Компания «Ростелеком-Солар» решила трансформировать свой коммерческий Security Operations Center — Solar JSOC — в комплексный центр противодействия кибератакам, обеспечивающий защиту от хакерских группировок с квалификацией вплоть до уровня иностранных спецслужб.
Базируясь на успешном опыте противодействия таким атакам, «Ростелеком» сформировал новый набор сервисов для доставки накопленной уникальной экспертизы в организации, чья кибербезопасность имеет стратегическое значение для страны – в том числе, федеральные органы исполнительной власти и субъекты критической информационной инфраструктуры России.
Трансформация Solar JSOC стала ответом на изменения в цифровом пространстве. В 2020 году было зафиксировано более 200 хакерских атак со стороны высокопрофессиональных кибергруппировок, включая массовые попытки воздействия на целые отрасли и секторы экономики, крупные госструктуры, значимые объекты КИИ. Также НКЦКИ отмечает, что рост числа высокопрофессиональных атак на органы исполнительной власти за прошлый год составил более 40%.
«Действия наиболее профессиональных группировок невозможно обнаружить с помощью инструментов и экспертизы стандартных центров мониторинга, которые преобладают на российском рынке. Поэтому для полноценного противодействия наиболее профессиональным злоумышленникам мы сформировали самое современное на рынке сервисное предложение. Оно реализуется не только за счет уникальной экспертизы, но и объема технологий, на базе которого предоставляется каждый из сервисов Solar JSOC», — отметил Игорь Ляпунов, вице-президент «Ростелекома» по информационной безопасности.
При определении набора сервисов кибербезопасности, необходимых для каждого конкретного заказчика, учитываются релевантный для его отрасли уровень нарушителя, векторы наиболее опасных и высоковероятных атак, а также многие другие параметры. Все они сформированы на базе многолетнего опыта защиты компаний различного масштаба и сфер деятельности – от банковского до промышленного сектора.
В рамках трансформации Solar JSOC сервисы по анализу угроз внешней обстановки, контролю защищенности, мониторингу, реагированию и расследованию инцидентов информационной безопасности были выведены на принципиально новый уровень. Изменения коснулись и вариантов предоставления услуг: помимо классического аутсорсинга информационной безопасности, заказчикам стали доступны гибридные или полностью отчуждаемые модели центров мониторинга. Один из таких вариантов – построение в организациях внутреннего SOC с дальнейшим обучением его команды, а также консалтингом в вопросах мониторинга и реагирования на киберугрозы.
База индикаторов и знаний о новых угрозах (Threat Intelligence) Solar JSOC теперь обогащается уникальными данными, которые собираются в рамках процесса «охоты» на угрозы (Threat Hunting) с системы сенсоров и ханипотов, развернутых на инфраструктуре «Ростелекома». Помимо этого, она постоянно пополняется за счет данных из коммерческих подписок, открытых источников, информационных обменов с регуляторами и различными CERT, а также результатов анализа инцидентов в инфраструктурах более 140 ключевых российских организаций – клиентов Solar JSOC. Это обеспечивает заказчикам Solar JSOC не только полноту, но и максимально достижимую скорость закрытия новых векторов кибератак.
Классические сервисы по контролю защищенности были дополнены услугой проверки реальной готовности к отражению кибератак Red Teaming. Она позволяет заказчикам протестировать используемые процессы и технологии защиты, а также обучить свою ИБ-команду в «боевых» условиях. Услуга предоставляется в формате как тайных киберопераций, так и открытых киберучений, и непрерывно обогащается данными о самых актуальных векторах атак от Solar JSOC CERT и Национального киберполигона. Благодаря этому Red Teaming Solar JSOC проводится с учетом отраслевой специфики – имитируются техники и тактики релевантных кибергруппировок, используются наиболее вероятные вектора атак.
Чтобы успешно выявлять попытки скрытных атак со стороны высокопрофессиональных группировок, процесс мониторинга должен быть основан на широком стеке технологий. Сервис мониторинга Solar JSOC, помимо стандартных инструментов SIEM, базируется на данных от систем анализа сетевого трафика (NTA) и событий ИБ на конечных точках сети (EDR). Это избавляет компании от «слепых пятен» в общей картине защищенности организации и обеспечивает выявление сложных кибератаки на самой ранней стадии. В дополнение к этому в Solar JSOC используется решение класса Incident Response Platform (IRP), которое помогает автоматизировать процессы реагирования на стороне заказчика – одно из ключевых слагаемых успеха при противодействии развивающейся атаке.
Усовершенствованные сервисы по расследованию и ликвидации последствий атак реализуются с привлечением экспертов Solar JSOC CERT и предоставляются в двух вариантах: классический Incident Response для простых и явных атак и глубинное техническое расследование (Digital Forensics), основанное на уникальном накопленном опыте противодействия таргетированным атакам, - если речь идет о долгих и скрытых атаках, захвате контроля над инфраструктурой организации. Во втором случае эксперты не просто расследуют инцидент и устраняют его последствия, но и собирают цифровые доказательства максимально незаметно для киберпреступников, чтобы не спровоцировать их на немедленную реализацию деструктивных воздействий.
Все сервисы и услуги Solar JSOC функционируют как единая экосистема, в рамках которой ведется постоянный обмен информацией о киберугрозах и обогащение сценариев выявления и противодействия кибератакам. Проработанный подход позволяет создать оптимальную экономически обоснованную систему защиты для любой организации, опираясь на актуальный для нее тип киберугроз.
