Контакты
Подписка 2025

Cyber Defence Center: лучше и эффективнее традиционных SOC

Ярослав Каргалёв, 23/11/23

В отличие от классического SOC, где специалисты отвечают за мониторинг киберугроз, но в случае возникновения инцидента начинают длительное организационное взаимодействие с клиентом по поводу реагирования, эксперты Cyber Defence Center, который является новым поколением SOC, сами проводят реагирование на инциденты, а также ведут проактивный поиск киберугроз в защищаемой инфраструктуре.

Автор: Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.

Почему классический SOC не отвечает на современные вызовы?

Обычно SOC занимается мониторингом угроз, его задача – обнаружить инцидент, информация о котором затем отправляется клиенту для принятия решения о дальнейших действиях.

Но посмотрим на примеры. Сейчас шифровальщику достаточно 15 минут, чтобы зашифровать инфраструктуру: прилетело вредоносное письмо, нажата ссылка, компьютер скомпрометирован. А буквально через несколько минут сегмент сети может оказаться полностью зашифрованным. Пока группа мониторинга это обнаружит, эскалирует, согласует действия команды реагирования, пройдет слишком много времени и реагировать поздно, уже надо бороться с последствиями.

Важно быстро принимать и реализовывать решение о реагировании в ручном или автоматическом режиме. Так работает Cyber Defense Center (CDC) – новый этап развития идеи SOC.

Немного предыстории

В 2011 г. Центр реагирования на инциденты информационной безопасности СERT-GIB стал первым частным СERT в России. Благодаря тому, что СERT-GIB получил полномочия по оперативной блокировке сайтов, распространяющих вредоносные программы, а также мошеннических и фишинговых ресурсов, удалось сократить до минимума использование национальных доменных имен .RU, .РФ во вредоносных целях, сделав их непривлекательными для киберпреступников.

В 2014 г. после разработки и внедрения собственного программно-аппаратного комплекса, предназначенного для обнаружения сложных киберугроз в инфраструктуре организаций, внутри СERT-GIB появилось новое для компании направление SOC. С тех пор команда накопила огромный опыт и экспертизу в непрерывном мониторинге, построении эффективных процессов обнаружения инцидентов и взаимодействия с клиентами по сдерживанию угроз.

А в 2023 г. был создан CDC – круглосуточный Центр кибербезопасности, ЦК F.A.С.С.T. Его цель – непрерывное реагирование в режиме 24/7 на сложные кибератаки, а также проактивное обнаружение угроз.

В ЦК F.A.С.С.T. структурно выделены две линии.

  1. Первая линия ведет круглосуточный мониторинг алертов, анализ инцидентов и атрибуцию кибератак на основе собственных данных киберразведки Threat Intelligence, вплоть до информации о конкретной преступной группе или конкретном злоумышленнике. Обладая такими знаниями, аналитики первой линии определяют масштаб и выстраивают наиболее подходящий и эффективный план локализации инцидента.
  2. Вторая линия фокусируется на проактивном выявлении следов киберпреступников в инфраструктуре заказчика, а также осуществляет активное реагирование на инциденты и противодействие атакующим. Важно убедиться, что инцидент локализован и находится под полным контролем. Таким образом обеспечивается защита от сложных целевых атак с участием финансово мотивированных киберкриминальных групп, в том числе шифровальщиков и прогосударственных хакеров.

ris1-Nov-23-2023-12-03-31-6513-PM

Технологический стек ЦК

Важным элементом перехода концепции SOC в концепцию CDС является технологический стек, который лежит в основе сервиса.

Распространено мнение, что ядром SOC должна быть SIEM-система, но такой подход во многом устарел. Компания F.A.C.C.T. предоставляет сервисы непрерывного мониторинга и реагирования в парадигме Cyber Defense Center на базе своего продукта Managed XDR (MXDR), который позволяет предотвращать, обнаруживать и останавливать сложные неизвестные киберугрозы.

Managed XDR как раз и дает возможность экспертам CDC получать полную информацию об уровне защищенности защищаемой инфраструктуры и получать события, происходящие на хостах, серверах, в электронной почте, сетевом трафике и облачных хранилищах. Безусловно, использование Managed XDR предполагает высокий уровень доверия между заказчиками и командой CDC. Но практика показывает, что оно того стоит:

  • анализ телеметрии XDR проводит команда профессионалов, которая специализируется на этом не один год, она заметит следы неизвестных и сложных угроз, которые невозможно обнаружить автоматически;
  • сокращается время реагирования на инциденты и на защиту активов, поскольку XDR позволяет как изолировать скомпрометированные хосты, так и собирать необходимые для криминалистического анализа и расследования атак данные в режиме реального времени.

Мониторинг по-новому

Managed XDR состоит из устанавливаемых в инфраструктуру заказчика модулей, а все данные собираются в Data Lake, коррелируются на основе правил и сценариев выявления вредоносного поведения и доступны экспертам ЦК.

В отличие от схемы классического мониторинга угроз, если команда ЦК выявила инцидент, то сама, без подключения специалистов заказчика, проводит его верификацию: с помощью базовой криминалистики в рамках продукта MXDR анализирует цифровые артефакты и исследует инцидент.

Киберразведка по-новому

Для поиска и верификации алертов ЦК использует собственную киберразведку компании F.A.C.C.T., а не обращается за данными к вендорам TI, как часто делает классический SOC. За счет этого для заказчика пропадает необходимость самостоятельно приобретать данные киберразведки.

На основе TI эксперты ЦК знают, как работают киберпреступники, какие техники и тактики они применяют. Если киберразведка узнаёт про атаку какойлибо иностранной прогосударственной группировки на российскую компанию, вся информация поступает в ЦК еще до момента, когда эти данные опубликуются на платформе TI.

Но эксперты ЦК не просто ждут инцидента, а сами проактивно ищут угрозы в защищаемой сети (Managed Threat Hunting). Есть достаточно большое количество современных угроз, для которых невозможно написать сигнатуры: таковы сложные целевые атаки, где злоумышленники применяют в том числе и легитимные инструменты. В процессе Managed Threat Hunting анализируется телеметрия EDR-модулей и в инфраструктуре заказчика вручную ищутся следы того, что автоматически не детектируется или не классифицируется как опасное и вредоносное.

Для каждой тактики с помощью Managed XDR можно проверить наличие ее следов в сети. Специалисты проверяют индивидуальные для клиента гипотезы: каким образом та или иная преступная группа может атаковать инфраструктуру, какие векторы атак и инструменты могут быть для этого использованы.

Реагирование по-новому – ключевой сервис CDC

Эксперты ЦК самостоятельно принимают решение о реагировании, изоляции скомпрометированных хостов и локализации инцидента, удалении вредоносного кода на основании предварительной договоренности с заказчиком. Если инцидент требует незамедлительных действий, эксперты ЦК не ждут подтверждения, а действуют, пока ситуация не усугубилась.

Сегодня, по различным оценкам, условному классическому SOC требуются в среднем сутки с момента обнаружения инцидента до активации мер реагирования, причем заметная доля этого времени уходит на согласования. В то же время ЦК F.A.C.C.T. в рамках своего SLA гарантирует для изоляции хоста 30 минут, включая обнаружение инцидента, его исследование, принятие решения об изоляции со стороны аналитика и собственно изоляцию. Это время, которое сегодня отвечает на вызовы современных угроз.

Более того, если защищаемая инфраструктура достаточно зрелая и заказчик имеет желание, большая часть действий со стороны ЦК может происходить в автоматизированном режиме, еще сильнее улучшая временные показатели эффективности. Впрочем, в ситуациях, когда система не может стопроцентно определить вредоносное поведение, например в случае, когда злоумышленники используют ПО двойного назначения, решение о реагировании все так же принимают эксперты, чтобы избежать ложноположительных срабатываний.

Кейсы работы ЦК

За первые шесть месяцев 2023 г. эксперты F.A.C.C.T. зафиксировали 114 утечек из российских коммерческих компаний и госорганизаций. Рост проведенных реагирований на киберинциденты в январе – мае составил 43% (9 из 10 атак были связаны с программами-вымогателями). Приведем кейсы, как на таком фоне показывает себя ЦК.

Кейс 1

Из сети клиента была получена информация о массовой фишинговой атаке, цель которой заключалась в хищении доменных учетных данных сотрудников компании.

В ходе исследования инцидента с помощью системы MXDR аналитиками ЦК были определены сотрудники, которые открывали данные письма и переходили по фишинговым ссылкам. Далее аналитики ЦК оперативно провели криминалистический анализ данных веб-браузеров и установили, какие учетные записи оказались скомпрометироваными. Оперативная реакция ЦК позволила точечно заблокировать учетные записи, не позволив атакующим ими воспользоваться.

Кейс 2

В рамках пилота системой MXDR была выявлена активность вредоносного ПО из семейства стилеров сразу на нескольких хостах заказчика. Аналитиками ЦК была оперативно инициирована изоляция хостов и проведено криминалистическое исследование. Оно установило, что в компании при настройке новых рабочих стаций использовался "золотой" образ ОС, уже содержащий в себе стилер, а функциональность ВПО активировалась при первой же пользовательской сессии.

Кейс 3

В рамках мониторинга киберугроз аналитики ЦК F.A.C.C.T. обратили внимание на схожие вредоносные архивы, обнаруженные решением MXDR сразу у нескольких пользователей в течение небольшого отрезка времени.

Автоматический анализ оперативно выдал результат о майнинговой активности и заблокировал запуск исполняемых файлов, находящихся в загруженных архивах. На рабочих станциях аналитиками ЦК была запущена встроенная в MXDR функция сбора артефактов, и их анализ позволил восстановить хронологию, а главное – вектор майнинг-атаки.

Оказалось, что пользователь искал в поиске словарь для подбора синонимов, но, перейдя по ссылке из поисковой выдачи, оказался на взломанном ресурсе: автоматически начиналась загрузка вредоносного архива, якобы содержащего необходимое обновление для браузера.

В результате работы системы MXDR атака была предотвращена, заказчику был предоставлен подробный отчет об инциденте.

Кейс 4

В рамках проактивного поиска угроз аналитиками ЦК на хостах были обнаружены отложенные задачи с именами, схожими с легитимным ПО Veeam Software. Было установлено, что такие имена ранее уже использовались для запуска вредоносного ПО с функционалом бэкдора в других сетях, но средства защиты клиента такую активность пропустили.

Криминалистический анализ данных, собранных системой MXDR, позволил установить хронологию инцидента. По применяемым техникам и инструментам, задействованным на разных этапах атаки, активность была атрибутирована как деятельность хакерской APT-группы, спонсируемой китайским государством.

В заключение

Практика показывает, что российскими компаниями уже востребованы не только услуги непрерывного мониторинга, но и оперативная реакция на обнаруживаемые атаки, причем независимо от масштаба и индустрии. Создавать подобную экспертизу, конечно, можно и самостоятельно, но на это уйдут годы и значительные ресурсы.

Cегодня на российском рынке ИБ почти нет команд, которые работают по модели MSSP, оказывая качественные услуги реагирования в рамках обнаруживаемых ими угроз. Компания F.A.C.C.T. может очень эффективно обнаруживать угрозы и реагировать на них в инфраструктуре клиента, где установлен продукт Managed XDR.

Разделение ответственности происходит таким образом, что команда на стороне заказчика занимается настройкой и совершенствованием эшелонированной обороны, а эксперты ЦК отрабатывают те инциденты, которые все-таки прошли через эту эшелонированную оборону.

ЦК F.A.C.C.T. полностью избавляет штатных сотрудников заказчика от вопросов мониторинга и реагирования: при желании они могут наблюдать, контролировать и отвечать, если потребуется, на дополнительные запросы.

 

Темы:SOCXDRF.A.C.C.T.Журнал "Информационная безопасность" №5, 2023CDC

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • EDR как инструмент эффективного реагирования глазами экспертов
    Современные решения класса EDR (Endpoint Detection and Response) становятся частым инструментом для повышения эффективности работы аналитиков SOC. Они не только автоматизируют задачи обнаружения и реагирования на угрозы, но и минимизируют влияние человеческого фактора, ускоряя обработку инцидентов. Редакция журнала “Информационная безопасность" опросила экспертов по актуальным аспектам развития EDR-решений.
  • Зарисовки о реагировании на инциденты в SOC UserGate
    Дмитрий Шулинин, руководитель SOC UserGate
    Основная задача SOC – своевременно обнаруживать и нейтрализовывать инциденты, предотвращая их дальнейшее распространение и минимизируя ущерб для бизнеса. Однако процесс реагирования требует не только высоких профессиональных навыков специалистов, но также инструментария и четкого алгоритма действий, выработанного специально для каждой инфраструктуры. Рассмотрим несколько аспектов реагирования на инциденты из опыта SOC UserGate.
  • XDR-центричный подход для SOC
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Основная цель современного SOC – не только своевременно выявить угрозу, но и нейтрализовать ее до момента реализации. В контексте работы аналитиков SOC возможности XDR (Extended Detection and Response) можно условно разделить на две взаимосвязанные составляющие.
  • Как технологии EDR помогают SOC: теория и практика
    Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.
  • О роли SOC, EDR и XDR на пути к оптимальной безопасности
    Артем Кириллин, Заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE
    Артем Кириллин, заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE, рассказал о том, какие технологии обеспечивают высокую эффективность SOC, как выбрать провайдера (MSSP) и правда ли, что будущее за XDR.
  • UserGate представила новые модели устройств, услуги и поделилась другими достижениями
    Как обычно, в конце апреля в рамках V ежегодной конференции UserGate 2024 компания представила новинки – устройства, сервисы, услуги, а также отчиталась о других достижениях.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...