Контакты
Подписка 2025

Cyber Defence Center: лучше и эффективнее традиционных SOC

Ярослав Каргалёв, 23/11/23

В отличие от классического SOC, где специалисты отвечают за мониторинг киберугроз, но в случае возникновения инцидента начинают длительное организационное взаимодействие с клиентом по поводу реагирования, эксперты Cyber Defence Center, который является новым поколением SOC, сами проводят реагирование на инциденты, а также ведут проактивный поиск киберугроз в защищаемой инфраструктуре.

Автор: Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.

Почему классический SOC не отвечает на современные вызовы?

Обычно SOC занимается мониторингом угроз, его задача – обнаружить инцидент, информация о котором затем отправляется клиенту для принятия решения о дальнейших действиях.

Но посмотрим на примеры. Сейчас шифровальщику достаточно 15 минут, чтобы зашифровать инфраструктуру: прилетело вредоносное письмо, нажата ссылка, компьютер скомпрометирован. А буквально через несколько минут сегмент сети может оказаться полностью зашифрованным. Пока группа мониторинга это обнаружит, эскалирует, согласует действия команды реагирования, пройдет слишком много времени и реагировать поздно, уже надо бороться с последствиями.

Важно быстро принимать и реализовывать решение о реагировании в ручном или автоматическом режиме. Так работает Cyber Defense Center (CDC) – новый этап развития идеи SOC.

Немного предыстории

В 2011 г. Центр реагирования на инциденты информационной безопасности СERT-GIB стал первым частным СERT в России. Благодаря тому, что СERT-GIB получил полномочия по оперативной блокировке сайтов, распространяющих вредоносные программы, а также мошеннических и фишинговых ресурсов, удалось сократить до минимума использование национальных доменных имен .RU, .РФ во вредоносных целях, сделав их непривлекательными для киберпреступников.

В 2014 г. после разработки и внедрения собственного программно-аппаратного комплекса, предназначенного для обнаружения сложных киберугроз в инфраструктуре организаций, внутри СERT-GIB появилось новое для компании направление SOC. С тех пор команда накопила огромный опыт и экспертизу в непрерывном мониторинге, построении эффективных процессов обнаружения инцидентов и взаимодействия с клиентами по сдерживанию угроз.

А в 2023 г. был создан CDC – круглосуточный Центр кибербезопасности, ЦК F.A.С.С.T. Его цель – непрерывное реагирование в режиме 24/7 на сложные кибератаки, а также проактивное обнаружение угроз.

В ЦК F.A.С.С.T. структурно выделены две линии.

  1. Первая линия ведет круглосуточный мониторинг алертов, анализ инцидентов и атрибуцию кибератак на основе собственных данных киберразведки Threat Intelligence, вплоть до информации о конкретной преступной группе или конкретном злоумышленнике. Обладая такими знаниями, аналитики первой линии определяют масштаб и выстраивают наиболее подходящий и эффективный план локализации инцидента.
  2. Вторая линия фокусируется на проактивном выявлении следов киберпреступников в инфраструктуре заказчика, а также осуществляет активное реагирование на инциденты и противодействие атакующим. Важно убедиться, что инцидент локализован и находится под полным контролем. Таким образом обеспечивается защита от сложных целевых атак с участием финансово мотивированных киберкриминальных групп, в том числе шифровальщиков и прогосударственных хакеров.

ris1-Nov-23-2023-12-03-31-6513-PM

Технологический стек ЦК

Важным элементом перехода концепции SOC в концепцию CDС является технологический стек, который лежит в основе сервиса.

Распространено мнение, что ядром SOC должна быть SIEM-система, но такой подход во многом устарел. Компания F.A.C.C.T. предоставляет сервисы непрерывного мониторинга и реагирования в парадигме Cyber Defense Center на базе своего продукта Managed XDR (MXDR), который позволяет предотвращать, обнаруживать и останавливать сложные неизвестные киберугрозы.

Managed XDR как раз и дает возможность экспертам CDC получать полную информацию об уровне защищенности защищаемой инфраструктуры и получать события, происходящие на хостах, серверах, в электронной почте, сетевом трафике и облачных хранилищах. Безусловно, использование Managed XDR предполагает высокий уровень доверия между заказчиками и командой CDC. Но практика показывает, что оно того стоит:

  • анализ телеметрии XDR проводит команда профессионалов, которая специализируется на этом не один год, она заметит следы неизвестных и сложных угроз, которые невозможно обнаружить автоматически;
  • сокращается время реагирования на инциденты и на защиту активов, поскольку XDR позволяет как изолировать скомпрометированные хосты, так и собирать необходимые для криминалистического анализа и расследования атак данные в режиме реального времени.

Мониторинг по-новому

Managed XDR состоит из устанавливаемых в инфраструктуру заказчика модулей, а все данные собираются в Data Lake, коррелируются на основе правил и сценариев выявления вредоносного поведения и доступны экспертам ЦК.

В отличие от схемы классического мониторинга угроз, если команда ЦК выявила инцидент, то сама, без подключения специалистов заказчика, проводит его верификацию: с помощью базовой криминалистики в рамках продукта MXDR анализирует цифровые артефакты и исследует инцидент.

Киберразведка по-новому

Для поиска и верификации алертов ЦК использует собственную киберразведку компании F.A.C.C.T., а не обращается за данными к вендорам TI, как часто делает классический SOC. За счет этого для заказчика пропадает необходимость самостоятельно приобретать данные киберразведки.

На основе TI эксперты ЦК знают, как работают киберпреступники, какие техники и тактики они применяют. Если киберразведка узнаёт про атаку какойлибо иностранной прогосударственной группировки на российскую компанию, вся информация поступает в ЦК еще до момента, когда эти данные опубликуются на платформе TI.

Но эксперты ЦК не просто ждут инцидента, а сами проактивно ищут угрозы в защищаемой сети (Managed Threat Hunting). Есть достаточно большое количество современных угроз, для которых невозможно написать сигнатуры: таковы сложные целевые атаки, где злоумышленники применяют в том числе и легитимные инструменты. В процессе Managed Threat Hunting анализируется телеметрия EDR-модулей и в инфраструктуре заказчика вручную ищутся следы того, что автоматически не детектируется или не классифицируется как опасное и вредоносное.

Для каждой тактики с помощью Managed XDR можно проверить наличие ее следов в сети. Специалисты проверяют индивидуальные для клиента гипотезы: каким образом та или иная преступная группа может атаковать инфраструктуру, какие векторы атак и инструменты могут быть для этого использованы.

Реагирование по-новому – ключевой сервис CDC

Эксперты ЦК самостоятельно принимают решение о реагировании, изоляции скомпрометированных хостов и локализации инцидента, удалении вредоносного кода на основании предварительной договоренности с заказчиком. Если инцидент требует незамедлительных действий, эксперты ЦК не ждут подтверждения, а действуют, пока ситуация не усугубилась.

Сегодня, по различным оценкам, условному классическому SOC требуются в среднем сутки с момента обнаружения инцидента до активации мер реагирования, причем заметная доля этого времени уходит на согласования. В то же время ЦК F.A.C.C.T. в рамках своего SLA гарантирует для изоляции хоста 30 минут, включая обнаружение инцидента, его исследование, принятие решения об изоляции со стороны аналитика и собственно изоляцию. Это время, которое сегодня отвечает на вызовы современных угроз.

Более того, если защищаемая инфраструктура достаточно зрелая и заказчик имеет желание, большая часть действий со стороны ЦК может происходить в автоматизированном режиме, еще сильнее улучшая временные показатели эффективности. Впрочем, в ситуациях, когда система не может стопроцентно определить вредоносное поведение, например в случае, когда злоумышленники используют ПО двойного назначения, решение о реагировании все так же принимают эксперты, чтобы избежать ложноположительных срабатываний.

Кейсы работы ЦК

За первые шесть месяцев 2023 г. эксперты F.A.C.C.T. зафиксировали 114 утечек из российских коммерческих компаний и госорганизаций. Рост проведенных реагирований на киберинциденты в январе – мае составил 43% (9 из 10 атак были связаны с программами-вымогателями). Приведем кейсы, как на таком фоне показывает себя ЦК.

Кейс 1

Из сети клиента была получена информация о массовой фишинговой атаке, цель которой заключалась в хищении доменных учетных данных сотрудников компании.

В ходе исследования инцидента с помощью системы MXDR аналитиками ЦК были определены сотрудники, которые открывали данные письма и переходили по фишинговым ссылкам. Далее аналитики ЦК оперативно провели криминалистический анализ данных веб-браузеров и установили, какие учетные записи оказались скомпрометироваными. Оперативная реакция ЦК позволила точечно заблокировать учетные записи, не позволив атакующим ими воспользоваться.

Кейс 2

В рамках пилота системой MXDR была выявлена активность вредоносного ПО из семейства стилеров сразу на нескольких хостах заказчика. Аналитиками ЦК была оперативно инициирована изоляция хостов и проведено криминалистическое исследование. Оно установило, что в компании при настройке новых рабочих стаций использовался "золотой" образ ОС, уже содержащий в себе стилер, а функциональность ВПО активировалась при первой же пользовательской сессии.

Кейс 3

В рамках мониторинга киберугроз аналитики ЦК F.A.C.C.T. обратили внимание на схожие вредоносные архивы, обнаруженные решением MXDR сразу у нескольких пользователей в течение небольшого отрезка времени.

Автоматический анализ оперативно выдал результат о майнинговой активности и заблокировал запуск исполняемых файлов, находящихся в загруженных архивах. На рабочих станциях аналитиками ЦК была запущена встроенная в MXDR функция сбора артефактов, и их анализ позволил восстановить хронологию, а главное – вектор майнинг-атаки.

Оказалось, что пользователь искал в поиске словарь для подбора синонимов, но, перейдя по ссылке из поисковой выдачи, оказался на взломанном ресурсе: автоматически начиналась загрузка вредоносного архива, якобы содержащего необходимое обновление для браузера.

В результате работы системы MXDR атака была предотвращена, заказчику был предоставлен подробный отчет об инциденте.

Кейс 4

В рамках проактивного поиска угроз аналитиками ЦК на хостах были обнаружены отложенные задачи с именами, схожими с легитимным ПО Veeam Software. Было установлено, что такие имена ранее уже использовались для запуска вредоносного ПО с функционалом бэкдора в других сетях, но средства защиты клиента такую активность пропустили.

Криминалистический анализ данных, собранных системой MXDR, позволил установить хронологию инцидента. По применяемым техникам и инструментам, задействованным на разных этапах атаки, активность была атрибутирована как деятельность хакерской APT-группы, спонсируемой китайским государством.

В заключение

Практика показывает, что российскими компаниями уже востребованы не только услуги непрерывного мониторинга, но и оперативная реакция на обнаруживаемые атаки, причем независимо от масштаба и индустрии. Создавать подобную экспертизу, конечно, можно и самостоятельно, но на это уйдут годы и значительные ресурсы.

Cегодня на российском рынке ИБ почти нет команд, которые работают по модели MSSP, оказывая качественные услуги реагирования в рамках обнаруживаемых ими угроз. Компания F.A.C.C.T. может очень эффективно обнаруживать угрозы и реагировать на них в инфраструктуре клиента, где установлен продукт Managed XDR.

Разделение ответственности происходит таким образом, что команда на стороне заказчика занимается настройкой и совершенствованием эшелонированной обороны, а эксперты ЦК отрабатывают те инциденты, которые все-таки прошли через эту эшелонированную оборону.

ЦК F.A.C.C.T. полностью избавляет штатных сотрудников заказчика от вопросов мониторинга и реагирования: при желании они могут наблюдать, контролировать и отвечать, если потребуется, на дополнительные запросы.

 

Темы:SOCXDRF.A.C.C.T.Журнал "Информационная безопасность" №5, 2023CDC

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...