Контакты
Подписка 2024

Cyber Defence Center: лучше и эффективнее традиционных SOC

Ярослав Каргалёв, 23/11/23

В отличие от классического SOC, где специалисты отвечают за мониторинг киберугроз, но в случае возникновения инцидента начинают длительное организационное взаимодействие с клиентом по поводу реагирования, эксперты Cyber Defence Center, который является новым поколением SOC, сами проводят реагирование на инциденты, а также ведут проактивный поиск киберугроз в защищаемой инфраструктуре.

Автор: Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.

Почему классический SOC не отвечает на современные вызовы?

Обычно SOC занимается мониторингом угроз, его задача – обнаружить инцидент, информация о котором затем отправляется клиенту для принятия решения о дальнейших действиях.

Но посмотрим на примеры. Сейчас шифровальщику достаточно 15 минут, чтобы зашифровать инфраструктуру: прилетело вредоносное письмо, нажата ссылка, компьютер скомпрометирован. А буквально через несколько минут сегмент сети может оказаться полностью зашифрованным. Пока группа мониторинга это обнаружит, эскалирует, согласует действия команды реагирования, пройдет слишком много времени и реагировать поздно, уже надо бороться с последствиями.

Важно быстро принимать и реализовывать решение о реагировании в ручном или автоматическом режиме. Так работает Cyber Defense Center (CDC) – новый этап развития идеи SOC.

Немного предыстории

В 2011 г. Центр реагирования на инциденты информационной безопасности СERT-GIB стал первым частным СERT в России. Благодаря тому, что СERT-GIB получил полномочия по оперативной блокировке сайтов, распространяющих вредоносные программы, а также мошеннических и фишинговых ресурсов, удалось сократить до минимума использование национальных доменных имен .RU, .РФ во вредоносных целях, сделав их непривлекательными для киберпреступников.

В 2014 г. после разработки и внедрения собственного программно-аппаратного комплекса, предназначенного для обнаружения сложных киберугроз в инфраструктуре организаций, внутри СERT-GIB появилось новое для компании направление SOC. С тех пор команда накопила огромный опыт и экспертизу в непрерывном мониторинге, построении эффективных процессов обнаружения инцидентов и взаимодействия с клиентами по сдерживанию угроз.

А в 2023 г. был создан CDC – круглосуточный Центр кибербезопасности, ЦК F.A.С.С.T. Его цель – непрерывное реагирование в режиме 24/7 на сложные кибератаки, а также проактивное обнаружение угроз.

В ЦК F.A.С.С.T. структурно выделены две линии.

  1. Первая линия ведет круглосуточный мониторинг алертов, анализ инцидентов и атрибуцию кибератак на основе собственных данных киберразведки Threat Intelligence, вплоть до информации о конкретной преступной группе или конкретном злоумышленнике. Обладая такими знаниями, аналитики первой линии определяют масштаб и выстраивают наиболее подходящий и эффективный план локализации инцидента.
  2. Вторая линия фокусируется на проактивном выявлении следов киберпреступников в инфраструктуре заказчика, а также осуществляет активное реагирование на инциденты и противодействие атакующим. Важно убедиться, что инцидент локализован и находится под полным контролем. Таким образом обеспечивается защита от сложных целевых атак с участием финансово мотивированных киберкриминальных групп, в том числе шифровальщиков и прогосударственных хакеров.

ris1-Nov-23-2023-12-03-31-6513-PM

Технологический стек ЦК

Важным элементом перехода концепции SOC в концепцию CDС является технологический стек, который лежит в основе сервиса.

Распространено мнение, что ядром SOC должна быть SIEM-система, но такой подход во многом устарел. Компания F.A.C.C.T. предоставляет сервисы непрерывного мониторинга и реагирования в парадигме Cyber Defense Center на базе своего продукта Managed XDR (MXDR), который позволяет предотвращать, обнаруживать и останавливать сложные неизвестные киберугрозы.

Managed XDR как раз и дает возможность экспертам CDC получать полную информацию об уровне защищенности защищаемой инфраструктуры и получать события, происходящие на хостах, серверах, в электронной почте, сетевом трафике и облачных хранилищах. Безусловно, использование Managed XDR предполагает высокий уровень доверия между заказчиками и командой CDC. Но практика показывает, что оно того стоит:

  • анализ телеметрии XDR проводит команда профессионалов, которая специализируется на этом не один год, она заметит следы неизвестных и сложных угроз, которые невозможно обнаружить автоматически;
  • сокращается время реагирования на инциденты и на защиту активов, поскольку XDR позволяет как изолировать скомпрометированные хосты, так и собирать необходимые для криминалистического анализа и расследования атак данные в режиме реального времени.

Мониторинг по-новому

Managed XDR состоит из устанавливаемых в инфраструктуру заказчика модулей, а все данные собираются в Data Lake, коррелируются на основе правил и сценариев выявления вредоносного поведения и доступны экспертам ЦК.

В отличие от схемы классического мониторинга угроз, если команда ЦК выявила инцидент, то сама, без подключения специалистов заказчика, проводит его верификацию: с помощью базовой криминалистики в рамках продукта MXDR анализирует цифровые артефакты и исследует инцидент.

Киберразведка по-новому

Для поиска и верификации алертов ЦК использует собственную киберразведку компании F.A.C.C.T., а не обращается за данными к вендорам TI, как часто делает классический SOC. За счет этого для заказчика пропадает необходимость самостоятельно приобретать данные киберразведки.

На основе TI эксперты ЦК знают, как работают киберпреступники, какие техники и тактики они применяют. Если киберразведка узнаёт про атаку какойлибо иностранной прогосударственной группировки на российскую компанию, вся информация поступает в ЦК еще до момента, когда эти данные опубликуются на платформе TI.

Но эксперты ЦК не просто ждут инцидента, а сами проактивно ищут угрозы в защищаемой сети (Managed Threat Hunting). Есть достаточно большое количество современных угроз, для которых невозможно написать сигнатуры: таковы сложные целевые атаки, где злоумышленники применяют в том числе и легитимные инструменты. В процессе Managed Threat Hunting анализируется телеметрия EDR-модулей и в инфраструктуре заказчика вручную ищутся следы того, что автоматически не детектируется или не классифицируется как опасное и вредоносное.

Для каждой тактики с помощью Managed XDR можно проверить наличие ее следов в сети. Специалисты проверяют индивидуальные для клиента гипотезы: каким образом та или иная преступная группа может атаковать инфраструктуру, какие векторы атак и инструменты могут быть для этого использованы.

Реагирование по-новому – ключевой сервис CDC

Эксперты ЦК самостоятельно принимают решение о реагировании, изоляции скомпрометированных хостов и локализации инцидента, удалении вредоносного кода на основании предварительной договоренности с заказчиком. Если инцидент требует незамедлительных действий, эксперты ЦК не ждут подтверждения, а действуют, пока ситуация не усугубилась.

Сегодня, по различным оценкам, условному классическому SOC требуются в среднем сутки с момента обнаружения инцидента до активации мер реагирования, причем заметная доля этого времени уходит на согласования. В то же время ЦК F.A.C.C.T. в рамках своего SLA гарантирует для изоляции хоста 30 минут, включая обнаружение инцидента, его исследование, принятие решения об изоляции со стороны аналитика и собственно изоляцию. Это время, которое сегодня отвечает на вызовы современных угроз.

Более того, если защищаемая инфраструктура достаточно зрелая и заказчик имеет желание, большая часть действий со стороны ЦК может происходить в автоматизированном режиме, еще сильнее улучшая временные показатели эффективности. Впрочем, в ситуациях, когда система не может стопроцентно определить вредоносное поведение, например в случае, когда злоумышленники используют ПО двойного назначения, решение о реагировании все так же принимают эксперты, чтобы избежать ложноположительных срабатываний.

Кейсы работы ЦК

За первые шесть месяцев 2023 г. эксперты F.A.C.C.T. зафиксировали 114 утечек из российских коммерческих компаний и госорганизаций. Рост проведенных реагирований на киберинциденты в январе – мае составил 43% (9 из 10 атак были связаны с программами-вымогателями). Приведем кейсы, как на таком фоне показывает себя ЦК.

Кейс 1

Из сети клиента была получена информация о массовой фишинговой атаке, цель которой заключалась в хищении доменных учетных данных сотрудников компании.

В ходе исследования инцидента с помощью системы MXDR аналитиками ЦК были определены сотрудники, которые открывали данные письма и переходили по фишинговым ссылкам. Далее аналитики ЦК оперативно провели криминалистический анализ данных веб-браузеров и установили, какие учетные записи оказались скомпрометироваными. Оперативная реакция ЦК позволила точечно заблокировать учетные записи, не позволив атакующим ими воспользоваться.

Кейс 2

В рамках пилота системой MXDR была выявлена активность вредоносного ПО из семейства стилеров сразу на нескольких хостах заказчика. Аналитиками ЦК была оперативно инициирована изоляция хостов и проведено криминалистическое исследование. Оно установило, что в компании при настройке новых рабочих стаций использовался "золотой" образ ОС, уже содержащий в себе стилер, а функциональность ВПО активировалась при первой же пользовательской сессии.

Кейс 3

В рамках мониторинга киберугроз аналитики ЦК F.A.C.C.T. обратили внимание на схожие вредоносные архивы, обнаруженные решением MXDR сразу у нескольких пользователей в течение небольшого отрезка времени.

Автоматический анализ оперативно выдал результат о майнинговой активности и заблокировал запуск исполняемых файлов, находящихся в загруженных архивах. На рабочих станциях аналитиками ЦК была запущена встроенная в MXDR функция сбора артефактов, и их анализ позволил восстановить хронологию, а главное – вектор майнинг-атаки.

Оказалось, что пользователь искал в поиске словарь для подбора синонимов, но, перейдя по ссылке из поисковой выдачи, оказался на взломанном ресурсе: автоматически начиналась загрузка вредоносного архива, якобы содержащего необходимое обновление для браузера.

В результате работы системы MXDR атака была предотвращена, заказчику был предоставлен подробный отчет об инциденте.

Кейс 4

В рамках проактивного поиска угроз аналитиками ЦК на хостах были обнаружены отложенные задачи с именами, схожими с легитимным ПО Veeam Software. Было установлено, что такие имена ранее уже использовались для запуска вредоносного ПО с функционалом бэкдора в других сетях, но средства защиты клиента такую активность пропустили.

Криминалистический анализ данных, собранных системой MXDR, позволил установить хронологию инцидента. По применяемым техникам и инструментам, задействованным на разных этапах атаки, активность была атрибутирована как деятельность хакерской APT-группы, спонсируемой китайским государством.

В заключение

Практика показывает, что российскими компаниями уже востребованы не только услуги непрерывного мониторинга, но и оперативная реакция на обнаруживаемые атаки, причем независимо от масштаба и индустрии. Создавать подобную экспертизу, конечно, можно и самостоятельно, но на это уйдут годы и значительные ресурсы.

Cегодня на российском рынке ИБ почти нет команд, которые работают по модели MSSP, оказывая качественные услуги реагирования в рамках обнаруживаемых ими угроз. Компания F.A.C.C.T. может очень эффективно обнаруживать угрозы и реагировать на них в инфраструктуре клиента, где установлен продукт Managed XDR.

Разделение ответственности происходит таким образом, что команда на стороне заказчика занимается настройкой и совершенствованием эшелонированной обороны, а эксперты ЦК отрабатывают те инциденты, которые все-таки прошли через эту эшелонированную оборону.

ЦК F.A.C.C.T. полностью избавляет штатных сотрудников заказчика от вопросов мониторинга и реагирования: при желании они могут наблюдать, контролировать и отвечать, если потребуется, на дополнительные запросы.

 

Темы:SOCXDRF.A.C.C.T.Журнал "Информационная безопасность" №5, 2023CDC

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Кибербезопасность в новой реальности
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!
Статьи по той же темеСтатьи по той же теме

  • Основные вызовы в развитии и совершенствовании коммерческих SOC
    Эксперты ведущих компаний делятся своим видением актуальных вызовов в развитии SOC: дефицит квалифицированных кадров, необходимость внутреннего и внешнего обучения персонала, импортозамещение и использованию отечественных решений. 
  • Каких знаний не хватает у соискателей в операторы и аналитики SOC?
    Несмотря на растущую значимость роли операторов и аналитиков SOC, нередки случаи недостатка в знаниях соискателей на эти позиции
  • Коммерческие SOC в 2023 году: мотивация и развитие. Часть 2
    Каким должен быть первый шаг для подключения к SOC, если принципиальное решение уже принято, и что SOC точно не сделает за заказчика?
  • Киберразведка по методу Innostage – CyberART TI
    Камиль Садыков, ведущий аналитик информационной безопасности Innostage
    Выгоду от применения TI подсчитать практически невозможно: раз нет атаки, то нет и последствий для предприятия, выраженных в финансовой форме. Но с помощью киберразведки можно смоделировать максимально доступный уровень риска
  • Коммерческие SOC в 2023 году: мотивация и развитие
    Какая мотивация приводит заказчиков в SOC? Где должна проходить граница между SOC и заказчиком? Редакция журнала “Информационная безопасность” попросила ответить практикующих экспертов в области коммерческих SOC.
  • SOC для защиты бизнес-процессов
    Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
    У центров мониторинга есть возможность защищать бизнес не только путем выявления и реагирования на кибератаки, но и путем защиты бизнес-процессов.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность в новой реальности
14 марта. Онлайн-конференция. Реагирование на инциденты по информационной безопасности
Регистрируйтесь!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
21 марта. Российские платформы виртуализации
Жми, чтобы участвовать