24/11/23
Автопилот для результативной кибербезопасности MaxPatrol O2, разработанный Positive Technologies, теперь позволяет в 30–50 раз[i] повысить эффективность команд мониторинга и реагирования в центрах противодействия киберугрозам. На Moscow Hacking Week компания также представила раннюю версию своего второго метапродукта — MaxPatrol Carbon. Продукт понимает, как злоумышленник будет атаковать конкретную компанию, и формирует практические рекомендации для подготовки инфраструктуры к отражению атаки.
Метапродукты — это новое поколение решений Positive Technologies для достижения результативной кибербезопасности. Они оперируют не функциями, как классические решения для ИБ, а терминами завершенного процесса с конкретным результатом, обеспечивая комплексную автоматизированную защиту с минимальным участием человека.
MaxPatrol O2 автоматически обнаруживает хакера, определяет захваченные им ресурсы, прогнозирует сценарий развития атаки с учетом недопустимых[ii] для компании событий и останавливает атаку до того, как организации будет нанесен непоправимый ущерб. В ходе пилотирования и промышленных внедрений продукта в течение года были получены следующие результаты:
- при использовании MaxPatrol O2 эффективность работы аналитиков по обнаружению, расследованию и реагированию на инциденты повышается в 30–50 раз;
- благодаря метапродукту, SOC[iii] теперь охватывает 100% регистрируемых оповещений классических средств защиты;
- полчаса-час в неделю тратят специалисты SOC на обработку подозрительной активности для инфраструктуры размером до 2 тыс. активов[iv] (в случае применения только классических средств защиты без MaxPatrol O2 на эту задачу требуется около 64 человеко-часов в неделю);
- меньше чем за минуту MaxPatrol O2 формирует и выполняет сценарий реагирования, позволяющий вовремя остановить хакера[v].
Сегодня десять «пилотов» MaxPatrol O2 находятся в работе, два уже завершены.
Еще 30 компаний рассматривают возможность начать подготовку к внедрению метапродукта в следующем году: нужно определить недопустимые события, сопоставить их с инфраструктурой, зафиксировав критически важные системы и возможные сценарии их компрометации, провести аудит инфраструктуры, усилить ее защиту и мониторинг.
Чтобы помочь своим клиентам подготовить инфраструктуру к отражению кибератак, Positive Technologies представила раннюю версию своего второго метапродукта — MaxPatrol Carbon. Для каждого недопустимого события, список которых топ-менеджмент компании определяет сам, MaxPatrol Carbon моделирует угрозы на основе знания тактик, техник и инструментов злоумышленников. Кроме этого, для расчета потенциальных угроз метапродукт использует данные сетевой топологии, учитывает ошибки конфигурации сервисов, избыточные привилегии пользователей и сведения об уязвимостях на активах, поступающие с MaxPatrol SIEM (системы мониторинга событий ИБ и управления инцидентами), MaxPatrol VM (системы управления уязвимостями) и MaxPatrol HCC (модуля для автоматизированной проверки узлов сети на соответствие стандартам безопасности).
После этого MaxPatrol Carbon составляет полный перечень возможных действий хакера и выделяет все сценарии, выполнение которых может привести к недопустимым событиям. Для аналитика SOC по каждому сценарию метапродукт формирует в веб-интерфейсе практические рекомендации в виде списка действий. Специалисту остается лишь учесть их в своей работе, чтобы исключить потенциальные маршруты атаки или максимально усложнить их для злоумышленника.
Выполнение рекомендаций MaxPatrol Carbon также помогает повысить безопасность потенциальных маршрутов атаки за счет контроля актуальности данных о целевых и ключевых информационных системах, а также поступающих с них событий.
«Метапродукты меняют концепцию защиты от кибератак и помогают компаниям обеспечить результативную кибербезопасность. MaxPatrol O2 — единственный автопилот в мире ИБ. Он помогает топ-менеджменту избавиться от головной боли, связанной с защитой бизнеса от киберрисков. Выполняя непрерывный мониторинг всей инфраструктуры компании на предмет нелегитимной активности, он локализует ее до того, как бизнесу будет нанесен непоправимый ущерб. MaxPatrol O2 уже продемонстрировал свою эффективность в сельскохозяйственных и промышленных компаниях, государственных предприятиях и медиа, — комментирует Михаил Стюгин, руководитель направления автоматизации ИБ, Positive Technologies. — В свою очередь, MaxPatrol Carbon поможет увидеть слабые места инфраструктуры и своевременно устранить их, не оставив злоумышленникам ни единого шанса реализовать недопустимые события».
[i] Эффект зависит от сложности атаки, которую бы выявлял SOC без MaxPartolО2:
– если во время атаки не требовалось трудоемкого ручного расследования, то эффективность по сравнению с SOC без MaxPartol O2 будет в 30 раз выше;
– если атака была сложной и долгой, эффективность по сравнению с SOC без MaxPartol О2 будет выше в 50 раз.
[ii] Недопустимые события — события, делающие невозможным достижение операционных и (или) стратегических целей компании или приводящие к значительному нарушению ее основной деятельности в результате кибератаки.
[iii] SOC — security operations center, центр мониторинга ИБ и реагирования на инциденты.
[iv] Актив — информационная система или узел (компьютер, сервер и пр.), имеющие ценность для компании и подлежащие защите от киберугроз.
[v] Если настроено автоматическое реагирование. Помимо автоматического реагирования, предусмотрен полуавтоматический режим, когда оператор верифицирует цепочку активности хакера и соглашается с предложенным сценарием реагирования либо корректирует его.
