Трансформация Solar JSOC «Ростелекома»
Компания «Ростелеком-Солар», дочерняя структура «Ростелекома», объявила о трансформации своего коммерческого Security Operations Center (Solar JSOC) в комплексный центр противодействия кибератакам, обеспечивающий защиту от хакерских группировок с квалификацией вплоть до уровня иностранных спецслужб. На базе своего опыта противодействия таким атакам «Ростелеком» сформировал новый набор сервисов для доставки накопленной экспертизы в организации, чья кибербезопасность имеет стратегическое значение для страны, в том числе федеральные органы исполнительной власти и субъекты КИИ.
Трансформация Solar JSOC, поясняют в компании, стала ответом на изменения в цифровом пространстве. В 2020 г. было зафиксировано более 200 хакерских атак со стороны высокопрофессиональных кибергруппировок, включая массовые попытки воздействия на целые отрасли и секторы экономики, крупные госструктуры, значимые объекты КИИ. Кроме того, по данным НКЦКИ, число высокопрофессиональных атак на органы исполнительной власти за прошлый год выросло более чем на 40%. Действия наиболее профессиональных группировок, подчеркивают в «Ростелекоме», невозможно обнаружить с помощью инструментов и экспертизы стандартных центров мониторинга, которые преобладают на российском рынке. При определении набора сервисов кибербезопасности, необходимых для каждого конкретного заказчика, учитываются релевантный для его отрасли уровень нарушителя, векторы наиболее опасных и высоковероятных атак, другие параметры.
В рамках трансформации Solar JSOC сервисы по анализу угроз внешней обстановки, контролю защищенности, мониторингу, реагированию и расследованию инцидентов информационной безопасности были выведены на новый уровень. Изменения коснулись и вариантов предоставления услуг: помимо классического аутсорсинга ИБ, заказчикам стали доступны гибридные или полностью отчуждаемые модели центров мониторинга. Один из таких вариантов – построение в организациях внутреннего SOC с дальнейшим обучением его команды, а также консалтингом в вопросах мониторинга и реагирования на киберугрозы.
База индикаторов и знаний о новых угрозах (Threat Intelligence) Solar JSOC теперь обогащается уникальными данными, которые собираются в рамках процесса «охоты» на угрозы (Threat Hunting) с системы сенсоров и ханипотов, развернутых на инфраструктуре «Ростелекома». Помимо этого, база постоянно пополняется за счет данных из коммерческих подписок, открытых источников, информационных обменов с регуляторами и различными CERT, а также результатов анализа инцидентов в инфраструктурах российских организаций – клиентов Solar JSOC.
Классические сервисы контроля защищенности дополнены услугой проверки реальной готовности к отражению кибератак Red Teaming. Она позволяет заказчикам протестировать используемые процессы и технологии защиты, а также обучить свою ИБ-команду в «боевых условиях». Услуга предоставляется в формате как тайных киберопераций, так и открытых киберучений, и постоянно обогащается данными о самых актуальных векторах атак от Solar JSOC CERT и Национального киберполигона. Благодаря этому Red Teaming Solar JSOC проводится с учетом отраслевой специфики – имитируются техники и тактики релевантных кибергруппировок, используются наиболее вероятные вектора атак.
Чтобы выявлять попытки скрытных атак со стороны высокопрофессиональных группировок, процесс мониторинга должен быть основан на широком стеке технологий. Сервис мониторинга Solar JSOC, помимо стандартных инструментов SIEM, базируется на данных от систем анализа сетевого трафика (NTA) и событий ИБ на конечных точках сети (EDR). Как подчеркивают в Solar JSOC, это избавляет компании от «слепых пятен» в общей картине защищенности организации и обеспечивает выявление сложных кибератак на самой ранней стадии. В дополнение к этому в Solar JSOC используется решение класса Incident Response Platform (IRP), которое помогает автоматизировать процессы реагирования на стороне заказчика.
Усовершенствованные сервисы по расследованию и ликвидации последствий атак реализуются с привлечением экспертов Solar JSOC CERT и предоставляются в двух вариантах: классический Incident Response для простых и явных атак и глубинное техническое расследование (Digital Forensics), основанное на уникальном накопленном опыте противодействия таргетированным атакам, если речь идет о долгих и скрытых атаках, захвате контроля над инфраструктурой организации. Во втором случае эксперты не просто расследуют инцидент и устраняют его последствия, но и собирают цифровые доказательства максимально незаметно для киберпреступников, чтобы не спровоцировать их на немедленную реализацию деструктивных воздействий.
Все сервисы и услуги Solar JSOC функционируют как единая экосистема, в рамках которой ведется постоянный обмен информацией о киберугрозах и обогащение сценариев выявления и противодействия кибератакам. Такой подход позволяет создавать оптимальную экономически обоснованную систему защиты для различных организаций, опираясь на актуальный для них тип киберугроз.