расположения экономит время специалистов по ИБ. Решение легко устанавливается и позволяет настроить потребление ресурсов в зависимости от обрабатываемого потока событий.
• Security as code. Практическая реализация подхода, который позволяет описывать политики безопасности на языках программирования высокого уровня с использованием технологии WebAssembly, дает возможность создавать и кастомизировать правила обнаружения под нужды клиента.
• Создание политик. Поддержка языков программирования для разработки политик предоставляет неограниченные возможности для реализации логики реагирования на инциденты ИБ, возникающие при работе приложений.
• Движок выявления аномалий. Собственный производительный движок для контроля соблюдения политик и поиска аномалий в рантайме контейнеров позволяет гибко настраивать мониторинг событий, а встроенный набор правил обнаружения — выявлять угрозы «из коробки».
• Покрытие всего цикла использования приложений. Безопасность обеспечивается на всех этапах — от анализа образов в процессе сборки до контроля обращений к API кластера и событий, возникающих в ходе работы.
• Быстрый старт. Встроенные правила для защиты API и проверки на безопасность манифестов Kubernetes позволяют защитить кластер сразу после установки продукта.

Итоги 2025 года

• 0.6 — уникальный инструментарий для расследований произошедших инцидентов рантайма запущенных контейнеров, периодическое сканирование реестров образов, поддержка Active Directory (LDAP), поддержка хранилища Yandex Cloud.

Новая экспертиза: запуск криптомайнера; внедрение кода с помощью LD_PRELOAD; запуск процесса напрямую из памяти; эскалация привилегий: capabilities; инструменты для активной разведки сети; создание reverse shell; подозрительное изменение файлов настройки запланированных заданий; подозрительное изменение чувствительных системных файлов.

• 0.7 — поддержка контроля и управления несколькими кластерами с безотказной работой при отсутствии сетевой связности, онлайн‑установка продукта без использования дистрибутива вообще через update.ptsecurity.com.

Новая экспертиза:

• BASE64: декодирование данных, изменение прав, уязвимость Ingress Nightmare (запуск вредоносного кода);
• OPENSSL: загрузка пользовательской библиотеки;
• OPENSSL: чтение и запись файлов;
• OPENSSL: запуск SSL/TLS‑сервера, подозрительное изменение SSH‑ключей.

• 0.8 — поддержка работы с продуктом через публичное API.

Новая экспертиза:

• создание экземпляра интерфейса io_uring,
• изменение параметров генерации дамп‑файла процесса,
• запуск бесфайлового процесса.

• 0.9 — поддержка метрик работы компонентов и ИБ‑нагрузки продукта с поставкой дашбордов для мониторинга, единственная среди конкурентов возможность управления видами источников мониторинга рантайма (вплоть для контроля обращения за конкретным файлом или отслеживания определенного сискола).

Новая экспертиза:

• обнаружение изменений файла core_pattern в файловой системе procfs;
• обнаружение создания жестких ссылок на файлы;
• обнаружение изменения файла с помощью замены новым;
• обнаружение руткитов в пространстве ядра;
• обнаружение настройки и запуска процессов через usermode helper API.

• Являемся евангелистами контейнерной безопасности в России.

Выступления:

• созвон сообщества про Runtime Radar Ever Secure в Zoom 09.12,
• вебинар с анонсом Runtime Radar 11.11,
• подскаст про OpenSource с Ozon Tech,
• доклад «Как не сломать деплой вашего Cloud Native приложения» на митапе Selectel 27.11,
• доклад «Tetragon: лучшие практики и нюансы разработки Tracing Policy» на Infra.conf’25 06.25,
• доклад «Что такое kprobes и где они обитают?» на ZeroNights 2025 11.25.

Статьи:

• статья «Как не потерять свои контейнеры у себя в инфраструктуре?», 08.25,
• статья ««Tetragon: лучшие практики и нюансы разработки Tracing Policy», 11.25,
• статья «Kprobes и где они обитают», 12.25.

Внутренние митапы в Компании:

• «Мониторинг функций ядра Linux с помощью eBPF. Как искать функции для детектирования угроз? Инструменты и рекомендации», 07.25,
• «Анатомия кошмара: препарируем Ingress Nightmare», 09.25.

Рынок PT Container Security / Runtime Radar 2026

Что фиксирует Runtime Radar

• Эксплуатацию уязвимостей в рантайме контейнеров.
• Попытки повышения привилегий и нарушения изоляции контейнера (container escape).
• Аномальные системные вызовы и процессы.
• Любые действия внутри наблюдаемых контейнеров (например, злоупотребление правами, API Kubernetes и сервисными учетными записями).

Бизнес‑обоснование

Потенциал рынка: согласно Gartner, к 2026 году 90% крупнейших международных компаний будут использовать контейнеры при построении ИТ‑инфраструктуры. Однако есть ключевые вызовы рынка в Российской Федерации:

• ограниченный рынок — менее 2 млрд руб., низкая зрелость заказчиков (не понимают предметную область, и отсутствуют бюджеты на защиту контейнерных сред);
• высокая конкуренция (Luntry, Kaspersky, CrossTech, MTS RED, T1 — это только компании в России);
• высокое влияние решения на доступность инфраструктуры заказчиков.
• Проблема — текущими ресурсами нет возможности в краткие сроки нагнать конкурентов по функционалу, не работает подход top‑down‑продаж. Решение — выпуск open‑source‑версии продукта с прицелом на получение market‑share. Основная целевая метрика — число активных пользователей.
• Преимущество — ключевой визионерский функционал по защите runtime для Kubernetes, включая экспертизу. Продвижение нашего месседжа на большую аудиторию.
• Цель — занять нишу на рынке и место у ключевых клиентов, не вступая в прямую конкуренцию с «Лабораторией Касперского» и Luntry.
• Фокус — развитие RR, достижение PMF, затем планируем постепенно повышать конверсию клиентов в платных вводом дополнительной функциональности и появлением сертифицированной версии продукта PT CS.

Итоги 2025 года

• Анонс и запуск Runtime Radar. 
• Мы самое популярное open‑source‑решение от Positive Technologies (125 звезд на Github, 200 инсталляций, семь PR).
• Мы единственный продукт среди отечественных конкурентов (Luntry, Kaspersky, CrossTech, MTS RED, T1) с open‑source‑версией (у иностранных решений — Stackrox, Aqua Security, Prisma Cloud — OSS‑части присутствуют у всех).

Ключевые преимущества

• Фокус на реальных атаках

Показывает не абстрактные риски и CVE, а реальные сценарии атак, которые реализуются в контейнерных средах после внедрения приложений, и уязвимости, которые эксплуатируются злоумышленниками.

• Создан с опорой на данные продуктивных сред

Все выводы и сценарии в Runtime Radar строятся на наблюдениях экспертов за реальными инфраструктурами, поэтому особенно релевантны для SOC, DevSecOps и архитекторов.

• Гибридный подход к обнаружению угроз

Детекторы пишутся на Тьюринг‑полном языке программирования, объединяя в себе лучшее от поведенческого и сигнатурного анализа. Runtime Radar также позволяет создавать свои детекторы.

• Работает там, где сканеры бессильны

Большинство инструментов применяются на этапах CI/CD и создания конфигурации. Runtime Radar работает в момент атаки, когда контейнер уже запущен и взаимодействует с ИТ‑системой. Решение закрывает слепые зоны, недоступные для image scanning и статического анализа.

• Глубокий контекст Kubernetes

Анализируются с учетом pod, namespace, container, capabilities, сервисных аккаунтов и Kubernetes API. Это превращает набор необработанных технических событий в понятные инциденты, которые можно расследовать.

• Минимальная нагрузка, незаметность

Технология eBPF позволяет собирать телеметрию без внедрения агентов в контейнеры и без влияния на приложения. Такой подход эффективен для продуктивных сред и высоконагруженных систем.

Концепция включает три функциональных слоя SOC.

MaxPatrol BAD — ML‑модуль поведенческого анализа:

• выявляет сложные целенаправленные атаки без настройки правил (0‑day, insider threat, etc);
• приоритизирует сработки и снижает шум — позволяет сосредоточиться на действительно опасных событиях;
• предоставляет расширенный контекст по событию, снижая время на расследование.

Экспертиза безопасности

• 1687 правил корреляции (на 31 декабря 2025 года);
• покрытие 368 техник MITRE ATT&CK (v17.1);
• доставка контента для трендовых уязвимостей — до 72 часов;
• детектирование четырех zero‑day уязвимостей за год.

• Собственный декларативный язык запросов PDQL.
• Поддержка сложной аналитики, фильтраций и группировок.
• Масштабируемая архитектура.
• Обработка более 50 тыс. EPS на одном конвейере (более 500 тыс. EPS при горизонтальном масштабировании).
• Поддержка high‑availability‑кластеров для ElacticSearch. В LogSpace запланировано на 2026 год (релиз R.28, LogSpace 1.7).

Фокус на импортозамещение Поддержка отечественных ОС: Astra Linux 1.8.x, «Альт Линукс», «Альт Домен». Экспертиза и контент для российских инфраструктур:

• FreeIPA,
• ALD Pro,
• «Альт Домен»,
• интеграция с российскими аналогами Active Directory.

В 2025 году развитие MaxPatrol SIEM было сосредоточено на повышении стабильности, производительности и удобства работы аналитиков.

Ключевые изменения:

• реализован механизм flow control: устойчивость к резким скачкам нагрузки;
• адаптивное управление ресурсами;
• в интерфейсе реализован ряд функций, который повышает эффективность работы аналитика SOC;
• увеличено покрытие техник MITRE ATT&CK;
• добавлены данные о новых инструментах APT‑группировок и хактивистов (на основе расследований Incident Response и Red Team).

Экспертный контент:

• регулярные обновления — раз в две недели (для сравнения — в 2024 году было один раз в месяц);
• критические уязвимости — до трех суток в 2025 году;
• публикации о повышении стабильности MaxPatrol SIEM.

Текущая позиция

В 2025 году продукт показал почти двукратный рост выручки год к году. Доля рынка увеличилась и составила 63%. Рост обеспечен спросом со стороны клиентов к стабильному и зрелому продукту, который отвечает запросам рынка и регуляторов как на технологическом уровне, так и на ценовом.

Стратегия 2026 года

Развитие идет в двух моделях поставки:

• On‑premise — для крупных инфраструктур и регулируемых отраслей;
• Cloud — для компаний, которым требуется быстрый запуск SOC без длительного инфраструктурного цикла.

Облачная версия рассматривается как новый тип поставки MaxPatrol SIEM, а не отдельный продукт и является гипотезой роста в 2026 году.

В 2026 году усиливается пользовательский контур:

• новый интерфейс,
• AI‑ассистент,
• повышение производительности,
• масштабируемость.

Точки роста

• Компании, переходящие от MSSP к собственному SOC.
• Средний сегмент, где важна скорость запуска.
• Заказчики с растущими объемами данных.

Ожидание на 2026 год — сохранение темпов роста за счет расширения адресуемого сегмента через облачную модель и обновление технологической базы.

• Поддержка горизонтального масштабирования — работа с большими инфраструктурами.
• Всегда свежая версия — больше не нужно планировать работы по обновлениям на стороне клиента.
• Собственные LLM для AI в контуре Positive Technologies — данные клиентов не уходят третьим лицам.

• Появление механизма локального хранилища — больше нет экстранагрузки от O2 на on‑prem SIEM клиента.
• SIEM‑агностичность — возможность поддержки сторонних SIEM без значительных доработок.
• Нативная поддержка сторонней экспертизы — больше не нужно писать правила разбора корреляций и инцидентов.

• Расследование инцидентов из источников — расследование того, что есть, вместо увеличения объема работы аналитика дополнительными сигналами.
• Обновленный UI — работа с инцидентами с привычным для данной работы функционалом (реализован процесс управления инцидентами со статусами и ответственными).

• Расширение сценариев расследования — уход от детерминированной логики, AI‑агент принимает решения о том, как вести расследование.
• Резюме о расследовании — ознакомьтесь с ключевыми артефактами атаки и таймлайном, чтобы принять решение, не тратя время на анализ множества событий.
• Вынесение вердиктов по инцидентам — сэкономьте время, закрывая автоматически легитимную активность.

В 2025 году продукт был перестроен архитектурно:

• снижена инфраструктурная нагрузка,
• пересмотрена модель обработки данных,
• внедрены ML-механизмы,
• повышена масштабируемость,
• обеспечена поддержка облачной модели.

Роль в архитектуре клиента

• Автоматическое построение последовательности атаки.
• Автоматический анализ взаимосвязей между инцидентами.
• Формирование вердиктов.
• Снижение нагрузки на аналитиков SOC.

Точки роста

• Дефицит квалифицированных специалистов.
• Рост количества инцидентов.
• Требование сокращения времени расследования.
• Повышение эффективности SOC без увеличения штата.

В пилотах зафиксировано снижение нагрузки на команду до 30%.

Стратегический эффект 2026 года

Объединение продуктов в единую архитектуру позволяет:

• переходить от точечных продаж к архитектурным проектам,
• расширять сегмент за счет облачной модели,
• формировать понятную траекторию роста клиента внутри портфеля.

Роль продукта в продуктовом портфеле

Разработка и вывод на рынок MaxPatrol 360 обусловлены эволюцией требований заказчиков и развитием продуктового портфеля Positive Technologies. Клиенты Компании отмечали необходимость наличия единой платформы, позволяющей интегрированно использовать как решения Positive Technologies, так и решения сторонних вендоров в рамках повседневной операционной деятельности SOC.

MaxPatrol 360 устраняет данный функциональный разрыв, формируя надстройку над существующими продуктами Компании и другими средствами защиты информации, обеспечивая их объединение в единую операционную среду.

Причина создания продукта

В 2025 году была зафиксирована структурная проблема: в инфраструктуре заказчиков используется 30–50 разрозненных систем мониторинга. Инциденты фиксируются, но не связаны в единую картину. Потери происходят на уровне операционной работы, а не на уровне обнаружения угрозы.

На рынке представлены SIEM и SOAR, однако отсутствует слой централизованного управления реагированием и расследованиями. MaxPatrol 360 создан в 2025 году как ответ на этот дефицит.

Роль продукта

• Единое окно работы SOC.
• Связывание инцидентов из разных источников.
• Формирование последовательности событий кибербезопасности для оперативного расследования.
• Централизация операционной деятельности.

Влияние на бизнес и финансовые показатели

Запуск MaxPatrol 360 усиливает конкурентные позиции ключевых продуктов Positive Technologies, включая

MaxPatrol SIEM, MaxPatrol VM, MaxPatrol NAD, MaxPatrol EDR и другие решения, за счет расширения сценариев их совместного использования и повышения ценности комплексных внедрений для заказчиков.

Платформа также формирует дополнительный источник выручки, в том числе за счет:

• лицензирования уровня Security Operations;
• увеличения среднего чека существующих клиентов;
• увеличения совокупного дохода от одного клиента на протяжении всего срока сотрудничества;
• расширения возможностей кросс‑продаж внутри продуктового портфеля.

Отличительные характеристики и зрелость решения

MaxPatrol 360 разрабатывался с ориентацией на требования крупных корпоративных SOC, распределенных инфраструктур и провайдеров сервисов безопасности (MSSP).

Продукт создавался выделенной командой разработки, что позволило обеспечить высокую скорость вывода решения на рынок. Период от формализации концепции до внедрения полнофункционального решения в промышленную эксплуатацию у крупных заказчиков составил менее шести месяцев. В настоящее время платформа продолжает активно развиваться и масштабироваться.

Текущий статус и планы развития

По состоянию на отчетную дату MaxPatrol 360 эксплуатируется в пилотном режиме ограниченным числом заказчиков в промышленной среде. Выход решения на широкий рынок запланирован на II квартал 2026 года.

MaxPatrol 360 является значимым элементом долгосрочной продуктовой стратегии Positive Technologies, направленной на развитие экосистемного подхода, повышение устойчивости бизнеса и формирование основы для дальнейшего роста выручки Компании.

Точки роста

• Компании с распределенной инфраструктурой.
• Партнеры и MSSP.
• Зрелые SOC с высокой операционной нагрузкой.
• Заказчики, масштабировавшие SIEM, но не процессы.

2026 год — этап закрепления категории и объяснения рынку необходимости данного слоя.

Итоги 2025 года

• Увеличение скорости сигнатурного анализа в три раза благодаря оптимизации ядра DPI.
• Запуск Центральной консоли — единого интерфейса для управления распределенными системами с безопасным шифрованием данных.
• Внедрение хранения метаданных в облаке (Elasticsearch / OpenSearch as a Service) — снижение требований к железу, гибкое масштабирование и управление TCO.
• Добавление плейбуков — автоматизация реакции на инциденты, единая интерпретация событий безопасности.
• Расширение репутационных списков — более 40 тыс. индикаторов, включая списки ФСТЭК, снижение ложных срабатываний до нуля.
• Улучшение работы в распределенных инсталляциях:
  • управление профилями и исключениями,
  • поддержка MPLS‑трафика,
  • визуализация сетевых связей при атаках (NTLM Relay).
• Снижение TCO и повышение удобства за счет облачных решений, централизации управления и автоматизации.

Текущая позиция

По итогам 2025 года продукт показал уверенный рост выручки относительно 2024 года. Доля рынка увеличилась и составила 59%.

Рост обеспечен высоким спросом со стороны крупного бизнеса и госкорпораций на зрелый и технологически стабильный продукт, способный решать проблему импортозамещения без потери качества. Ключевым драйвером стал выход ряда значимых обновлений, которые напрямую повлияли на операционную эффективность клиентов: централизированное управление геораспределенными информационными системами и снижение совокупной стоимости владения (TCO).

Ключевые драйверы 2025 года

• Центральная консоль. Бизнес получил возможность масштабировать сетевую безопасность на дочерние организации (ДЗО) без расширения штата. В условиях кадрового голода это позволило обеспечить одинаково высокое качество анализа трафика и детекта угроз по всей сети группы компаний, а не только в головном офисе.
• Экономическая эффективность (TCO). Бизнес платит меньше за владение продуктом, при этом качество работы PT NAD не снижается, а значит, уровень защищенности активов остается максимальным.
• Технологическое превосходство. Уникальная технология глубокого анализа трафика (PT DPI) позволяет заказчику видеть всю картину сети целиком. Для бизнеса это означает главное: уверенность, что злоумышленник не останется незамеченным даже при использовании сложных зашифрованных протоколов.

Стратегия и точки роста 2026 года

• PT NAD остается самым технологичным средством анализа трафика на рынке. Уникальная технология DPI обеспечивает гарантированную стабильность работы продукта.
• Развитие функционала будет сфокусировано на трех направлениях:

1. Новый движок поиска угроз — увеличение скорости и глубины обнаружения аномалий для расследований инцидентов любого масштаба.
2. Функция реагирования — расширение продукта в плоскость активной защиты, переход от детекта к автоматизированному реагированию на угрозы на сетевом уровне.
3. Развитие ML‑технологий — повышение точности детектирования и снижение ложных срабатываний за счет ML‑модулей.

Отличительные характеристики

• Выявляет сложные угрозы

Обнаруживает неизвестные вирусы, продвинутое вредоносное ПО, а также ПО, нацеленное на SCADA‑системы.

• Предотвращает целенаправленные атаки

Позволяет настраивать среду эмуляции и приманки с учетом отраслевой специфики организации, защищая от тщательно подготовленных атак.

• Защищает отечественные ОС

Поддерживает виртуальные среды с Astra Linux, «Альт» и «РЕД ОС», готов к установке на Astra Linux.

• Высокое качество обнаружения

Каждый объект анализируется в PT Sandbox динамическими и статическими методами, основанными на правилах PT Expert Security Center, с помощью технологий машинного обучения, а также проверяется несколькими антивирусами, доступными «из коробки».

• Легкое встраивание в инфраструктуру

PT Sandbox поддерживает множество вариантов интеграции, а гибкий API позволяет использовать песочницу в любой конфигурации информационных систем.

• Гибкая кастомизация виртуальных сред

В них можно добавить специфическое ПО (и его версии), которое действительно используется в компании и может стать точкой входа для злоумышленников.

• Экспертные технологии от PT ESC

Уникальные правила для обнаружения ВПО, в том числе с помощью ML‑технологий, ловушки и приманки для раскрытия вредоносного поведения, защита от техник обхода песочниц.

• PT Sandbox — первая песочница с искусственным интеллектом в реестре российского ПО

Сведения о наличии искусственного интеллекта в PT Sandbox включены в реестровую запись о продукте. С помощью настраиваемого машинного обучения песочница анализирует более 8,5 тыс. признаков поведения объекта: действия процессов, цепочки вызовов API, сетевое взаимодействие, создание вспомогательных объектов, тем самым обеспечивая высокую точность выявления неизвестных целенаправленных угроз.

Итоги 2025 года

За 2025 год выпущено 10 релизов продукта. Из них можно выделить:

• ML на сетевом трафике ПА — поведенческий анализ сетевого трафика с помощью технологии машинного обучения;
• пользовательские YARA‑правила — добавление правил, разработанных специалистами по ИБ заказчиков;
• новый карантин — расширены возможности работы с карантином;
• мониторинг системы — мониторинг модулей системы и аппаратных ресурсов в Grafana;
• РПА — поведенческий анализ в интерактивном режиме и настройка приоритетов поведенческого анализа;
• расширенный API — получение списка заданий через публичный API;
• новые источники — подключение S3‑хранилищ в качестве источников;
• новые форматы файлов и проверка QR — проверка ссылок из QR‑кодов;
• управление образами ПА — расписание обновления, управление очередью, выбор базовых образов;
• средство проверки PT AV — продукт сертифицирован ФСТЭК по дополнительному профилю защиты ИТ.САВЗ.Б4.ПЗ;
• новые возможности интеграции — добавлены или улучшены возможности интеграции с PT NGFW, PT ISIM, PT EDR, PT AF PRO.

Отличительные характеристики

• Ответственность за результат, а не формальные SLA. Используя PT X с учетом рекомендаций Positive Technologies, клиент может выйти на кибериспытания, чтобы измерить защищенность компании. Если белые хакеры реализуют недопустимое для клиента событие, Positive Technologies готова выплатить им вознаграждение.
• Уникальный набор технологий. Решение закрывает широкий спектр задач: от защиты конечных устройств и мониторинга до анализа сетевого трафика, оценки уязвимостей на компьютерах и серверах, а также детальной проверки ВПО.
• Финансовая гарантия защиты. При выполнении условий киберминимума (требований для обеспечения защищенности ИТ‑инфраструктуры) клиент PT X может застраховать компанию от киберрисков у одного из партнеров страхования. При соблюдении заказчиком требований Positive Technologies берет на себя оплату страховой премии, и в случае кибератаки клиент получит компенсацию.
• Топовая экспертиза. Непрерывная защита обеспечивается за счет поддержки от специалистов экспертного центра безопасности PT ESC, имеющих опыт в области выявления, предотвращения и расследования тысяч сложных кибератак.
• Быстрый результат. Достаточно установить агенты на конечные устройства, и уже через несколько часов появляются первые результаты: защита от шифровальщиков, ВПО и эксплуатации распространенных уязвимостей в инфраструктуре.

Бизнес‑обоснование

Новая реальность кибербезопасности показывает, что жертвами атак становятся не только крупные корпорации, но и компании среднего и малого бизнеса. Во многих таких организациях либо нет выделенных специалистов по ИБ, либо функции ИБ выполняют универсальные сотрудники, которые не могут обеспечить круглосуточный мониторинг и реагирование. В этой ситуации наличие PT X зачастую является единственным шансом получить экспертный уровень защиты.

К Positive Technologies нередко обращаются компании, которые столкнулись со взломом. Даже после работы нашей команды Incident Response риск повторного инцидента сохраняется.

Теперь Positive Technologies предлагает срочную помощь при инциденте, дает доступную и постоянную защиту из облака, а также гарантирует ее результативность через вывод клиента на кибериспытания.

Результаты 2025 года

• К концу года у PT X было 12 коммерческих клиентов. Основную долю составил ретейл, также среди клиентов представлены финансовый сектор, спортиндустрия и разработка ПО.
• Под защитой PT X находится более 30 тыс. активов в различных компаниях. Средний размер защищаемой инфраструктуры — 2,1 тыс. конечных устройств.
• Клиенты в два раза чаще выбирают pro‑версию решения по сравнению с base, несмотря на более высокую стоимость. Это подтверждает соответствие продукта рынку и ориентацию заказчиков на практический результат, а не на формальное выполнение требований.
• В процессе подключения новых клиентов более чем в половине случаев PT X обнаруживает в инфраструктуре заказчика индикаторы компрометации (ВПО, шифровальщики, майнеры, следы удаленного управления и другие). Такой результат показывает, что PT X помогает предотвращать серьезные киберинциденты, становясь для бизнеса стратегическим партнером с самого первого дня.

Точки роста

• Развитие ML/AI-технологий и расширение их применения и автоматизации для еще более точного и быстрого разбора инцидентов у клиентов.
• Первые референсы по клиентам, которые выполнили наши рекомендации и вышли на кибериспытания.

Цифровизация промышленности неизбежно ведет к расширению поверхности атаки, то есть увеличению числа точек входа для злоумышленника. Наши технологии развиваются в соответствии с новой реальностью и управляют рисками не точечно, а по всей инфраструктуре.

Базовые меры безопасности в промышленности в перспективе десяти лет больше не будут сводиться к простой изоляции контура. Так как промышленность активно цифровизируется, ИТ‑сегмент потребует большего взаимодействия с технологическим сегментом (OT). К тому же структура ролей будет усложняться — появляются новые роли (например, CDTO), отвечающие за нативное взаимодействие ИТ‑ и ОТ‑сегментов.

Чтобы промышленные предприятия могли развиваться и не бояться вызовов цифровизации, мы строим продукт для киберустойчивости, покрывающий всю промышленную инфраструктуру — от сетевого уровня и технологических сегментов до конечных узлов и сервисов.

Рынок OT Security в России находится на ранней стадии развития: при большом объеме промышленной инфраструктуры покрытие средствами защиты остается низким. Мы прогнозируем сценарий, при котором в ближайшие пять лет рынок OT Security будет расти почти в два раза быстрее рынка IT Security.

• Вызовы цифровизации для промышленности: расширение поверхности для кибератак, усложнение контроля технологического контура и рост рисков инцидентов и простоя.
• Усиление регуляторного давления (ФСТЭК/КИИ): среди значимых объектов КИИ минимально необходимый уровень защиты обеспечен только у 36% организаций. А внедрять и подтверждать выполнение установленных мер защиты нужно всем промышленным предприятиям.
• Зарождающийся спрос на унифицированные инструменты для сбора и агрегации данных со всей производственной инфраструктуры в единое хранилище (например, Data Lake) для анализа и принятия управленческих решений. С этим потенциально могут помочь ИБ‑продукты для ОТ.

Для киберустойчивости промышленного контура PT ISIM сегодня обеспечивает:

• полную видимость технологической среды: трафик промышленных протоколов, журналы событий операционных систем промышленного ПО, конфигурации промышленных контроллеров, технологическая телеметрия — все собирается и анализируется в едином контексте;
• управление поверхностью атаки: уязвимости, отклонения, риски конфигураций;
• обнаружение угроз и аномалий, в том числе в изолированных сегментах — выявление критичных команд/событий;
• сдерживание и предотвращение инцидентов на конечных узлах;
• соответствие большей части ключевых групп мер ФСТЭК для КИИ и планомерное расширение этого покрытия.

Чтобы ускорять time‑to‑value и масштабирование, команда PT ISIM:

• интегрировала в платформу антивирус, а также средства управления активами, обнаружения уязвимостей и продвинутой защиты конечных точек. Для упрощенных процессов закупки, развертывания и эксплуатации все это поставляется в едином ПАК;
• создала центр промышленной R&D‑экспертизы, который регулярно поставляет обновления в PT ISIM: разбирает промышленные протоколы, исследует промышленный софт и оборудование, находит уязвимости. Это расширяет возможности продукта, повышает точность мониторинга, анализа и детекта. Такая глубина экспертизы позволяет нам разбираться в особенностях каких‑либо промышленных технологий лучше их разработчиков;
• готовит обучающую программу по кибербезопасности АСУ ТП для снижения дефицита компетенций у заказчика (плановая дата запуска курса — апрель 2026 года).

Основные достижения PT ISIM за 2025 год

• Встроенный антивирус для АСУ ТП.
• Расширенный Asset Management (AM) — инвентаризация активов через пассивный анализ трафика, сетевой сканер и агент ISIM Endpoint.
• Запуск Vulnerability Management (VM) — обнаружение уязвимостей на ОС Windows, Linux, ПЛК и сетевых устройствах с рекомендациями по устранению.
• Улучшенное представление карты сети и контроль конфигурации — визуализация статусов и состояния безопасности, автоматическое структурирование данных и визуального представления сети, журнал изменений.
• Развитие PT ISIM Endpoint (EDR) — глубокий аудит ПО, железа, учетных записей и сетевых соединений на SCADA‑серверах и АРМ.
• Расширение поддержки промышленных протоколов — Profinet, CIP, SLMP, COS и других.
• Развитие новой архитектуры продукта с применением коллекторов для централизованного мониторинга и контроля безопасности распределенных инфраструктур с удаленными или изолированными сегментами.