Русский файервол: Антихакеры Wallarm нашли в Y Combinator $2,3 млн инвестиций

Иван Новиков — хакер. Но не киберпреступник. Помимо black-hat-хакеров, взламывающих сайты и приложения ради наживы, есть ещё светлая сторона — white hat, «этичные», или, как их ещё называют, «белые хакеры». Это специалисты в сфере компьютерной безопасности, которые находят уязвимости в системах, чтобы сообщить о них владельцам. Новикова называют одним из самых известных white-hat-хакеров России.

В последние несколько лет 28-летний Новиков чаще выступал в другом качестве — как предприниматель. Сначала — как основатель консалтинговой компании OnSec, работавшей с «Яндексом», Parallels и другими. Теперь — как создатель Wallarm, разработчика решения для поиска уязвимостей и защиты веб-приложений от хакерских атак (Web Application Firewall или WAF).

В этом 2016 году Wallarm прошёл в акселератор Y Combinator и объявил о привлечении $2,3 млн инвестиций. Новиков переехал в Калифорнию и хочет захватить американский рынок защиты веб-приложений. С российским рынком у него всё в порядке уже сейчас — Wallarm один из лидеров: продуктом пользуются «Яндекс», QIWI, «Юлмарт» и другие.

«Секрет» рассказывает, как студенческий фриланс превращается в большой бизнес.

Хакеры с физфака

«Программирую я довольно плохо», — признаётся Иван Новиков. Тем не менее в 2006 году ему, студенту первого курса физфака МГУ, хватало умений, чтобы работать программистом. Спустя два года Новиков даже стал тимлидом в небольшой российской компании, но вскоре решил завязать с разработкой. К этому времени он уже занимался поиском уязвимостей как фрилансер и вёл блог Onsec.ru, где описывал найденные бреши.

В 2009 году на компьютерном фестивале Chaos Construction Новиков занял первое место в конкурсе «Битрикса»: компания предлагала обойти своё решение WAF и взломать сайт, созданный на её платформе. Ссылка на Onsec.ru появилась в новостях, к студенту стали всё чаще обращаться с заказами на аудит системы безопасности. В том числе и «Битрикс» стал регулярно платить за такую работу.

Onsec была зарегистрирована уже тогда, но Новиков был её единственным сотрудником — клиентам было удобнее заключать контракты с юридическим лицом. Параллельно он устроился в Bearing Point (один из крупных игроков на европейском рынке IT-консалтинга). «Надо было узнать, как работает большой хороший консалтинг», — объясняет Новиков. В Bearing Point он неплохо зарабатывал, но продолжал заниматься консалтингом на стороне — специализировался именно на веб-приложениях, тогда как большинство конкурентов предлагали аудит всего сразу.

В 2010 году Новиков смог позволить себе нанять сотрудников — искал талантливых школьников и студентов на специализированных конкурсах. С расширением команды стали появляться крупные заказы. Один из первых — тяжёлый проект для Parallels в 2011 году, который длился четыре месяца (до этого средний срок проекта был несколько недель). «Мы их не знали, они пришли холодными, — вспоминает предприниматель. — Все отказывались от огромного аудита их исходных кодов, но мы ребята упоротые — взяли и сделали».

Решение уйти с работы и посвятить всё время своей компании пришло после очередного конкурса. В 2011 году Новиков занял первое место в «Месяце поиска уязвимостей "Яндекса"» и понял, что «надо делать что-то интересное, а не фигню». Под интересным он подразумевал некий продукт — в идее большой консалтинговой компании на 300 человек Новиков к этому времени уже разочаровался. По его мнению, такие фирмы развиваются только за счёт бесконечного найма людей — выручка растёт пропорционально их количеству. Но профессионалов в индустрии Новиков видел мало. А учить людей с нуля казалось слишком затратным и долгим процессом. Так он решил стать производителем софта.

«На самом деле я уже лет семь занимаюсь проектом Wallarm — просто я раньше не знал, что именно им», — говорит Новиков. В 2012 году, когда он уволился из консалтинговой фирмы, у его команды уже были наработки технологий. По сути, их просто предстояло объединить в один продукт, но для этого надо было найти новых людей и деньги (OnSec был прибыльным, но не настолько).

Переломным моментом стало личное знакомство с основателем Parallels, Acronis, Runa Capital и других проектов Сергеем Белоусовым. Тогда он был генеральным директором Parallels, но о сотрудничестве своей компании с Wallarm не знал. Новиков договорился встретиться с ним через знакомых в фонде Runa Capital, но инвестиции он тогда не искал: «Я даже не знал, что такое Runa и что такое венчурный капитал, — было просто интересно пообщаться с Сергеем». Общение оказалось продуктивным — уже через несколько дней Runa Capital предложила Новикову $500 000. Команда белых хакеров приступила к работе (OnSec существует и сейчас как часть Wallarm, но выполняет меньше заказов).

Сооснователями Wallarm стали давний друг Новикова Александр Головко (также он мэйнтейнер операционной системы на ядре Linux Debian, их меньше 100 в мире) и его жена Анастасия, которая занялась в компании административной работой. Спустя полгода к ним присоединился COO Степан Ильин — бывший главный редактор журнала «Хакер». Он познакомился с Новиковым, когда пришёл брать у него интервью, а потом заявил, что тот «классный» и он хочет заниматься его проектом.

От слов к продукту

«Мы поняли, что надо быстро делать продукт и продавать — иначе деньги инвестора закончатся», — вспоминает Новиков. Wallarm появился меньше чем через год, в ноябре 2013-го. Коллеги о новой разработке уже слышали. «Весь рынок их знал как самых крутых пентестеров в Рунете — они работали с Microsoft, Mail.Ru, "Яндексом"… Проще сказать, кого у них не было», — вспоминает основатель Qrator Labs Александр Лямин (сам Новиков говорит, что Onsec занимался больше аудитом и поиском максимального числа уязвимостей, чем пентестами). Но несмотря на известность Новика и его компании, клиенты не выстроились в очередь за новым продуктом. Предприниматель вспоминает, что последний месяц 2013 года был критическим моментом в жизни компании — деньги инвестора кончались и нужен был контракт, который обеспечил бы дальнейшую работу.

В то время, когда Новиков работал над Wallarm, в платёжную систему QIWI пришёл другой известный профи по поиску уязвимостей — Кирилл Ермаков, также известный как isox. Вместе с коллегами он выбирал решение для защиты, которое бы соответствовало объёмам компании. «Всё в QIWI построено на веб-технологиях, и оставлять их без защиты нельзя — задача даже не в том, чтобы отразить атаку, а в том, чтобы своевременно быть оповещёнными, что случилось, — объясняет Ермаков, сейчас CTO QIWI. — Но у нас 5000 сервисов. Технологические решения на таком объёме или стоят как самолёт, или становятся не вполне изящными, или просто не работают».

К концу 2013 года выбор сузился до лидеров рынка Imperva и новичков Wallarm. У QIWI было два пути: взять либо зарубежный продукт, который не очень подходил под задачи, и «домучить» его, либо российский, который был концептуально верным, и помочь довести его до ума. Компания выбрала последний вариант, подписала контракт с Wallarm на три года, и Новиков выдохнул — деньги на 2014 год у него появились.

Главной ценностью Wallarm Кирилл Ермаков называет то, что этот продукт, в отличие от классических WAF, работает без участия человека. За ним не нужно постоянно следить и проверять то, что блокирует программа. Wallarm сделал ставку на машинное обучение. Оно позволяет не просто блокировать все атаки подряд, а выделять опасные действия и определять правила безопасности для конкретной системы — в соответствии с логикой её работы.

Предположим, Wallarm защищает форум разработчиков и туда приходит пользователь, который пишет статью об уязвимостях и в качестве иллюстрации вставляет в текст вредоносный код. Обычный WAF заблокировал бы его — ведь это же атака. Но Wallarm обучается на трафике и поэтому поймёт, что этот фрагмент находится в теле статьи и поэтому он не опасен. «Проблема большинства WAF в том, что они часто блокируют обычных пользователей: вы не можете попасть на сайт, провести платёжку, и от этого страдает бизнес, — говорит Новиков. — А если бизнес страдает, то такая защита на фиг не нужна».

Другое отличие Wallarm от похожих продуктов состоит в том, что он не только отражает атаки, но и ищет уязвимости, через которые никто ещё не пытался взломать систему. Тогда он предупреждает разработчиков, чтобы они исправили проблему. Причём программа не просто прогоняет веб-приложение через уже известные атаки, а выделяет любые аномалии, которые могут помешать работе системы. И делает это не один раз, а постоянно.

«Например, был случай с одним крупным российским интернет-магазином одежды: программа увидела, что, если в поисковую строку передаётся много цифр, сайт падает и никогда сам не поднимается, — объясняет Иван Новиков. — Понять это руками невозможно — сколько трафика надо перелопатить. А машина видит, что прилетела какая-то лабуда и всё встало. Она не знает, почему именно это произошло — потому, что в середине строки есть число 357, или потому, что цифр в строке 30. Но она видит проблему — и создаёт тикет». По словам Новикова, подобные уязвимости — это 1% общего объёма. Но именно они представляют интерес, поскольку не занесены ни в какие базы,и человеку найти их невозможно.

Наконец, Wallarm может работать с большими объёмами данных, так как все вычисления перенесены в облако — это может быть общая система или частное облако, которое разворачивается в компании.

Благодаря уникальному функционалу Wallarm стал активно развиваться. «К концу 2014 года мы поняли, что наши клиенты — половина топов e-commerce», — гордится Новиков. Всего за год компания заключила десяток контрактов, появились реальные отзывы, и разработчики начали «вылизывать» продукт. Но по-прежнему приходилось конкурировать с глобальными вендорами — всего в мире несколько десятков компаний, предлагающих различные решения WAF.

Из российских производителей самый принципиальный конкурент — Positive Technologies (от комментария «Секрету» компания отказалась). К слову, в 2009 году Новиков пытался устроиться туда на работу, но его не взяли. Возможно, если бы тогда «позитивы», как их называют на рынке, приняли другое решение, в России был бы только один сильный игрок.

Сейчас у Wallarm около 100 клиентов, большинство из них — российские компании. Они делятся на несколько сегментов: крупные IT-компании вроде «Яндекса», интернет-магазины, электронные торговые площадки и игроки тревел-индустрии. Стоимость контракта — от $1000 в месяц. Также продукт Wallarm можно приобрести через партнёров — технология интегрирована в отдельные решения Qrator Labs и InfoWatch. Продажи через Qrator Labs приносят компании Новикова около 20% выручки. По словам Александра Лямина, у совместного продукта около 1000 пользователей. Чаще всего выбирают версии за 30 000 рублей и за 76 000 рублей.

Путь в Долину

«Сейчас я пойду общаться с Москвой и не знаю, когда лягу спать, а утром у меня встреча», — признаётся Новиков в конце интервью. Мы начали разговор в 12 ночи по его часам — уже больше шести месяцев Новиков живёт в Сан-Франциско. Экспансию на американский рынок (как он это сам называет) предприниматель начал ещё в 2015 году, но признаёт, что продажами тогда заниматься не умел. Вместе со Степаном Ильиным они практиковали вахтовый метод — летали в США месяц через месяц, через знакомых общались с крупными компаниями вроде Microsoft и Facebook. К концу года они поняли, что так ничего не получится, и решили переезжать в США.

Тогда Степан Ильин подал заявку в Y Combinator. Новиков не очень хорошо понимал, что это, но согласился пройти 15-минутное интервью. «У нас были в клиентах русский Google и русский PayPal — так мы себя и продавали», — вспоминает Новиков. Когда сооснователи Wallarm возвращались в апреле 2016 года в Москву, они уже знали, что приняты в Y Combinator и начнут акселерацию с июня.

Wallarm попал в один набор с Сoub. По словам Новикова, его проект нетипичен для Y Combinator — чаще акселератор берёт компании, которые существуют не больше года или вообще только созданы.

Y Combinator запомнился Новикову драйвом и атмосферой студенческого общежития. Со смехом он вспоминает, как проходили переговоры у него и основателя Prisma Алексея Моисеенкова — были фонды, которые хотели войти в обе компании, и иногда Новиков и Моисеенков за одним столом созванивались по Skype с одними и теми же инвесторами по очереди или сталкивались друг с другом у них в офисах (Prisma не участвовала в программе Y Combinator, но Моисеенков находился в Долине в то же время).

«Но главное, что я понял, — неважно, насколько крутая у тебя технология, если её никто не хочет внедрять, — продолжает Новиков. — Когда перед тобой ставят прямой вопрос: если у вас такие крутые технологии, почему они ещё не в каждой компании Долины? — начинаешь задумываться». По его словам, в акселераторе он серьёзно прокачался в вопросах управления бизнесом, получил сеть контактов и понял, куда надо идти. Предприниматель говорит, что решил не останавливаться на WAF и будет заниматься другими решениями в области безопасности. Уже в следующем году Новиков обещает новый продукт, но пока не раскрывает, что это будет.

Решение идти на американский рынок — правильное, считает основатель компании Group IB Илья Сачков: «Россия — это около 2% мирового рынка безопасности. Из них 80% — окологосударственная безопасность. А это бумажки, GR, конкурсы, лицензии, сертификаты, госрегулирование… США — это 40–50% мирового рынка. Там компании зрело относятся к вопросам безопасности». По словам Сачкова, в России, напротив, о внедрении решений защиты чаще всего задумываются после того, как случился неприятный инцидент.

Продавать Wallarm в США помогут инвестиции — Новиков говорит, что один сотрудник в год в Калифорнии стоит столько, сколько половина офиса в Москве. Компания рассчитывала на раунд в $2,5 млн, но, когда появился лид-инвестор Partech Ventures, решила остановиться на $2,3 млн (также в раунде участвовали Gagarin Capital Николая Давыдова, несколько неназванных экспертов в сфере кибербезопасности и партнёры акселератора Y Combinator). За лето Новикову, как он сам рассказывает, дважды предлагали продать Wallarm целиком, но он хочет и дальше строить свою компанию и не терять контроль. По его словам, у менеджмента всё ещё больше 70% акций. Разработка остаётся в Москве, всего в компании работает около 30 человек. Новиков гордится, что за всё время почти никто не ушёл из компании, и подчёркивает, что Wallarm — это не он один, а крутая команда.

Компьютерная безопасность — очень перспективный рынок. Его размер, например, в 2016 году достигал $122 млрд и должен расти на 10% в год в течение следующих пяти лет. Ниша WAF скромнее ($420 млн), но растёт активнее — в этом году на 24%. Wallarm свою не раскрывает. За этот год, по словам Новикова, оборот вырос в три раза. По подсчётам «Секрета», он больше 150 млн рублей. Как покорить этот рынок? Новиков говорит, что у него есть рецепт, выработанный за долгие годы: «Надо просто "включить Бэтмена" и работать».

Фотография на обложке: Wallarm