Журнал "Information Security/ Информационная безопасность" #5, 2023

Почему классический SOC не отвечает на современные вызовы? Обычно SOC занимается мониторин- гом угроз, его задача – обнаружить инцидент, информация о котором затем отправляется клиенту для принятия решения о дальнейших действиях. Но посмотрим на примеры. Сейчас шифровальщику достаточно 15 минут, чтобы зашифровать инфраструктуру: прилетело вредоносное письмо, нажата ссылка, компьютер скомпрометирован. А буквально через несколько минут сег- мент сети может оказаться полностью зашифрованным. Пока группа монито- ринга это обнаружит, эскалирует, согла- сует действия команды реагирования, пройдет слишком много времени и реа- гировать поздно, уже надо бороться с последствиями. Важно быстро принимать и реализо- вывать решение о реагировании в руч- ном или автоматическом режиме. Так работает Cyber Defense Center (CDC) – новый этап развития идеи SOC. Немного предыстории В 2011 г. Центр реагирования на инци- денты информационной безопасности СERT-GIB стал первым частным СERT в России. Благодаря тому, что СERT-GIB получил полномочия по оперативной блокировке сайтов, распространяющих вредоносные программы, а также мошеннических и фишинговых ресурсов, удалось сократить до минимума исполь- зование национальных доменных имен .RU, .РФ во вредоносных целях, сделав их непривлекательными для киберпре- ступников. В 2014 г. после разработки и внедре- ния собственного программно-аппарат- ного комплекса, предназначенного для обнаружения сложных киберугроз в инфраструктуре организаций, внутри СERT-GIB появилось новое для компании направление SOC. С тех пор команда накопила огромный опыт и экспертизу в непрерывном мониторинге, построении эффективных процессов обнаружения инцидентов и взаимодействия с клиен- тами по сдерживанию угроз. А в 2023 г. был создан CDC – кругло- суточный Центр кибербезопасности, ЦК F.A.С.С.T. Его цель – непрерывное реа- гирование в режиме 24/7 на сложные кибератаки, а также проактивное обна- ружение угроз. В ЦК F.A.С.С.T. структурно выделены две линии. 1. Первая линия ведет круглосуточный мониторинг алертов, анализ инцидентов и атрибуцию кибератак на основе собст- венных данных киберразведки Threat Intelligence, вплоть до информации о конкретной преступной группе или кон- кретном злоумышленнике. Обладая такими знаниями, аналитики первой линии определяют масштаб и выстраи- вают наиболее подходящий и эффек- тивный план локализации инцидента. 2. Вторая линия фокусируется на про- активном выявлении следов киберпре- ступников в инфраструктуре заказчика, а также осуществляет активное реаги- рование на инциденты и противодей- ствие атакующим. Важно убедиться, что инцидент локализован и находится под полным контролем. Таким образом обес- печивается защита от сложных целевых атак с участием финансово мотивиро- ванных киберкриминальных групп, в том числе шифровальщиков и прогосударст- венных хакеров. Технологический стек ЦК Важным элементом перехода концеп- ции SOC в концепцию CDС является технологический стек, который лежит в основе сервиса. Распространено мнение, что ядром SOC должна быть SIEM-система, но такой подход во многом устарел. Ком- пания F.A.C.C.T. предоставляет сервисы непрерывного мониторинга и реагиро- вания в парадигме Cyber Defense Center на базе своего продукта Managed XDR (MXDR), который позволяет предотвра- щать, обнаруживать и останавливать сложные неизвестные киберугрозы. Managed XDR как раз и дает возмож- ность экспертам CDC получать полную информацию об уровне защищенности защищаемой инфраструктуры и полу- чать события, происходящие на хостах, серверах, в электронной почте, сетевом трафике и облачных хранилищах. Без- условно, использование Managed XDR предполагает высокий уровень доверия между заказчиками и командой CDC. Но практика показывает, что оно того стоит: l анализ телеметрии XDR проводит команда профессионалов, которая спе- циализируется на этом не один год, она заметит следы неизвестных и сложных угроз, которые невозможно обнаружить автоматически; l сокращается время реагирования на инциденты и на защиту активов, посколь- ку XDR позволяет как изолировать ском- прометированные хосты, так и собирать необходимые для криминалистического анализа и расследования атак данные в режиме реального времени. Мониторинг по-новому Managed XDR состоит из устанавли- ваемых в инфраструктуру заказчика модулей, а все данные собираются в Data Lake, коррелируются на основе правил и сценариев выявления вредоносного пове- дения и доступны экспертам ЦК. В отличие от схемы классического мониторинга угроз, если команда ЦК выявила инцидент, то сама, без под- ключения специалистов заказчика, про- водит его верификацию: с помощью базовой криминалистики в рамках про- дукта MXDR анализирует цифровые артефакты и исследует инцидент. Киберразведка по-новому Для поиска и верификации алертов ЦК использует собственную киберраз- ведку компании F.A.C.C.T., а не обра- щается за данными к вендорам TI, как часто делает классический SOC. За 16 • СПЕЦПРОЕКТ Cyber Defence Center: лучше и эффективнее традиционных SOC отличие от классического SOC, где специалисты отвечают за мониторинг киберугроз, но в случае возникновения инцидента начинают длительное организационное взаимодействие с клиентом по поводу реагирования, эксперты Cyber Defence Center, который является новым поколением SOC, сами проводят реагирование на инциденты, а также ведут проактивный поиск киберугроз в защищаемой инфраструктуре. В Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.