Xcitium: большинство решений обнаруживают угрозы — мы их предотвращаем

Защита, построенная на обнаружении, по своей природе опаздывает. Антивирус сверяет файлы с базой известного вредоносного, EDR добавляет поведенческий анализ — но и то, и другое должно сначала узнать угрозу, чтобы её остановить. Против по-настоящему новой атаки (zero-day — угроза, для которой ещё нет ни одной записи в базах защиты) или техники, которая маскируется под нормальную активность, остаётся окно — в индустрии его называют dwell time, и по независимым данным оно измеряется не минутами, а днями. За это время шифровальщик успевает зашифровать, а злоумышленник — закрепиться. Проблема не в том, что детектор плохой, а в том, что детектировать раньше, чем нанесён ущерб, получается не всегда. Мы закрываем именно это окно: неизвестное изолируется до вердикта, поэтому вредить ему попросту негде.

Это собранная и сопровождаемая защита на платформе Xcitium (Dragon) — единый агент и облачная консоль. Ядро — контейнеризация на уровне ядра (Windows и Windows Server; для macOS и Linux — агент EDR/антивируса). Поверх — EDR-видимость, веб-защита и фаервол, настройка правил под ваш парк ПО и управляемый 24/7 SOC силами Xcitium MDR (SOC ведёт вендор; мы упаковываем услугу и остаёмся вашей единой точкой ответственности). Оплата — в манатах по безналу, с договором и закрывающими документами. Полный состав и зона ответственности по каждому слою — в таблице ниже.

На практике «неизвестный файл» — это вполне узнаваемые вещи: вложение «акт_сверки.exe» из письма, флешка подрядчика, скачанный «активатор» к программе или макрос в присланном Excel. Антивирус пропустит их, если образца ещё нет в базах, — и здесь открывается окно риска.

Контейнеризация Xcitium (технология ZeroDwell) это окно закрывает. Заведомо доверенный файл работает свободно, заведомо вредоносный блокируется, а всё неизвестное автоматически изолируется — по данным вендора, менее чем за секунду, ещё до первого системного вызова. Путь любого неизвестного объекта:

1. Обнаружение — система видит неизвестный исполняемый объект.
2. Контейнмент — изоляция менее чем за секунду, до того как объект что-либо сделает.
3. Виртуализация — объект исполняется в изолированной среде: его доступ к файловой системе, реестру и системным вызовам виртуализирован, реальную машину он не трогает.
4. Анализ — облако выносит вердикт (ИИ + эксперты SOC), по данным вендора — обычно меньше чем за минуту.
5. Вердикт — «безопасно» (объект выпускается) или «карантин» (удаляется вместе со всеми своими «изменениями»).

Образно: незнакомца не выгоняют и не пускают к ценностям — его сажают в стеклянную комнату, где он «работает», ничего не повредив, пока выясняется, кто он. (Как механизм устроен глубже и чем принципиально отличается от обычного EDR — в статье «dwell time и контейнеризация».)

По данным вендора, вердикт по подавляющему большинству неизвестных файлов выносится менее чем за минуту; редкие сложные случаи эскалируются живому аналитику, а сам поток составляет порядка сотен миллионов файлов в сутки. Эти цифры приводим как заявленные вендором — но даже в ожидании вердикта файл уже изолирован, поэтому скорость вердикта влияет на удобство, а не на защиту. Ключевая идея: чтобы защитить, не нужно сначала доказать, что файл плохой. Достаточно того, что он не доказан хорошим.

Два аргумента отличают Xcitium от любого классического EDR — и это те два, на которые стоит смотреть в первую очередь:

1. Ни одного успешного проникновения за всю историю. Логика «изолируй до вердикта» означает, что неизвестному файлу негде навредить — даже если это новый, ещё не известный никому шифровальщик. Xcitium настолько уверен в модели, что подкрепляет её финансовой гарантией — Breach Warranty. Ни один детекционный EDR такого дать не может в принципе: обнаружение по своей природе допускает пропуск 1–5% неизвестных угроз — а каждый такой пропуск, по отчёту IBM Cost of a Data Breach 2025, обходится в среднем в $4,44 млн ущерба, при том что полный цикл атаки до её выявления и сдерживания в среднем занимает 241 день.

2. Самая низкая цена за конечную точку среди конкурентов. При сопоставимом — а против неизвестных угроз более сильном — результате защита Xcitium за одну конечную точку обходится дешевле, чем CrowdStrike, SentinelOne и Microsoft Defender — в обеих моделях поставки: самостоятельное управление и под управлением SOC вендора (Xcitium MDR). Премию «за бренд лидера» вы не платите, а реагирование уже включено в подписку — без дорогой отдельной надстройки вроде Falcon Complete у CrowdStrike. Точная цена — по запросу: она зависит от количества конечных точек и набора модулей и фиксируется на бесплатном разборе.

Сложите оба пункта с оплатой в манатах по безналу — и Xcitium закрывает не только техническую задачу, но и закупочную.

Это не «коробка с лицензией», а собранная и сопровождаемая защита. Что именно вы получаете и кто за каждый слой отвечает:

Слой	Что делает	Кто отвечает
Контейнеризация (Xcitium ZeroDwell)	Изолирует неизвестные файлы до вердикта	Технология Xcitium, настройка — мы
EDR-видимость (Xcitium)	Таймлайн атаки, события на устройствах	Платформа Xcitium + наш разбор
24/7 SOC (Xcitium MDR / Dragon)	Мониторинг, тревоги, реагирование	SOC вендора; пакет и сопровождение — мы
Веб-защита и фаервол	Фильтрация трафика, контроль сети	Настройка и сопровождение — мы
Правила под ваш софт	Чтобы редкий/самописный софт не тормозил	Мы, на этапе внедрения
Закупка в манатах	Договор, безнал, закрывающие документы	Мы как эксклюзивный дистрибьютор Xcitium

А чем контейнеризация принципиально отличается от обычного EDR по самому подходу — разбор и таблица «изоляция-первой против обнаружения-первого» в статье про dwell time; прямое сравнение с конкретным вендором — на странице альтернатива CrowdStrike.

У подхода есть два слепых пятна, и честнее назвать их сразу. Контейнеризация ловит неизвестные исполняемые файлы — но не атаки, которые орудуют руками уже доверенных программ (штатный PowerShell, скрипты), и не работу в оперативной памяти, где нового файла на диске нет. Плюс редкий или самописный софт без вердикта первое время работает изолированно — пока мы не внесём его в доверенные. Вывод отсюда один: контейнеризация — слой, а не замена всему. Поэтому мы ставим её в связке с мониторингом (EDR + SOC): каждый слой закрывает слепое пятно другого. Кто продаёт endpoint-агент как «всё-в-одном» — умалчивает об этих двух пятнах.

Это не противоречит нашей же кибербезопасности на open-source — это разные слои, и мы используем лучший инструмент на каждом. Мониторинг и SIEM (где открытый стек зрелый и убирает лицензионные платежи) строим на open-source. Endpoint-защиту берём как лучший-в-классе продукт там, где у него уникальное патентованное преимущество: открытого аналога контейнеризации на уровне ядра попросту нет. Платить за лицензию имеет смысл там, где она даёт то, чего открытый рынок не даёт, — и не платить там, где открытое решение не хуже. Эту границу мы проводим честно, под вашу инфраструктуру.

Категории Gartner построены вокруг обнаружения (антивирус, EDR, XDR), а Xcitium убирает саму зависимость от обнаружения — готовой категории под это пока нет, и она появляется уже после того, как технология себя докажет. Строчка в отчёте не защищает конечную точку; результат — защищает, и его проверяют на вашей инфраструктуре. Развёрнутый разбор возражения — на странице альтернатива CrowdStrike.

Работаем по «Пути 10%»: бесплатный разбор парка устройств и требований → фиксируем стоимость → внедряем и сопровождаем. Лицензии и сопровождение — в манатах по безналу, с полным пакетом закрывающих документов (договор, счёт, акт, счёт-фактура). Как эксклюзивный дистрибьютор Xcitium в Азербайджане, мы делаем закупаемой по корпоративным и государственным процедурам ту защиту, которую напрямую у зарубежного вендора оплатить сложно. Стоимость — под число устройств и набор модулей; считается на разборе. Подробно — как мы работаем.

Это сценарий, где контейнеризация выигрывает сильнее всего: у вас есть что терять, но нет круглосуточной команды ИБ, которая разбирает тревоги. Контейнеризация гасит большинство угроз — включая неизвестные шифровальщики — до того, как они станут инцидентом, а 24/7 SOC закрывает остальное; нанимать штат аналитиков не нужно. Чаще всего это финансовые компании, госструктуры, медицина и ритейл — организации с персональными данными клиентов и под требованиями к защите данных и критической информационной инфраструктуры (КИИ), где простой и утечка стоят дороже всего.

Когда это не главный приоритет: если у вас уже выстроен зрелый SOC с сильной командой и вас в первую очередь беспокоят не файловые угрозы, а кража учётных записей и атаки на облачные сервисы — там акцент смещается на другие слои, и мы скажем об этом прямо. Мы подбираем защиту под вашу реальную поверхность атаки, а не продаём одну технологию как ответ на всё.

У организации нет своей службы ИБ, но есть требование защититься от шифровальщиков, а коммерческие предложения ведущих EDR-вендоров пришли с премиальным ценником и оплатой картой в долларах, которую не провести по закупочным процедурам. Как это обычно решается у нас: разбор парка устройств и требований → развёртывание защиты с контейнеризацией на серверах и рабочих станциях → настройка правил под используемый софт → подключение к 24/7 SOC для мониторинга и реагирования → договор и оплата в манатах по безналу. Цель — закрыть и риск шифровальщика, и закупочные правила, без найма собственной команды ИБ.

• У нас уже есть антивирус — зачем Xcitium? Антивирус и EDR ловят известное и должны сначала распознать угрозу; против нового или замаскированного файла остаётся окно в дни. Xcitium не заменяет антивирус, а закрывает это окно: незнакомый файл изолируется сразу, не дожидаясь, пока его опознают.
• На каких операционных системах работает Xcitium? Контейнеризация на уровне ядра — на Windows и Windows Server; для macOS и Linux есть агенты EDR/антивируса под той же облачной консолью. Точный охват ваших ОС подтверждаем на бесплатном разборе.
• Нужно ли удалять текущий антивирус и как проходит переход? Необязательно сразу: Xcitium может работать поверх имеющейся защиты или заменить её — порядок и совместимость определяем на этапе внедрения. Разворачивание идёт централизованно, агентом, без ручного обхода каждой машины.
• Будет ли тормозить или мешать работе? Известный доверенный софт работает свободно — в контейнер попадает только неизвестное. «Ограниченно» означает не «зависнет»: программа запустится и будет работать, но её изменения (например, сохранение настроек или запись в свои файлы) до вердикта уходят в изолированную область. Для большинства бизнес-софта это незаметно; специфичный или самописный софт мы заранее добавляем в доверенные на этапе настройки.
• Закроет ли это риск шифровальщика? Да, и это главный сценарий: даже неизвестный шифровальщик, для которого ещё нет сигнатуры, запускается в изоляции и не добирается до реальных файлов, пока ему не присвоен вердикт. Проверенный бэкап при этом мы всё равно считаем обязательным последним рубежом.
• Что такое Xcitium? Платформа защиты конечных точек с патентованной контейнеризацией ZeroDwell (патент US 10 951 644), наследник Comodo Cybersecurity — на рынке с 1998 года. viasoft — её эксклюзивный дистрибьютор в Азербайджане по всей линейке.
• Сколько стоит Xcitium? Цена — по запросу: зависит от количества конечных точек и набора модулей, фиксируется на бесплатном разборе; оплата в манатах по безналу. За конечную точку Xcitium выходит дешевле сопоставимых EDR, и реагирование уже включено в подписку. Прямое сравнение с CrowdStrike — на странице альтернатива CrowdStrike.
• Кто будет разбирать тревоги, если у нас нет ИБ-команды? Круглосуточный SOC вендора (Xcitium MDR), который мы подключаем и сопровождаем. Контейнеризация заранее гасит большинство угроз, поэтому тревог меньше, а реагирование входит в подписку — нанимать своих аналитиков не нужно.