Croc

SOC «МегаФона» объединил новейшие отечественные технологии и уникальную экспертизу

SOC «МегаФона» объединил новейшие отечественные технологии и уникальную экспертизу SOC «МегаФона» объединил новейшие отечественные технологии и уникальную экспертизу SOC «МегаФона» объединил новейшие отечественные технологии и уникальную экспертизу
14.07.2022

С конца первого квартала 2022 года количество атак увеличилось почти в 9,5 раз. На ландшафте киберугроз резко выделяются безусловно DDoS-атаки и взломы веб-инфраструктуры.

oi9gbnydhvmjmv6r9gm6umwtpmrzkjg8.jpg
Директор по облачным платформам и инфраструктурным решениям «МегаФона» Александр Осипов рассказал Cyber Media, как сегодняшняя концепция SOC помогает бизнесу защитить свои ресурсы от киберпреступников.

Как показало наше исследование, 90% российских компаний подверглись кибератакам в 2021 году. В результате 38% атакованных компаний получили имиджевый или финансовый ущерб. Бизнес осознает реальность угрозы: жертвы киберпреступников в 1,5 раза чаще остальных готовы вкладываться в повышение своей информационной безопасности. Чем выше индекс цифровизации, тем больше потребность в сервисах информационной безопасности. Цифровые активы упрощают многие процессы, но, если нет полноценной защиты, они также дают хакерам возможность использовать уязвимости.

Мы видим рост спроса на комплексные решения по организации мониторинга всей инфраструктуры и реагирования на инциденты, то есть SOC (Security Operation Center). Раньше SOC считался дорогостоящим проектом только для крупных компаний, которые, как правило, не готовы отдавать эту функцию на аутсорсинг. Сегодня SOC входит в пятерку наиболее востребованных сервисов как для крупных корпораций, так и для среднего бизнеса с высокой степенью цифровизации.

Любой SOC – это технологии, команда и процессы

Технологический инструментарий SOC базируется на двух решениях – SIEM система (Security information and event management) и IRP система (Incident Response Platforms).

Задача SIEM-системы – собирать в реальном времени события информационной безопасности в инфраструктуре и анализировать их через так называемые правила корреляции. Если правило сработало, событие становится потенциальным инцидентом. SOС «МегаФона» имеет более 250 правил корреляции, по которым мы анализируем входящие события.

Наш SIEM позволяет обрабатывать большое количество запросов. Имеет эшелонированность – если инфраструктура заказчика сложная, бизнес работает в разных филиалах, то и компоненты SIEM мы распределяем в зависимости от филиалов или нагрузок. В итоге мы можем получать сложные схемы построения SOC, которые позволят распределять нагрузку как по географии, так и с учетом ширины канала или критичности сегментов инфраструктуры заказчика.

архитектура.jpeg

SIEM «МегаФона» представлен несколькими отечественными поставщиками, мы можем интегрировать его в инфраструктуру заказчика – поставить решение, развернуть и настроить. А можем предоставлять SIEM как сервис, когда мы отвечаем за это решение полностью под ключ и гарантируем качество сервиса. Единственное, что нужно клиенту - согласовывать или дополнять новые правила корреляции или новые источники событий. SIEM как услуга обогащается нашей экспертизой и облачной инфраструктурой.

Если SIEM выявила инцидент, он передается в IRP-платформу. Она классифицирует пришедшие из SIEM системы инциденты и позволяет управлять их обработкой по определенным сценариям (плейбукам).

Реагирование на инциденты информационной безопасности — это множество сценариев, каждый из которых включает большое количество этапов. Платформа IRP как раз помогает отрабатывать каждый тип инцидента по своему сценарию. Также внутри нее находится база знаний, которая постоянно пополняется и помогает при обработке схожих инцидентов.

С помощью этой системы можно гибко организовывать процессы взаимодействия как внутри команды, так и с внешними заказчиками. Создается цепочка управления инцидентом, которая растягивается вплоть до инфраструктуры заказчика. Заказчики в этой системе могут получать исчерпывающую информацию в виде отчетов или дашбордов. Отчеты могут предоставляться как по уже имеющемуся шаблону, так и по индивидуально настроенному под запросы заказчика.

Поэтому задача заказчика заключается в том, чтобы по нашим инструкциям провести определенные действия для обеспечения информационной безопасности – организовать входящую группу по реагированию, а наша экспертиза помогает им это сделать.

Другие слагаемые безопасности

Для эффективной защиты требуется наладить процесс патчменеджмента – управления обновлениями программного обеспечения. В услуге SOC есть опция – сканирование уязвимостей. Мы регулярно следим за внешним и внутренним периметром заказчика и даем рекомендации, если необходимо обновить компоненты инфраструктуры, а затем перепроверяем их выполнение.

Интеграция с нашей платформой киберразведки (Threat Intelligence) позволяет обеспечивать проактивную защиту компаний от всех типов современных киберугроз и своевременно реагировать на инциденты, которые потенциально могут нанести финансовый или репутационный вред.

В текущих реалиях периметр любой инфраструктуры сильно размыт. Яркий пример – это удаленные рабочие столы, ноутбуки и мобильные устройства.

У нас, как у оператора связи, есть весомое преимущество: мы можем в режиме реального времени получать уникальные данные по операторскому сегменту (зараженные мобильные устройства, мобильные прокси и прочие события, которые мы можем детектировать на нашей сети) и использовать эти данные в том числе и для мониторинга угроз информационной безопасности. Если мы фиксируем в инфраструктуре какие-то нестандартные паттерны поведения, в том числе на мобильной сети, можем реагировать превентивно.

SOC по запросу

В зависимости от потребностей, модули SOC могут быть развернуты как в периметре заказчика, так и предоставлены по облачной модели, если у клиента есть проблемы с выделением серверных мощностей.

Организационная структура SOC построена классическим образом – 3 линии технической поддержки, которые позволяют организовать эффективную работу 24/7.

  • Специалисты 1 линии отвечают за мониторинг и аналитику событий и инцидентов – работа по готовым сценариям.
  • Специалисты 2 линии по сценариям осуществляют техническое реагирование, сдерживание и/или ликвидацию последствий инцидента, расследование инцидентов, выявление первопричины инцидента (например, поиск злоумышленника).
  • Специалисты 3 линии работают без готовых сценариев. Кроме участия в аналитике, реагировании и расследовании, они занимаются внедрением (подключением) новых заказчиков к SOC, а также разработкой новых сценариев и правил корреляции.

В нашей команде также есть методолог и сервис-менеджер. Методолог занимается оформлением разработанных сценариев в унифицированный вид для дальнейшего использования линиями при помощи инструментов платформы SOAR (в SOC бывает и сотни и тысячи сценариев). Сервис менеджер – отвечает за проект на этапе эксплуатации.

Структура нашего SOC базируется на программных решениях лидеров рынка и собственных разработках «МегаФона». Центр сертифицирован в полном соответствии с требованиями ФСТЭК и ФСБ России. Использование отечественного ПО позволяет Центру решать задачи по обеспечению информационной безопасности не только бизнеса, но и заказчиков из госсектора.

Решения «МегаФона» позволяют блокировать как массовые, так и целевые атаки, коммерческий SOC является логическим продолжением развития этой экосистемы. Сервис может быть представлен как отдельно, так и с учетом интеграции с другими решениями МегаФона. Например, SOC может стать одной из базовых услуг для клиентов, которые развернули свою инфраструктуру в «МегаФон Облаке». Услугами SOC уже начали пользоваться ряд крупных государственных и корпоративных заказчиков.


Читайте также


Комментарии 0