Як українська компанія будує колективний кіберзахист для світу: історія SOC Prime

Наприкінці червня 2017 року акціонери одного українського стартапу зібралися, щоб проголосувати за інвестицію, вкрай важливу для його розвитку. У розпал зустрічі телефон CEO стартапу почали розривати дзвінками та повідомленнями: йшла атака NotPetya, яка вибила з роботи велику кількість українських компаній та держустанов. Йому телефонували, бо за два роки роботи стартап став відомим на всю країну проектом з кібербезпеки.

Це була компанія SOC Prime. Зараз її цілі: вже не просто захищати український кіберпростір, але й будувати колективну кібербезпеку для всього світу. AIN.UA розповідає історію цього проекту: від перших алгоритмів, що писалися на орендованій квартирі, й до участі у формуванні безпекових трендів на світовому рівні.

Втекти із сервісного бізнесу, щоб започаткувати продуктовий

Майбутні засновники компанії — Андрій Безверхий, Олександр Бредіхін та Руслан Міхальов, усі працювали разом у компанії-інтеграторі. Вони робили багато «польової» робити: працювали з клієнтами на місцях. Встановлюючи та підтримуючи системи SIEM (керування інфобезпекою та подіями безпеки) від різних вендорів, вони бачили, що ці системи часто складні й малозрозумілі для клієнтів, і вже на етапі імплементації з цим виникають проблеми.

«Це була класика сервісного бізнесу: струси з клієнта гроші, а завтра буде завтра. Нам цей підхід не подобався: ми хотіли розв’язувати проблеми клієнтів. А саме: SIEM-системи зазвичай складні, і щоб їх налаштувати — треба ламати голову, а часу обмаль. Проблеми у всіх клієнтів були одні й ті самі, і ми тоді замислилися: а чи існує радикально інше рішення», — згадує Безверхий, який став CEO стартапу.

Загальна проблема із захистом клієнтів була одна: атак ставало дедалі більше, вони все частіше були багатовекторні: коли під загрозою опинялися і хмара, і IoT (Інтернет речей), й інженерні мережі. У таких випадках стандартні методи захисту типу антивірусів не дуже працювали. Тож, щоб надати клієнту нормальний захист, потрібно було придумати, як сигнали про атаки на всіх рівнях зводити воєдино в одну систему моніторингу. А для цього потрібно було придумати, як отримувати дані та якими алгоритмами їх обробляти. 

Готових таких рішень не було. Тому троє співзасновників полишили найману роботу й запустили стартап.

Перші продукти та перші клієнти

«На той момент у нас не було таких амбітних цілей, як зараз. Ми сіли й порахували: SIEM-ринок оцінений у $2 млрд, росте на 20% за рік, навіть якщо візьмемо на ньому 0,5%, буде непогано», — згадує Безверхий. 

Як і багато стартапів, SOC Prime починався майже з нуля і працював за гроші його засновників. Перші ідеї та алгоритми команда генерувала на орендованій квартирі в районі Караваєвих Дач у Києві. Однією з таких ідей стала назва компанії: SOC у ній позначає Security Operations Center, а Prime натякає на те, що засновники у дитинстві фанатіли від роботів-трансформерів, які захищали людей. 

Після перших ангельських інвестицій від Леона Подобєдова, GrowthUp, Digital Future, UAngels та кількох інших «ангелів» перебралися у місце сили багатьох київських стартапів — «Часопис» (закритий з 2021 року). Тоді цей коворкінг бринів підприємництвом: майстер-класи, лекції, Fireside-чати, активний нетворкінг. З «Часопису» SOC Prime паралельно працювали над сід-раундом та над своїми першими продуктами. Тоді в команди не було інтерфейсу для них, лише алгоритми для детектування загроз, чистий бекенд. 

Клієнтську базу для них шукали в оригінальний спосіб. Усі фаундери з ранку до ночі сиділи на закордонних форумах виробників SIEM-систем (як ми уже згадували, це непростий у налаштуванні та використанні софт) і розв’язували проблеми та питання, які озвучували там користувачі.

«У нас було змагання між фаундерами: зранку одразу після кави логінилися на форуми й на швидкість розв’язували найскладніші проблеми користувачів. Фактично ми транслювали експертизу з кібербезпеки трьох хлопців з України на весь світ», — згадує Олександр Бредіхін.

Рейтинги фаундерів на форумах росли, кількість заявок на допомогу росла із ними. Так і вийшли на міжнародних клієнтів. Водночас SOC Prime потроху залучав і клієнтів в Україні. Вже до кінця 2015 року серед клієнтів компанії були «УкрСиббанк», медіахолдинг StarLightMedia, провайдер «Воля» та інші.

Запуск маркетплейса та перехід до Sigma

2016 року команда запустила перший маркетплейс — Use Case Library. Фактично це був майданчик, де можна було завантажувати безкоштовно або ж купляти ті самі безпекові алгоритми. Для нього спочатку не робили ані реклами, ані SEO, ані маркетингових кампаній: люди дізнавалися про нього на форумах. 

«Ми запустилися в серпні 2016 року, і точнісінько, як у серіалі «Кремнієва долина» сиділи біля моніторів і чекали: підуть люди до нас чи ні. За тиждень без реклами отримали 50 реєстрацій, серед нових користувачів були компанії з Fortune-500», — згадує Руслан Міхальов.

Маркетплейс працював як фріміум-сервіс: користувачі спочатку пробували безплатні алгоритми, а потім зверталися і за платними. Перший комерційний продаж відбувся за місяць після запуску. 

2016 року сталася ще одна знакова для компанії та всього світу кібербезпеки подія: розробники Флоріан Рот та Томас Патцке зробили перший коміт до GitHub-репозиторію SigmaHQ і запустили мову Sigma. Це — спільна мова для кіберекспертів усього світу на відкритому коді, що дозволяє самостійно писати сигнатури (характерні ознаки) для будь-якої кіберзагрози, а також створювати в такий спосіб дієвий та постійно оновлюваний інструмент детектування загроз. 

Експерти SOC Prime одними з перших у світі почали застосовувати Sigma-правила для ідентифікації загроз та побудови кіберзахисту клієнтів. Також вони першими поєднали Sigma із фреймворком MITRE ATT&CK®, який фактично є аналогом періодичної таблиці елементів у світі кіберзахисту. 

Команда компанії зрозуміла, якою Sigma може стати за кілька років, тож CEO зважився особисто написати її розробнику Флоріану Роту — легенді світу кіберзахисту (все одно, що інді-геймдев-студія написала б автору Doom Джону Ромеро). Флоріан відповів на листа, і невдовзі українські інженери вже працювали над Sigma під SIEM-системи IBM та ArcSight. А автори Sigma увійшли до наглядової ради SOC Prime. 

У 2016-2017 роках в ці технології мало хто вірив (та й мало хто про них знав). На першій у світі конференції EU MITRE ATT&CK® Community Workshop  було 40 людей. На дев’ятій — майже 1000 онлайн-учасників. Зараз Sigma та MITRE ATT&CK беруть на озброєння організації, як-от ФБР, Канадський центр кіберзахисту (CCCS), Агентство з Кібербезпеки та Безпеки Інфраструктури США (CISA).

Пошук інвестицій та NotPetya

2016 року «ангельські» гроші потроху почали закінчуватися, тож команда почала кататись за кордон, бутстрепити та шукати інвесторів. 

Знайти раунд було життєво необхідно. На червень 2017 року грошей на рахунку компанії лишалося на два місяці роботи, а CEO не отримував зарплати вже вісім місяців. У липні того ж року SOC Prime отримав $200 000 від британського профільного інвестора Джона МакКана. 

З цим раундом пов’язана цікава історія, яка зайвий раз доводить, що сценаристи «Кремнієвої долини» не фантазували, а суворо слідували божевільній стартап-реальності. Саме того ж дня, коли акціонери SOC Prime зібралися, щоб вирішити, чи брати у Джона гроші, стався NotPetya — найбільша на той час кібератака, що торкнулася десяток бізнесів та держструктур по всій країні, завдала збитків на сотні мільйонів гривень. Шквал дзвінків та повідомлень, пов’язаних з атакою, почався просто у розпал зустрічі. 

«Перші дзвінки пішли ще звечора, але зранку і до 14:00 27 червня 2017 року в мене було 80 пропущених, мені телефонували, мабуть, усі люди з кібербезпеки, з якими я хоча б раз зустрічався. У нас іде зібрання акціонерів, голосуємо, а телефон просто розриває. Пам’ятаю свою реакцію типу «what the hell is happening”?», — згадує Безверхий. 

Експерти SOC Prime швидко розібрались, що саме відбувається під час атаки, двоє координували бекенд, ще п’ятеро пішли «в поля» допомагати компаніям. П’ять днів команда майже не спала і працювала «на каві». У результаті допомогли семи великим компаніям і зуміли опублікувати аналіз через Sigma та MITRE ATT&CK в один день з аналізом Cisco та Eset. З тих бізнесів, кому команда допомагала впоратися із наслідками атаки, двоє пізніше стали їхніми клієнтами.  

Той липень також став місяцем, коли компанія вперше вийшла у профіт.

Подорож до Кремнієвої долини

Уже 2020 року ангельські інвестори порадили стартапу шукати системні й стратегічні інвестиції. Пошук раунду в Кремнієвій долині став для команди справжнім викликом. В акселераторі GrowthUp (який сидів у тому ж таки «Часописі») команду проконсультували, як проводити нетворкінг, вона зробила пітчдек на одну сторінку і полетіла до США. Свої продукти представляли як «Spotify для кіберзагроз», яскрава метафора сподобалась інвесторам та журналістам.

«Ми були на кількох конференціях, усе відбувалося у божевільному темпі, по 18 мітингів за день, ще десятки два по ремоуту. Чесно, це більше нагадувало спіддейтінг із чоловіками за 50: бігаєш між столиками, намагаєшся швиденько про себе розповісти», — жартує Безверхий. 

У результаті стартап спілкувався десь із 60 фондами, але не отримав жодного термшита. По-перше, всі офлайн-зустрічі, заплановані на три тижні в Долині, буквально розчинилися через пандемію COVID-19, приблизно 10% перейшли у формат ремоуту. У якомусь випадку фонд хотів завелику частку в компанії, десь їх відлякувало, що фаундери не з Долини. Але зрештою стартап таки зумів знайти свій ідеальний метч.

«Інвестори все одно комусь мають дати ті гроші. І хто б що не казав про математику й таблички, personal connection дуже важливий: хімія або виникає, або ні. На раунді А в нас «клікнуло» з трьома інвесторами, двоє рухалися швидше, один надав ТШ першим і з більшою оцінкою, але ми підписали DNX, які надали ТШ другими й з трохи меншою оцінкою, через стратегічні перспективи та великий вплив японської культури у фонді (вони не сплять і фігачать так само, як і наша команда). Нашому чинному інвестору я малював велику картину: як наші рішення можуть зацікавити SpaceX зі старлінками. Показав в режимі реального часу через NightSky карту покриття старлінків, флот на 2000 супутників, яким потрібен буде захист. Саме такі історії показують інвестору, що ти справді гориш проектом», — згадує CEO компанії. 

У такий спосіб команда підняла $11 млн інвестицій від ліда DNX Ventures за участі Streamlined Ventures і Rembrandt Venture Partners у 2021 році. В компанію також інвестували J-Ventures, Atlantic Bridge й такі легенди підприємців, які спеціалізуються на кібербезпеці як Том Рейлі (ArcSight, Cloudera), Славік Марковіч (Demisto), Ґреґ Мартін (Anomali, Jask, Ghost Security) та Chenxi Wang (Raincapital). На той момент компанія збільшила свою преміальну абонентську базу на 50% за останній рік, її щомісячний дохід зріс на 86%, активна клієнтська база — на 85%, вона обслуговувала понад 6000 організацій-клієнтів.

Як справи зараз та що компанія планує на майбутнє

За сім років мета компанії якісно трансформувалась: від запуску свого стартапу «в гаражі» (а точніше в орендованій квартирі) до участі у формуванні глобальних кібербезпекових трендів.

«Ключем успіху компанії став мій особистий нетворк та технічна репутація. У 2015 році економічна ситуація в Україні дуже просадила ринок зарплат для спеціалістів із кібербезпеки. У деяких компаніях були залишки «старої системи», і людей звільняли тільки за те, що вони ще тоді не давали зливати дані в московію. Багато хто з них прийшов працювати саме в SOC Prime. І в складні часи, коли не було грошей, коли не «взлітали» продукти чи фейлились дедлайни, мене завжди підтримував наш CISO Володимир Гаращенко, його ставленням до людей. Я говорив: «Володю, це капець, ми зафейлимо, ми не розберемось вчасно — подивись на нашу команду». На що у відповідь чув: «Не зафейлимо, бо ми найкраща команда в Україні». So far, не зафейлили, і тепер в цій ніші у нас найкраща та найбільша команда у світі», — розповідає Андрій Безверхий.

Глобальна мета SOC Prime зараз — брати участь у розбудові світової системи колективного кіберзахисту. Цьому допоможуть активні стратегічні партнерства з Microsoft, Amazon та Google, фронтірні технології на кшталт Sigma та MITRE ATT&CK: компанія зараз активно нарощує експертизу в них, маючи у команді спеціалістів із Sigma та MITRE ATT&CK світового рівня. А також навчає цих технологій студентів: адже, як вірять фаундери SOC Prime, і Україні, і світові зараз вкрай не вистачає тих, хто захищатиме кіберпростір від загроз.

Ці плани ґрунтуються на зростанні бізнесу:

• За останній рік кількість організацій, що використовують алгоритми на технології SOC Prime, зросла на 40%. На липень 2023 року це становить понад 8000 компаній, серед яких є організації з приватного й державного сектора України, США та Європи. 
• Кількість користувачів за останній рік зросла на 60% і складає 30 000+ людей. 
• Від початку 2023 року кількість алгоритмів детектування загроз на платформі вже збільшилась на 25% і зростає щомісяця на 200-600 одиниць.

У компанії, що починалася з трьох фаундерів, які вели розробку продуктів, вивчали кібератаки, писали код алгоритмів детектування та продавали, тепер працює понад 100 людей із командами у США, Австралії, Аргентині та ЄС. І що б не сталося далі, компанія націлена працювати й розбудовувати українську та глобальну систему кібербезпеки.

«У нас була ідея зробити unkillable бізнес: всупереч усьому наш бізнес йтиме далі. Окрім основних ринків в США, ЄС та Великої Британії, ми вже продаємо в Сингапур, Австралію, Японію, Бразилію, Аргентину та Південну Корею. Ми хотіли збудувати щось, що змінить індустрію, і нам вдалося. Тож хочу звернутися до усіх майбутніх фаундерів: це тільки здається, що піти з найму робити свій продукт — надзвичайно важко. Для українців, немає нічого неможливого. Якщо у вас є ідея, ви в неї вірите та є експертиза оцінити ринок — йдіть та перевіряйте», — закликає Безверхий.