Контакты
Подписка 2025

О роли SOC, EDR и XDR на пути к оптимальной безопасности

Артем Кириллин, 05/12/24

Артем Кириллин, заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE, рассказал о том, какие технологии обеспечивают высокую эффективность SOC, как выбрать провайдера (MSSP) и правда ли, что будущее за XDR.

BI.ZONE является одним из ключевых игроков на российском рынке SOC и помогает компаниям обеспечивать безопасность с 2016 г. Сервис по мониторингу и реагированию на инциденты BI.ZONE TDR обрабатывает более 250 тыс. "сырых" событий кибербезопасности в секунду. В результате срабатывания правил корреляции эти события ежемесячно генерируют около 26 тыс. алертов – подозрений на инциденты, обрабатываемых специалистами.

ris2-Dec-05-2024-10-22-17-1825-AM

– Артем, начнем с фундаментального вопроса. Что посоветуете – строить свой собственный SOC или подключаться к MSSP? Как сделать этот выбор [1]?

– Создание собственного SOC требует большого количества высококвалифицированных специалистов по кибербезопасности, которые должны не просто владеть методологией, но и хорошо знать ландшафт угроз, актуальных для конкретной отрасли, страны, региона.

Таких специалистов на рынке труда не хватает, поэтому многие компании выбирают подключение к коммерческому SOC. Чтобы работа с провайдером была эффективной, важно еще на этапе планирования сотрудничества ответить на несколько вопросов.

Во-первых, необходимо определиться с перечнем функций, которые будет выполнять MSSP. Тут возможны разные варианты. Например, сервис BI.ZONE TDR можно использовать не только в рамках выявления и анализа инцидентов 24 часа в сутки, но и в контексте активного реагирования на конечных устройствах (посредством решения BI.ZONE EDR), реагирования на средствах защиты информации (с помощью эксплуатации СЗИ), а также путем взаимодействия c НКЦКИ в качестве сертифицированного центра ГосСОПКА и т.д.

Во-вторых, следует оценить текущие ресурсы – количество сотрудников, которые будут взаимодействовать с внешним SOC и выполнять его рекомендации, а также уровень компетенций этих специалистов. На этом же этапе нужно понять, какие функции вы планируете оставить внутри компании, а какие – передать провайдеру.

Если хотите создать собственный SOC, обеспечив при этом должный уровень безопасности в переходный период, то есть решения, которые позволяют бесшовно перейти от MSSP к собственному центру мониторинга без потери качества. Например, BI.ZONE в течение переходного периода предлагает вариант подключения к сервису BI.ZONE TDR с обучением сотрудников и дальнейшей миграцией функций и технологий в собственный SOC заказчика. В этом случае нужно определить схему размещения технологической платформы SOC, а также длительность использования функций провайдера.

– Как выбрать подходящего MSSP-провайдера?

– Провайдер должен определить актуальный ландшафт угроз для компании, чтобы правильно приоритизировать подключение источников событий и подобрать необходимый инструментарий SOC. У MSSP должны быть собственные компетенции по цифровой криминалистике и реагированию на инциденты (DFIR), а также подразделение исследования киберугроз. Кроме того, провайдер должен иметь грамотно выстроенную детектирующую логику для разработки актуальных правил корреляции, YARA-правил, набора сигнатур и т.д.

Второй принципиальный вопрос: что именно входит в состав технологической платформы SOC MSSP, на какую инфраструктуру он ориентирован? Технологическая платформа SOC может состоять из решений различных вендоров, ПО с открытым исходным кодом или продуктов собственной разработки. В первом случае возникает зависимость от продуктов стороннего вендора, а MSSP не может вносить в них низкоуровневые изменения. Во втором случае вы получаете узкоспециализированную платформу, для которой смена команды может оказаться серьезным препятствием для дальнейшей поддержки и развития.

Оптимальным является подход, при котором MSSP использует собственные коммерческие продукты на своей платформе, что позволяет ему быть для заказчика единой точкой входа. При оказании услуг по мониторингу и реагированию провайдер при необходимости может без потери качества обеспечить миграцию собственных решений в инфраструктуру заказчика, предоставив поддержку, в том числе и по этим продуктам.

Технологическая платформа SOC, которая используется в сервисе BI.ZONE TDR, состоит из коммерческих продуктов собственной разработки. Если потребности заказчика в какой-то момент изменятся, то все решения могут быть перенесены в его инфраструктуру.

– Какие технологические возможности сервиса BI.ZONE TDR можно выделить?

– Наш сервис показывает наибольшую эффективность при использовании современных средств мониторинга. Это агенты BI.ZONE EDR на конечных точках, а также подключенные к SIEM наиболее приоритетные источники событий кибербезопасности.

С точки зрения EDR наше преимущество в том, что сервис выполняет периодический анализ в режиме инвентаризации всей подключенной инфраструктуры, чтобы выявлять возможные мисконфигурации. Клиенты получают еженедельный отчет и рекомендации, как повысить уровень защищенности. Об этом мы подробно рассказываем в статье "Threat Prediction: превентивная работа с угрозами в BI.ZONE TDR" [2]. В рамках сервиса мы также предоставляем заказчикам доступ к консоли EDR для самостоятельного решения собственных задач.

Отдельно хотелось бы остановиться на модуле Deception [3] и возможностях, которые он дает для обнаружения злоумышленников на ранних этапах атаки. Deception позволяет создавать подложные объекты-приманки, которые неотличимы от реальных объектов инфраструктуры заказчика как на конечных точках, так и в домене Active Directory. Приманка привлекает внимание злоумышленника, поскольку представляет собой потенциально полезную для развития атаки информацию. BI.ZONE EDR фиксирует как попытки обращения к приманке, так и попытки использования учетных записей из приманок для доступа к ресурсам корпоративной сети или аутентификации в Active Directory. Таким образом, преступник попадает в ловушку, и мы обнаруживаем его на раннем этапе – до начала перемещений внутри сети.

– Можно ли осуществлять мониторинг без доступа EDR-агентов в Интернет?

– Да, такая возможность есть. Для этого разработана схема подключения с возможными модификациями в зависимости от конкретного клиента и его особенностей. В рамках сервиса всегда используется продукт BI.ZONE Secure SD-WAN, который недавно получил сертификат ФСБ России. Но возможны и альтернативные способы подключения для государственных заказчиков или заказчиков с особым регулированием (PSI DSS, ГИС К1 и др.).

У нас есть сертифицированная зона ГИС К1 и PCI DSS, а также возможность подключать заказчиков с использованием сертифицированных ФСТЭК России средств защиты и с шифрованием каналов связи по ГОСТ 28147-89.

Источником соединения в таких случаях всегда является сам закрытый сегмент, мы не можем инициировать подключение со своей стороны. Это делает процесс безопасным, поскольку заказчику не нужно прописывать входящие соединения – только исходящие соединения с SOC с минимизированными протоколами, и все они при этом шифруются. Взаимодействие с EDR-сервером происходит по защищенному каналу.

– Каким образом BI.ZONE TDR помогает ускорить реакцию со стороны заказчиков?

– Во-первых, именно на ускорение принятия решений по инцидентам в конечном счете нацелена работа ML-аналитиков. Инциденты обогащаются максимальным объемом информации, чтобы у заказчика была полная и репрезентативная картина происходящего.

Во-вторых, в BI.ZONE TDR есть сервис автоматического уведомления о наиболее достоверных юзкейсах. Это означает, что инциденты с типовыми рекомендациями регистрируются автоматически. По желанию заказчик может настроить сервис так, чтобы не только получать уведомления об инцидентах, но и сразу осуществлять автоматическое реагирование средствами EDR.

Мы разработали специальный TDR-бот в Телеграм. Его цель – дать заказчику доступ к возможностям TDR со смартфона (получать уведомления, задавать вопросы, создавать задачи и т.д.). В Телеграм создается чат с заказчиком, туда добавляют сотрудников, которые отвечают за реагирование. Они должны специальным образом авторизоваться на портале, чтобы получать в чате уведомления об инцидентах. Для каждого уведомления в боте есть кнопки: "Взять в работу", "Написать комментарий", "Посмотреть карточку инцидента".

Телеграм-бот будет особенно полезен при внедрении функциональности SOAR, которую мы сейчас активно развиваем и планируем предоставлять в рамках наших сервисов.

– Набирают популярность системы XDR для расширенного обнаружения и реагирования на сложные угрозы и целевые атаки. Что сейчас представляет собой XDR от BI.ZONE и как он будет выглядеть в будущем?

– XDR – история про то, что с помощью других сервисов кибербезопасности мы можем выявить инцидент, получив богатый контекст для принятия решения. То есть мы получаем максимально полную информацию об инциденте, что дает нам возможность активного реагирования в различных сервисах и продуктах BI.ZONE.

Допустим, у нас есть подозрение на инцидент, например попытка эксплуатации уязвимости на хосте, который находится на периметре. Из BI.ZONE CPT (решения для контроля внешней инфраструктуры и управления поверхностью атаки) мы получаем информацию обо всех имеющихся уязвимостях. С помощью BI.ZONE WAF и BI.ZONE Secure SD-WAN определяем, откуда идет атака. Так, погружаясь в контекст при помощи разных инструментов, мы получаем целую цепочку событий и настраиваем политики защиты в BI.ZONE WAF и BI.ZONE Secure SD-WAN.

Наше представление об XDR строится на двух принципах. Во-первых, в XDR мы видим прообраз унифицированной платформы кибербезопасности, реализующей принцип Cyber Security Mesh Architecture. Во-вторых, на базе XDR мы планируем воплощать в жизнь метацель – создание автономной платформы кибербезопасности, способной защитить организацию без участия человека, но под его контролем.

Система XDR должна обеспечивать ряд ключевых возможностей:

  • унифицированное обнаружение и реагирование в гетерогенных средах (on-prem, cloud и mobile);
  • покрытие доменов Endpoint, Network, Identity, Cloud, Containers, а также автоматизированное и автоматическое реагирование во всех доменах;
  • автоматическое восстановление хронологии атак и выявление корневых причин. Важным преимуществом системы XDR может стать ее открытость: возможность интегрировать в один клик решения BI.ZONE и сторонних вендоров, а также инфраструктурные сервисы. И конечно, XDR-платформа и полноценные SIEM и SOAR должны быть объединены в одном продукте.

Необходимость противостоять сложным целевым атакам приводит к тому, что все больше компаний внедряют у себя мониторинг событий кибербезопасности. Мы предлагаем комплексные решения для защиты ИТ-инфраструктуры компании, которые позволяют не только обеспечить регулярный мониторинг и реагирование на инциденты, но и адаптировать продукты под потребности бизнеса.


  1. https://bi.zone/catalog/services/soc-consulting/ 
  2. https://bi.zone/expertise/blog/threat-prediction-preventivnaya-rabota-s-ugrozami-v-bi-zone-tdr/ 
  3. https://bi.zone/news/bi-zone-rasshirila-funktsionalnost-bi-zone-edr/ 

Реклама. ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjefdxvf

Темы:ИнтервьюSOCBI.ZoneEDRMSSPЖурнал "Информационная безопасность" №5, 2024

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • XDR-центричный подход для SOC
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Основная цель современного SOC – не только своевременно выявить угрозу, но и нейтрализовать ее до момента реализации. В контексте работы аналитиков SOC возможности XDR (Extended Detection and Response) можно условно разделить на две взаимосвязанные составляющие.
  • Как технологии EDR помогают SOC: теория и практика
    Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.
  • Makves делает ставку на сервис высокого уровня
    Дмитрий Петушков, директор по развитию Makves
    Дмитрий Петушков, директор по развитию Makves (входит в группу компаний “Гарда”) рассказал о том, как выбрать эффективное ИБ-решение в условиях технологического паритета и на что стоит обратить внимание при выборе системы класса DCAP.
  • Большое видится на расстоянии: проблемы мониторинга систем информационной безопасности
    Максим Ефремов, заместитель генерального директора по информационной безопасности, “ИТ-Экспертиза”
    Сейчас на рынке вендоры и интеграторы предлагают различные системы для мониторинга. Разобраться в этом сонме не просто; требуется определенная квалификация, чтобы не запутаться и выбрать то, что надо.
  • Стать ИБ-аналитиком: Анастасия Ершова об обучении, услуге ИБ-аутсорсинга, задачах и препятствиях на пути к цели
    Анастасия Ершова, Аналитик информационной безопасности "Джи-Эс-Ти" (GST)
    Аналитик информационной безопасности «Джи-Эс-Ти» (GST) Анастасия Ершова рассказала, почему выбрала для работы направление ИБ-аутсорсинга, когда работа с заказчиками приносит максимальный результат и какие задачи ей приходится решать ежедневно – от рутинных дел до экстренных ситуаций.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...