«Ростелеком» трансформирует уникальный опыт в новые коммерческие сервисы Solar JSOC
Компания «Ростелеком-Солар», дочерняя структура «Ростелекома», объявила о трансформации своего коммерческого Security Operations Center – Solar JSOC – в комплексный центр противодействия кибератакам. Он обеспечивает защиту от хакерских группировок с квалификацией вплоть до уровня иностранных спецслужб.
Базируясь на успешном опыте противодействия таким атакам, «Ростелеком» сформировал новый набор сервисов для доставки накопленной уникальной экспертизы в организации, чья кибербезопасность имеет стратегическое значение для страны – в том числе федеральные органы исполнительной власти и субъекты критической информационной инфраструктуры России.
Трансформация Solar JSOC стала ответом на изменения в цифровом пространстве. В 2020 году было зафиксировано более 200 хакерских атак со стороны высокопрофессиональных кибергруппировок, включая массовые попытки воздействия на целые отрасли и секторы экономики, крупные госструктуры, значимые объекты КИИ. Также НКЦКИ отмечает, что рост числа высокопрофессиональных атак на органы исполнительной власти за прошлый год составил более 40%.
«Действия наиболее профессиональных группировок невозможно обнаружить с помощью инструментов и экспертизы стандартных центров мониторинга, которые преобладают на российском рынке. Поэтому для полноценного противодействия наиболее профессиональным злоумышленникам мы сформировали самое современное сервисное предложение. Оно реализуется не только за счет уникальной экспертизы, но и объема технологий, на базе которого предоставляется каждый из сервисов Solar JSOC», — отметил Игорь Ляпунов, вице-президент «Ростелекома» по информационной безопасности.
При определении набора сервисов кибербезопасности, необходимых для каждого конкретного объекта, учитываются релевантный для его отрасли уровень нарушителя, векторы наиболее опасных и высоковероятных атак, а также многие другие параметры. Все они сформированы на базе многолетнего опыта защиты компаний различного масштаба и сфер деятельности – от банковского до промышленного сектора.
При трансформации Solar JSOC сервисы по анализу угроз внешней обстановки, контролю защищенности, мониторингу, реагированию и расследованию инцидентов информационной безопасности были выведены на принципиально новый уровень. Изменения коснулись и вариантов предоставления услуг: помимо классического аутсорсинга информационной безопасности, стали доступны гибридные или полностью отчуждаемые модели центров мониторинга. Один из таких вариантов – построение в организациях внутреннего SOC с дальнейшим обучением его команды, а также консалтингом в вопросах мониторинга и реагирования на киберугрозы.
База индикаторов и знаний о новых угрозах (Threat Intelligence) Solar JSOC теперь обогащается уникальными данными, которые собираются в процессе «охоты» на угрозы (Threat Hunting) с системы сенсоров и ханипотов, развернутых на инфраструктуре «Ростелекома». Помимо этого, она постоянно пополняется за счет данных из коммерческих подписок, открытых источников, информационных обменов с регуляторами и различными CERT. А также результатов анализа инцидентов в инфраструктурах более 140 ключевых российских организаций – клиентов Solar JSOC. Это обеспечивает не только полноту, но и максимально достижимую скорость закрытия новых векторов кибератак.
Классические сервисы по контролю защищенности были дополнены услугой проверки реальной готовности к отражению кибератак Red Teaming. Она позволяет протестировать используемые процессы и технологии защиты, а также обучить ИБ-команду в «боевых» условиях. Услуга предоставляется в формате как тайных киберопераций, так и открытых киберучений, и непрерывно обогащается данными о самых актуальных векторах атак от Solar JSOC CERT и Национального киберполигона. Благодаря этому Red Teaming Solar JSOC проводится с учетом отраслевой специфики – имитируются техники и тактики релевантных кибергруппировок, используются наиболее вероятные векторы атак.
Чтобы успешно выявлять попытки скрытных атак со стороны высокопрофессиональных группировок, процесс мониторинга должен быть основан на широком стеке технологий. Сервис мониторинга Solar JSOC, помимо стандартных инструментов SIEM, базируется на данных от систем анализа сетевого трафика (NTA) и событий ИБ на конечных точках сети (EDR). Это избавляет компании от «слепых пятен» в общей картине защищенности организации и обеспечивает выявление сложных кибератаки на самой ранней стадии.
В дополнение к этому в Solar JSOC используется решение класса Incident Response Platform (IRP), которое помогает автоматизировать процессы реагирования на стороне клиента – одно из ключевых слагаемых успеха при противодействии развивающейся атаке.
Усовершенствованные сервисы по расследованию и ликвидации последствий атак реализуются с привлечением экспертов Solar JSOC CERT и предоставляются в двух вариантах: классический Incident Response для простых и явных атак и глубинное техническое расследование (Digital Forensics), основанное на уникальном накопленном опыте противодействия таргетированным атакам, — если речь идет о долгих и скрытых атаках, захвате контроля над инфраструктурой организации. Во втором случае эксперты не просто расследуют инцидент и устраняют его последствия, но и собирают цифровые доказательства максимально незаметно для киберпреступников, чтобы не спровоцировать их на немедленную реализацию деструктивных воздействий.
Все сервисы и услуги Solar JSOC функционируют как единая экосистема, в которой ведется постоянный обмен информацией о киберугрозах и обогащение сценариев выявления и противодействия кибератакам. Проработанный подход позволяет создать оптимальную экономически обоснованную систему защиты для любой организации, опираясь на актуальный для нее тип киберугроз.