Контакты
Подписка 2025
Статьи по информационной безопасности

Cyber Defence Center: лучше и эффективнее традиционных SOC

Ярослав Каргалёв, 23/11/23

В отличие от классического SOC, где специалисты отвечают за мониторинг киберугроз, но в случае возникновения инцидента начинают длительное организационное взаимодействие с клиентом по поводу реагирования, эксперты Cyber Defence Center, который является новым поколением SOC, сами проводят реагирование на инциденты, а также ведут проактивный поиск киберугроз в защищаемой инфраструктуре.

Автор: Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.

Почему классический SOC не отвечает на современные вызовы?

Обычно SOC занимается мониторингом угроз, его задача – обнаружить инцидент, информация о котором затем отправляется клиенту для принятия решения о дальнейших действиях.

Но посмотрим на примеры. Сейчас шифровальщику достаточно 15 минут, чтобы зашифровать инфраструктуру: прилетело вредоносное письмо, нажата ссылка, компьютер скомпрометирован. А буквально через несколько минут сегмент сети может оказаться полностью зашифрованным. Пока группа мониторинга это обнаружит, эскалирует, согласует действия команды реагирования, пройдет слишком много времени и реагировать поздно, уже надо бороться с последствиями.

Важно быстро принимать и реализовывать решение о реагировании в ручном или автоматическом режиме. Так работает Cyber Defense Center (CDC) – новый этап развития идеи SOC.

Немного предыстории

В 2011 г. Центр реагирования на инциденты информационной безопасности СERT-GIB стал первым частным СERT в России. Благодаря тому, что СERT-GIB получил полномочия по оперативной блокировке сайтов, распространяющих вредоносные программы, а также мошеннических и фишинговых ресурсов, удалось сократить до минимума использование национальных доменных имен .RU, .РФ во вредоносных целях, сделав их непривлекательными для киберпреступников.

В 2014 г. после разработки и внедрения собственного программно-аппаратного комплекса, предназначенного для обнаружения сложных киберугроз в инфраструктуре организаций, внутри СERT-GIB появилось новое для компании направление SOC. С тех пор команда накопила огромный опыт и экспертизу в непрерывном мониторинге, построении эффективных процессов обнаружения инцидентов и взаимодействия с клиентами по сдерживанию угроз.

А в 2023 г. был создан CDC – круглосуточный Центр кибербезопасности, ЦК F.A.С.С.T. Его цель – непрерывное реагирование в режиме 24/7 на сложные кибератаки, а также проактивное обнаружение угроз.

В ЦК F.A.С.С.T. структурно выделены две линии.

  1. Первая линия ведет круглосуточный мониторинг алертов, анализ инцидентов и атрибуцию кибератак на основе собственных данных киберразведки Threat Intelligence, вплоть до информации о конкретной преступной группе или конкретном злоумышленнике. Обладая такими знаниями, аналитики первой линии определяют масштаб и выстраивают наиболее подходящий и эффективный план локализации инцидента.
  2. Вторая линия фокусируется на проактивном выявлении следов киберпреступников в инфраструктуре заказчика, а также осуществляет активное реагирование на инциденты и противодействие атакующим. Важно убедиться, что инцидент локализован и находится под полным контролем. Таким образом обеспечивается защита от сложных целевых атак с участием финансово мотивированных киберкриминальных групп, в том числе шифровальщиков и прогосударственных хакеров.

ris1-Nov-23-2023-12-03-31-6513-PM

Технологический стек ЦК

Важным элементом перехода концепции SOC в концепцию CDС является технологический стек, который лежит в основе сервиса.

Распространено мнение, что ядром SOC должна быть SIEM-система, но такой подход во многом устарел. Компания F.A.C.C.T. предоставляет сервисы непрерывного мониторинга и реагирования в парадигме Cyber Defense Center на базе своего продукта Managed XDR (MXDR), который позволяет предотвращать, обнаруживать и останавливать сложные неизвестные киберугрозы.

Managed XDR как раз и дает возможность экспертам CDC получать полную информацию об уровне защищенности защищаемой инфраструктуры и получать события, происходящие на хостах, серверах, в электронной почте, сетевом трафике и облачных хранилищах. Безусловно, использование Managed XDR предполагает высокий уровень доверия между заказчиками и командой CDC. Но практика показывает, что оно того стоит:

  • анализ телеметрии XDR проводит команда профессионалов, которая специализируется на этом не один год, она заметит следы неизвестных и сложных угроз, которые невозможно обнаружить автоматически;
  • сокращается время реагирования на инциденты и на защиту активов, поскольку XDR позволяет как изолировать скомпрометированные хосты, так и собирать необходимые для криминалистического анализа и расследования атак данные в режиме реального времени.

Мониторинг по-новому

Managed XDR состоит из устанавливаемых в инфраструктуру заказчика модулей, а все данные собираются в Data Lake, коррелируются на основе правил и сценариев выявления вредоносного поведения и доступны экспертам ЦК.

В отличие от схемы классического мониторинга угроз, если команда ЦК выявила инцидент, то сама, без подключения специалистов заказчика, проводит его верификацию: с помощью базовой криминалистики в рамках продукта MXDR анализирует цифровые артефакты и исследует инцидент.

Киберразведка по-новому

Для поиска и верификации алертов ЦК использует собственную киберразведку компании F.A.C.C.T., а не обращается за данными к вендорам TI, как часто делает классический SOC. За счет этого для заказчика пропадает необходимость самостоятельно приобретать данные киберразведки.

На основе TI эксперты ЦК знают, как работают киберпреступники, какие техники и тактики они применяют. Если киберразведка узнаёт про атаку какойлибо иностранной прогосударственной группировки на российскую компанию, вся информация поступает в ЦК еще до момента, когда эти данные опубликуются на платформе TI.

Но эксперты ЦК не просто ждут инцидента, а сами проактивно ищут угрозы в защищаемой сети (Managed Threat Hunting). Есть достаточно большое количество современных угроз, для которых невозможно написать сигнатуры: таковы сложные целевые атаки, где злоумышленники применяют в том числе и легитимные инструменты. В процессе Managed Threat Hunting анализируется телеметрия EDR-модулей и в инфраструктуре заказчика вручную ищутся следы того, что автоматически не детектируется или не классифицируется как опасное и вредоносное.

Для каждой тактики с помощью Managed XDR можно проверить наличие ее следов в сети. Специалисты проверяют индивидуальные для клиента гипотезы: каким образом та или иная преступная группа может атаковать инфраструктуру, какие векторы атак и инструменты могут быть для этого использованы.

Реагирование по-новому – ключевой сервис CDC

Эксперты ЦК самостоятельно принимают решение о реагировании, изоляции скомпрометированных хостов и локализации инцидента, удалении вредоносного кода на основании предварительной договоренности с заказчиком. Если инцидент требует незамедлительных действий, эксперты ЦК не ждут подтверждения, а действуют, пока ситуация не усугубилась.

Сегодня, по различным оценкам, условному классическому SOC требуются в среднем сутки с момента обнаружения инцидента до активации мер реагирования, причем заметная доля этого времени уходит на согласования. В то же время ЦК F.A.C.C.T. в рамках своего SLA гарантирует для изоляции хоста 30 минут, включая обнаружение инцидента, его исследование, принятие решения об изоляции со стороны аналитика и собственно изоляцию. Это время, которое сегодня отвечает на вызовы современных угроз.

Более того, если защищаемая инфраструктура достаточно зрелая и заказчик имеет желание, большая часть действий со стороны ЦК может происходить в автоматизированном режиме, еще сильнее улучшая временные показатели эффективности. Впрочем, в ситуациях, когда система не может стопроцентно определить вредоносное поведение, например в случае, когда злоумышленники используют ПО двойного назначения, решение о реагировании все так же принимают эксперты, чтобы избежать ложноположительных срабатываний.

Кейсы работы ЦК

За первые шесть месяцев 2023 г. эксперты F.A.C.C.T. зафиксировали 114 утечек из российских коммерческих компаний и госорганизаций. Рост проведенных реагирований на киберинциденты в январе – мае составил 43% (9 из 10 атак были связаны с программами-вымогателями). Приведем кейсы, как на таком фоне показывает себя ЦК.

Кейс 1

Из сети клиента была получена информация о массовой фишинговой атаке, цель которой заключалась в хищении доменных учетных данных сотрудников компании.

В ходе исследования инцидента с помощью системы MXDR аналитиками ЦК были определены сотрудники, которые открывали данные письма и переходили по фишинговым ссылкам. Далее аналитики ЦК оперативно провели криминалистический анализ данных веб-браузеров и установили, какие учетные записи оказались скомпрометироваными. Оперативная реакция ЦК позволила точечно заблокировать учетные записи, не позволив атакующим ими воспользоваться.

Кейс 2

В рамках пилота системой MXDR была выявлена активность вредоносного ПО из семейства стилеров сразу на нескольких хостах заказчика. Аналитиками ЦК была оперативно инициирована изоляция хостов и проведено криминалистическое исследование. Оно установило, что в компании при настройке новых рабочих стаций использовался "золотой" образ ОС, уже содержащий в себе стилер, а функциональность ВПО активировалась при первой же пользовательской сессии.

Кейс 3

В рамках мониторинга киберугроз аналитики ЦК F.A.C.C.T. обратили внимание на схожие вредоносные архивы, обнаруженные решением MXDR сразу у нескольких пользователей в течение небольшого отрезка времени.

Автоматический анализ оперативно выдал результат о майнинговой активности и заблокировал запуск исполняемых файлов, находящихся в загруженных архивах. На рабочих станциях аналитиками ЦК была запущена встроенная в MXDR функция сбора артефактов, и их анализ позволил восстановить хронологию, а главное – вектор майнинг-атаки.

Оказалось, что пользователь искал в поиске словарь для подбора синонимов, но, перейдя по ссылке из поисковой выдачи, оказался на взломанном ресурсе: автоматически начиналась загрузка вредоносного архива, якобы содержащего необходимое обновление для браузера.

В результате работы системы MXDR атака была предотвращена, заказчику был предоставлен подробный отчет об инциденте.

Кейс 4

В рамках проактивного поиска угроз аналитиками ЦК на хостах были обнаружены отложенные задачи с именами, схожими с легитимным ПО Veeam Software. Было установлено, что такие имена ранее уже использовались для запуска вредоносного ПО с функционалом бэкдора в других сетях, но средства защиты клиента такую активность пропустили.

Криминалистический анализ данных, собранных системой MXDR, позволил установить хронологию инцидента. По применяемым техникам и инструментам, задействованным на разных этапах атаки, активность была атрибутирована как деятельность хакерской APT-группы, спонсируемой китайским государством.

В заключение

Практика показывает, что российскими компаниями уже востребованы не только услуги непрерывного мониторинга, но и оперативная реакция на обнаруживаемые атаки, причем независимо от масштаба и индустрии. Создавать подобную экспертизу, конечно, можно и самостоятельно, но на это уйдут годы и значительные ресурсы.

Cегодня на российском рынке ИБ почти нет команд, которые работают по модели MSSP, оказывая качественные услуги реагирования в рамках обнаруживаемых ими угроз. Компания F.A.C.C.T. может очень эффективно обнаруживать угрозы и реагировать на них в инфраструктуре клиента, где установлен продукт Managed XDR.

Разделение ответственности происходит таким образом, что команда на стороне заказчика занимается настройкой и совершенствованием эшелонированной обороны, а эксперты ЦК отрабатывают те инциденты, которые все-таки прошли через эту эшелонированную оборону.

ЦК F.A.C.C.T. полностью избавляет штатных сотрудников заказчика от вопросов мониторинга и реагирования: при желании они могут наблюдать, контролировать и отвечать, если потребуется, на дополнительные запросы.

 
Темы:SOCXDRF.A.C.C.T.ВебмониторэксЖурнал "Информационная безопасность" №5, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Aladdin eCA – доверенная альтернатива Microsoft CA
    Денис Полушин, руководитель направления PKI компании Аладдин
    Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.
  • SECURITM делает безопасность доступной и эффективной
    Николай Казанцев, CEO компании SECURITM
    Николай Казанцев, CEO компании SECURITM, о философии информационной безопасности, доступности решений для бизнеса любого масштаба, о построении идеальной инфраструктуры и о том, как меняется подход к управлению информационной безопасностью.
  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
  • EDR как инструмент эффективного реагирования глазами экспертов
    Современные решения класса EDR (Endpoint Detection and Response) становятся частым инструментом для повышения эффективности работы аналитиков SOC. Они не только автоматизируют задачи обнаружения и реагирования на угрозы, но и минимизируют влияние человеческого фактора, ускоряя обработку инцидентов. Редакция журнала “Информационная безопасность" опросила экспертов по актуальным аспектам развития EDR-решений.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.
  • Зарисовки о реагировании на инциденты в SOC UserGate
    Дмитрий Шулинин, руководитель SOC UserGate
    Основная задача SOC – своевременно обнаруживать и нейтрализовывать инциденты, предотвращая их дальнейшее распространение и минимизируя ущерб для бизнеса. Однако процесс реагирования требует не только высоких профессиональных навыков специалистов, но также инструментария и четкого алгоритма действий, выработанного специально для каждой инфраструктуры. Рассмотрим несколько аспектов реагирования на инциденты из опыта SOC UserGate.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"