Контакты
Подписка 2026

IRP в межвузовском SOC: формат проактивной ИБ-стратегии

Илья Лорич, 03/08/23

О роли и возможностях систем автоматизации реагирования на ИБ-инциденты (IRP) на примере межвузовского центра противодействия киберугрозам (MSSP SOC) в учебных заведениях Казани.

Автор: Илья Лорич, ведущий инженер отдела информационной безопасности Innostage

Зачем это все?

Security Operations Center (SOC) – централизованное подразделение, которое отвечает за мониторинг, обнаружение, анализ и реагирование на инциденты безопасности в информационных системах и сетях компании.

Основная роль SOC заключается в предоставлении в реальном времени информации об угрозах и защите от них.

Команда сотрудников центра ведет круглосуточный мониторинг сети и систем организации, выявляя такие признаки подозрительной активности, как попытки несанкционированного доступа, заражение вредоносным ПО и прочие виды кибератак. Для этого используются различные инструменты и технологии, включая системы обнаружения и предотвращения вторжений (IDPS), системы управления информацией и событиями безопасности (SIEM), инструменты защиты конечных точек (EDR), специальные выделенные среды для исполнения компьютерных программ (Sandbox), а также инструменты автоматизации реагирования на инциденты (IRP).

Как только потенциальный инцидент обнаружен, команда SOC начинает анализировать и расследовать все его обстоятельства, чтобы определить масштабы влияния на системы и данные организации. Специалисты центра могут предпринять шаги по локализации инцидента и смягчению его последствий, например блокировать вредоносный трафик, поместить зараженные системы в карантин и применить исправления (апдейт) безопасности.

Помимо реагирования на инциденты, команда SOC играет важную роль в проактивном поиске угроз и управлении уязвимостями.

desk-female-sitting-student-bookshelf-education-799419-pxhere.com

IRP-эффект

Автоматизация рутинных задач стала заметной тенденцией в области кибербезопасности. Она освобождает сотрудников от необходимости вручную управлять процессами и позволяет им повысить эффективность работы в других областях, одновременно снижая негативное влияние человеческого фактора.

Этот тренд сформировал формат платформы реагирования на инциденты (Incident Response Platform, IRP), которая содержит все необходимое для запуска стандартной последовательности действий (плейбука), автоматически выполняя определенные шаги на различных этапах ответа на угрозу. Для различных типов инцидентов могут быть созданы индивидуальные сценарии действий.

IRP автоматизирует процессы SOC и собирает всю необходимую информацию в одном месте. С помощью IRP можно собирать данные об инцидентах, активах, организационной структуре и уязвимостях.

Это как централизованный узел или агрегатор, объединяющий команду SOC, ИБ и ИТ, а также руководство для быстрого реагирования на инциденты, эффективного контроля поверхности потенциальной компьютерной атаки и общего управления безопасностью в организации.

При должном уровне функциональности IRP и правильном подходе к использованию платформы она становится основой для работы SOC, вокруг которой формируются все остальные аспекты деятельности центра.

SOC в вузах: предпосылки

Рассмотрим кейс реализации центра операционного управления и мониторинга ИБ с применением IRP в рамках проекта межвузовского MSSP SOC. Он был "собран" на базе четырех университетов Казани – КНИТУ-КАИ, КФУ, КГЭУ и Университета Иннополис.

Исходя из опыта взаимодействия с вузами, в 90% случаев выделенной команды для обеспечения информационной безопасности в них нет. Задачи по противодействию компьютерным атакам возложены на ИТ-специалистов либо на непрофильные подразделения с подходом исполнения требований регуляторов.

Если рассматривать модели, при которых хакерам становится интересно атаковать инфраструктуру учебных заведений, то мы увидим следующие сценарии, наносящие существенный как репутационный, так и финансовый вред организациям при реализации:

  • шифрование либо другие действия, направленные на саботаж либо полную остановку процесса обучения;
  • кража персональных данных студентов и преподавателей – особенную заинтересованность у хакеров вызывают вузы, ведущие подготовку кадров для значимых в государстве отраслей (оборонная и научная отрасли);
  • кража патентов и изобретений – множество вузов занимаются разработками и инновациями, получение доступа к таким данным может нанести значительный ущерб вузу и государству.

В 2022 г. вузы часто становились жертвами атак хакеров и хактивистов, причем ИБ-обострение практически для всех известных высших учебных заведений произошло в момент начала активной работы приемных комиссий  [1]. Целями атак были веб-сервисы, позволяющие автоматизировать процессы проверки и приема абитуриентов.

Основным способом атак стал уже проверенный метод затруднения работы веб-сервисов – DDoS-атаки. Фиксировались и более сложные типы атак, например атаки через цепочки поставок с целью осуществления Deface – подмены отображаемого содержимого для пользователя.

В плоскости практики

Межвузовский SOC в Казани задумывался в качестве центра компетенций, несущего основную ответственность за информационную безопасность в университетах. При этом цель его создания подразумевала организацию SOC как части учебного процесса для организации непрерывного пополнения кадрами из числа обучающихся и повышения их компетенции.

Основой, или "ядром", межвузовского центра выступает технологическая платформа, использующая систему сбора и корреляции событий информационной безопасности Positive Technologies, а также система автоматизации реагирования на инциденты Innostage IRP.

Зачастую системы класса IRP воспринимаются как инструмент для организованных команд SOC, который позволяет улучшить/оптимизировать/автоматизировать существующие процессы SOC. И это действительно так, ведь IRP является реализацией лучших практик организации процессов SOC согласно международным и отечественным стандартам и пожеланиям заказчиков. Но на этом проекте команда SOC смогла постичь бизнес-процессы посредством дружелюбного интерфейса IRP, в котором многие методики автоматизированы. Иными словами, IRP стала платформой для обучения.

Для данного проекта была подготовлена соответствующая специфике инфраструктурная и обучающая архитектура. На площадках вузов реализованы интерфейсы доступа к платформе IRP, обеспечивающие безопасную передачу информации. Оборудование и программное обеспечение для сбора и обмена необходимой информацией между компонентами ИТ-инфраструктуры и платформой предоставляются университетам бесплатно.

При этом задача мониторинга ИБ-инцидентов SOC возложена на студентов, а реагировать на них и контролировать их действия будут преподаватели и ИТ-сотрудники вузов. Менторы Центра противодействия киберугрозам Innostage CyberART предоставляют вузам сценарии противодействия атакам. Система защиты, основанная на этих сценариях, протестирована на реальной университетской инфраструктуре, а студенты прошли обучение для распознавания аномальной и вредоносной активности. Если ситуация носит чрезвычайный характер, будут подключаться специалисты компаний, обеспечившие техническое решение SOC, – через удаленное подключение к системам центра.

Управление проектом опирается на менторинг. На сегодняшний день в межвузовском проекте реализуется контроль за обработкой инцидентов информационной безопасности со стороны внешнего и более опытного SOC, а также корректности использования IRP. Помимо постоянного менторинга, организовано четыре канала для оперативного решения возникающих проблем.

Детали под углом IRP

Внедрение IRP – это всегда адаптация под архитектуру и структуру заказчика. В этом отношении адаптация IRP в межвузовском SOC несильно отличается подходом и техническими моментами от проектов для других заказчиков.

Главная адаптация происходит на методическом уровне: были разработаны ролевые и процессные модели функционирования центра, в которых сотрудники Innostage выступают в качестве экспертов и менторов, а также плейбуки реагирования, позволяющие отрабатывать основные типы инцидентов без обширного опыта. Для интеграции IRP в процессы была разработана серия лабораторных работ, направленная на изучение функциональности системы, методов и вариантов ее использования под процессинговые модели. Помимо этого, лабораторные работы направлены на применение лучших практик мониторинга и генерацию собственных экспертных тактик реагирования, то есть лабораторные работы выступают связующим звеном между инструментами, процессами и теорией.

Учитывая специфику проекта, из случаев применения с другими ИБ-системами межвузовского SOC представлено только SIEM-направление. Сейчас благодаря интеграции с IRP система наполняется инцидентами, детектируемыми в ИТ-контурах вузов, где имеется свой SIEM-агент и своя организационная структура, что позволяет архитектурно разделить обработку инцидентов IRP в каждом из учебных заведений.

Реализован также функционал IRP, который позволяет получить технические характеристики информационных активов в качестве базы знаний для минимизации ручного труда по сбору и занесению этой информации. Данный механизм инвентаризации предоставляет дополнительный контекст об участниках инцидентов для операторов, обрабатывающих инциденты информационной безопасности.

Распределенная архитектура с использованием агентов сбора событий безопасности позволяет передавать информацию о них на центральный сервер, в наш периметр, где они проходят этап корреляции и далее поступают в IRP. Доступ осуществляется посредством веб-технологий, так как IRP для пользователя является, по сути, веб-приложением.

При этом посредством использования межсетевого экранирования предоставляется точечный доступ как сотрудникам Innostage, так и сотрудникам вузов. Взаимодействие происходит по шифрованным каналам связи.

Организация защищенной сетевой архитектуры была одной из задач реализации межвузовского SOC. Определенная специфика существует также на уровне выявления и реагирования на инциденты, возникающие в ИТ-инфраструктуре вузов.

Этап наполнения источниками событий и инвентаризацией еще идет, но особенности проекта проявляются как минимум в предоставлении пакета экспертизы правил корреляции SIEM и плейбуков реагирования на типовые инциденты, в сопровождении образовательных мероприятий, технической и организационной поддержки.

Ведущая роль методологии

Важно понимать, что в любой инфраструктуре, как правило, выделяются две причины возникновения инцидентов: неаккуратные нелегитимные действия пользователей, а также уязвимости в архитектуре и программном обеспечении ИТ и ИБ, которые являются лакомым кусочком цифрового пирога как для хактивистов, так и для хакерских группировок.

Для любого инцидента требуется точка входа – это либо человек, либо ошибка человека, допущенная и не устраненная ранее. IRP в данном контексте всего лишь инструмент, который без экспертизы и методик применения бесполезен. Однако если имеется доступ к таким источникам знаний и основным инструментам мониторинга, то IRP может выступать ключевым звеном в организации обучения и процессов мониторинга. IRP-платформа позволяет выстроить процессинг и предоставить контекст для команд реагирования.

Реализация плейбуков помогает определить и автоматизировать действия операторов для типовых инцидентов. База знаний дает возможность сохранить в удобном, читаемом виде позитивный и негативный опыт обработки инцидентов, тем самым позволяя постичь процессы SOC и обработать преимущественную часть поступающей информации.

В итоге IRP-система дает множество положительных эффектов не только для образовательного процесса, но и для процесса обеспечения комплексной безопасности вузов, таких как:

  • наглядное понимание процессов мониторинга инцидентов безопасности;
  • кратное снижение времени реагирования;
  • повышение эффективности процессов SOC/групп работы с инцидентами за счет автоматизации основных процессов (плейбуков);
  • снижение количества препятствий с целью получения значимой информации командой SOC за счет типовых плейбуков;
  • единая точка коммуникации и координации между всеми сотрудниками, задействованными в обработке инцидентов ИБ;
  • повышение осведомленности руководителей и контроля результатов деятельности SOC/групп реагирования посредством реализации автоматизированных дашбордов и рассчитываемых KPI.

  1. https://realnoevremya.ru/articles/254040-kak-vuzy-kazani-otbivayut-ddos-ataki-ili-gosuslugi-v-pomosch-vypusknikam 
Темы:SIEMSOCIRPЖурнал "Информационная безопасность" №4, 2023Образование
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Искусственный интеллект скоро начнет скрывать инциденты
    Ольга Гордеева, магистрант направления «Инноватика» ФГАОУ ВО Казанский (Приволжский) федеральный университет
    Событий в SOC становится все больше, а аналитиков больше не становится. Поэтому системы на базе ИИ уже сегодня помогают сортировать инциденты, расставлять приоритеты и отсеивать часть шума. Следующий логичный шаг – разрешить искусственному интеллекту самостоятельно закрывать часть инцидентов без участия человека. Но это значит, что система начнет решать не только на что обратить внимание аналитика, но и выбирать, что он вообще никогда не увидит.
  • Security Vision NG SOAR: SOAR, SIEM и EDR в одном флаконе
    Роман Душков, эксперт Security Vision
    Для построения SOC на продуктах Security Vision используется принцип интеграции трех ключевых компонентов: технологий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разного масштаба прозрачным, а также помогает объединить автоматизацию и СЗИ в экосистему.
  • Ценность логов NGFW рождается в SIEM
    Василий Кочканиди, аналитик RuSIEM
    NGFW – один из самых важных источников контекстных данных для SOC, но его ценность раскрывается только при глубокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анализируются в связке с другими источниками.
  • Кого Алиса воспитывает для ИБ?
    Виктор Минин, Председатель правления АРСИБ (Ассоциация руководителей служб информационной безопасности)
    Вы замечали, что большая часть образовательного контента уже давно доступна в сети? Этот массив информации используют модели искусственного интеллекта как исходные данные и выдают пользователю в сжатом и удобном виде. Проблема в том, что такой формат обучения не формирует понимания, как достигается результат.
  • Ваш SOC или наш? Как не переплатить за кибербезопасность
    Константин Хитрово, менеджер GSOC компании “Газинформсервис”
    Делать SOC самостоятельно или передавать его внешнему провайдеру – дилемма многих организаций. Найти для себя наиболее оптимальный вариант можно, сравнив бюджеты, сроки запуска, качество аналитики и долгосрочные издержки.
  • От нейтрализации атак к их предотвращению
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Сегодня компании столкнулись с системным кризисом в кибербезопасности: они в подавляющем большинстве случаев знают о критических уязвимостях на своем внешнем периметре, но не могут их оперативно устранить. Между моментом обнаружения и моментом принятия мер образуется опасное окно возможностей, которое стало основным рабочим инструментом для злоумышленников.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...