Иногда самые интересные разговоры на конференциях происходят не на главной сцене. Пока в большом зале обсуждают рынок, стратегию и будущее индустрии, в соседней секции инженеры, аналитики и архитекторы разбирают то, с чем сталкиваются каждый день: алерты, уязвимости, фиды, автоматизацию, инвентаризацию, persistence в Linux и безопасность AI-систем.
На R-EVOlution Conference 2026 такой площадкой стал технический трек. Мы запустили его впервые как отдельную секцию для специалистов, которым важны не общие формулировки, а конкретные сценарии, ошибки и рабочие решения.
Трек проходил в камерном зале и без онлайн-трансляции. Поэтому если вы не были на площадке, попасть в эту часть конференции было невозможно. Но мы записали выступления и теперь публикуем ролики с докладами.
В этой статье собрали короткий гид по техническому треку: кто выступал, о чём рассказывал и какие доклады стоит посмотреть, если вам близки практические задачи SOC, VM, Threat Hunting, TI, SIEM/SOAR, AI Security и Linux detection.
Почему появился технический трек
R-EVOlution Conference традиционно собирает руководителей ИТ и ИБ, CISO, CIO, представителей крупных компаний и партнёров. Основная программа строится вокруг стратегических тем: развития рынка, цифровизации, подходов к управлению ИБ и взаимодействия бизнеса с технологиями.
Но рядом с этим всегда есть другой уровень разговора — инженерный. Там, где важны не только тренды, но и конкретные вопросы: как строить детектирование, почему процессы VM буксуют, где ломаются интеграции SIEM и SOAR, как работать с TI-фидами, что автоматизировать в SOC и как подходить к безопасности AI-систем.
Именно для такого разговора мы и сделали технический трек.
По следам громких дел: критичные уязвимости и артефакты атак
Технический трек открыл независимый эксперт Антон Кузнецов с докладом «По следам громких дел».
Антон занимается исследованием информационной безопасности, поиском мисконфигураций, эксплуатацией уязвимостей и харденингом систем. В своём выступлении он разобрал критичные уязвимости 2025 года и громкие атаки, связанные с их эксплуатацией.
Отдельное внимание было уделено артефактам, которые стоит искать при расследовании инцидентов. Это важный практический момент: в реальной работе SOC и IR-команд недостаточно знать, что уязвимость существует. Нужно понимать, какие следы она оставляет, где их искать и как отличить эксплуатацию от фонового шума.
Как перестать читать о Threat Hunting и начать им заниматься
Олег Скулкин, руководитель BI.ZONE Threat Intelligence, выступил с докладом «Как перестать читать о Threat Hunting, и наконец-то начать им заниматься».
Threat Hunting — тема, о которой много говорят, но на практике вокруг неё до сих пор остаётся много путаницы. Например, можно ли считать hunting-гипотезой простую проверку индикаторов компрометации? Где заканчивается мониторинг и начинается осознанный поиск следов активности злоумышленника? Какие техники и инструменты атакующих действительно стоит покрывать этой практикой?
В докладе Олег разбирает практические примеры построения и реализации гипотез, а также объясняет, почему Threat Hunting применим не только в крупных зрелых SOC, но и в организациях с разным уровнем развития ИБ-процессов.
VM без иллюзий: почему процессы не работают и как это исправить
Виктор Кирпаль, руководитель направления VM в компании «Инфосистемы Джет», посвятил выступление управлению уязвимостями.
Это как раз тот случай, когда проблема знакома многим: сканер уязвимостей есть, отчёты формируются, критичные находки появляются регулярно, но процесс устранения всё равно буксует. Виктор разбирает, как встроить сканер уязвимостей в реальное взаимодействие ИТ и ИБ, какие организационные и технические барьеры мешают процессу VM работать эффективно и почему сама по себе покупка инструмента не решает задачу управления уязвимостями.
Red Teaming LLM и агентных AI-систем
Данил Капустин, главный эксперт HiveTrace, выступил с докладом об атаках на AI-агентов.
Тема особенно актуальна на фоне роста интереса к AI-приложениям и агентным сценариям. Классический пентест не всегда покрывает риски, которые появляются в системах на базе больших языковых моделей: prompt injection, утечки данных, небезопасное использование инструментов, Shadow AI, ошибки в архитектуре взаимодействия LLM с внешними сервисами.
В докладе рассматриваются реальные сценарии атак, open-source инструменты и практические меры защиты. Отдельно затрагивается OWASP Top 10 for Agentic Applications и подход к систематическому поиску уязвимостей в AI-приложениях.
Сломать нельзя подготовиться: тонкости работы с SIEM и SOAR
Николай Омланд, руководитель направления SOC группы компаний SolidLab, рассказал о проблемах, с которыми можно столкнуться при отправке данных в SIEM, и о практических аспектах работы с SIEM и SOAR.
В центре внимания — стандартные события, мониторинг нарушений внутренних требований ИБ к пользователям, а также подходы к оптимизации работы аналитиков SOC с помощью SOAR.
Это выступление полезно тем, кто сталкивается с типичной ситуацией: источники подключены, события идут, но качество данных, полнота контекста и удобство дальнейшей обработки сильно влияют на результат всей цепочки мониторинга и реагирования.
Как опыт внедрений привёл к платформенной архитектуре R-Vision EVO
Илья Моисеев, ведущий технический продукт-менеджер R-Vision, представил доклад о технологической платформе R-Vision EVO.
В основе выступления — вопрос, который хорошо знаком продуктовым командам: почему продукты не всегда используются так, как задумывались? Что происходит на этапе внедрения, настройки и адаптации под процессы конкретного заказчика? Какие ограничения становятся видны только в реальной эксплуатации?
На примерах реальных сценариев Илья разобрал, как этот опыт привёл к переходу к платформенной архитектуре, где продукты работают не как набор разрозненных инструментов, а как единая система.
Опыт MSSP: как перейти от множества процессов к одному Workflow в SOAR
Михаил Казакбаев, инженер по информационной безопасности JetCSIRT, рассказал о практическом опыте MSSP-провайдера и работе с SOAR.
У MSSP почти всегда есть одна сложность: у каждого заказчика свои требования, процессы, нормативные ограничения и ожидания от сервиса. Если под каждого клиента строить полностью отдельный процесс, поддержка быстро становится тяжёлой и дорогой. Если всех привести к одному шаблону — можно потерять гибкость.
В докладе Михаил показывает, как с помощью SOAR выстроить единый workflow и при этом сохранить возможность учитывать специфику разных заказчиков.
Инвентаризация 18k+ активов: нельзя защитить то, что не видишь
Полина Акулова, руководитель проектов по управлению активами в компании «Патио», выступила с докладом о подводных камнях инвентаризации в инфраструктуре на 18k+ активов.
Тезис доклада — простой, но очень практичный: нельзя защитить то, что не видишь. Полина разобрала три кейса, связанные с обнаружением теневых активов, мониторингом появления и исчезновения устройств, автоматическим обогащением карточек активов через кастомные API-методы и работой R-Vision VM в изолированном сегменте.
Ценность доклада — в прикладных деталях: скриптах, конфигурациях и уроках, которые помогают избежать месяцев проб и ошибок.
Threat Intelligence в SOC: фиды, ошибки и перегрузка SIEM
Евгений Петров, директор производственного департамента «Газинформсервис», рассказал о практическом применении TI в SOC и типичных ошибках при работе с фидами.
Threat Intelligence часто воспринимается как очевидное усиление SOC: подключили источники, получили индикаторы, начали обогащать события. На практике всё сложнее. Неправильная работа с фидами может привести к перегрузке SIEM, росту ложных срабатываний и снижению эффективности аналитиков.
В докладе Евгений разбирает, как подходить к TI осознанно, какие ошибки встречаются чаще всего и почему качество применения данных важнее самого факта их наличия.
Автоматизация обработки алертов: от события в SIEM до закрытия инцидента
Андрей Урывко, инженер по информационной безопасности компании «ВсеИнструменты.ру», показал, как построить автоматизированную цепочку обработки алертов.
Проблема знакома многим SOC: количество алертов растёт, а значительная часть времени аналитиков уходит на однотипные проверки, обогащение данных и ручные действия. Андрей разобрал архитектуру пайплайна на базе IRIS, Cortex, MISP и n8n — от события в SIEM до создания и закрытия инцидента.
В докладе есть практический опыт внедрения, ошибки, с которыми команда столкнулась при построении автоматизации, и советы по их исправлению.
Закрепиться любой ценой: техники persistence в Linux
Завершил технический трек Борис Нестеров, ведущий аналитик-исследователь угроз кибербезопасности R-Vision, с докладом «Закрепиться любой ценой».
Выступление посвящено распространённым и более экзотическим техникам закрепления вредоносного ПО в Linux: от добавления SSH-ключей и cron-заданий до LKM-руткитов и LD_PRELOAD.
Борис разобрал инструменты для обнаружения таких техник, практические рекомендации по очистке системы и отдельно остановился на eBPF как подходе к обнаружению руткитов.
Что показал первый технический трек
Когда мы запускали технический трек, у нас был понятный риск: основная программа конференции уже привычна аудитории, а новая секция могла оказаться экспериментом «для своих». Мы не ограничивали участников в выборе трека, каждый сам решал, куда идти.
В итоге наши опасения не подтвердились, технический трек собрал настоящий овербук. Зал оказался полностью заполнен уже с первых выступлений, а количество желающих превысило изначально предусмотренную вместимость. Организаторам пришлось оперативно увеличивать число мест и приносить дополнительные стулья, однако даже после расширения зал продолжал собирать аншлаг.
Виктор Никуличев, руководитель отдела управления продуктами R-Vision , и один из идеологов технической секции:
Мы создали технический трек, чтобы дать инженерам и аналитикам практическую площадку — без маркетинга и оторванной теории. Самый ценный опыт часто скрывается в ошибках, поэтому ключевым вызовом для спикеров стало не просто показать успешные кейсы, а честно разобрать, что пошло не так, какие решения оказались неэффективными и какие уроки из этого удалось извлечь.
Результат превзошёл ожидания: аудитория пришла за реальной пользой, и это вдохновляет развивать формат дальше. В 2027 мы планируем расширить трек, сохранив фокус на применимости — этим дорожит сообщество и этим ценна настоящая техническая конференция.
Что дальше
Технический трек был экспериментом, но по итогам конференции стало понятно: формат нужен. Его ценность заключается в честном разговоре о практике, ограничениях, ошибках и решениях, которые можно применить не «когда-нибудь в будущем», а в реальной рабочей среде.
А пока все доклады технического трека R-EVOlution Conference 2026 уже доступны в записи. Если вы не были на конференции или не смогли попасть в зал, теперь можно посмотреть, что происходило в технической секции.
ссылка на оригинал статьи https://habr.com/ru/articles/1048138/