Роман Семенов, Ростелеком: Если сотрудники не развиваются, то SOC превращается в обычную диспетчерскую службу

В условиях стремительной цифровизации и роста зависимости общества от телекоммуникационных сервисов вопросы кибербезопасности выходят за рамки ИТ-подразделений — они становятся критически важными для устойчивости всей инфраструктуры страны. Особенно остро это ощущается в масштабах крупнейшего оператора связи, где миллионы пользователей и сотни тысяч сетевых устройств создают уникальные вызовы для защиты информации. Роман Семенов, директор департамента мониторинга и реагирования на киберугрозы блока информационной безопасности «Ростелекома», в интервью Cyber Media рассказал, как крупнейший в России интегрированный провайдер цифровых услуг и решений строит работу центра мониторинга информационной безопасности (Security Operations Center), справляется с новыми угрозами и готовит специалистов для защиты сети.

Cyber Media: Расскажите, как устроена архитектура Security Operations Center (SOC) в Ростелекоме, и как организован процесс обработки киберинцидентов: от момента обнаружения до этапа устранения угрозы?

Роман Семенов: В «Ростелекоме» принята концепция разделения событий на подозрения на инциденты и инциденты. До момента верификации любой потенциальный инцидент квалифицируется как подозрение.

Архитектура SOC «Ростелекома» построена по классической модели, которая включает в себя несколько эшелонов мониторинга, команду специалистов по компьютерной криминалистике (форензике), технических экспертов и комплекс средств анализа и реагирования. Первые шаги по созданию SOC были предприняты еще до 2018 года, когда выбор технологических решений определялся масштабом инфраструктуры компании, охватывающей миллионы километров линий связи и сотни тысяч сетевых устройств по всей территории России.

В настоящее время центр мониторинга информационной безопасности «Ростелекома» функционирует в режиме круглосуточного дежурства команд форензиков и технических специалистов. Ядром SOC является многоуровневая система обнаружения угроз и SOAR-платформа для автоматизации реагирования на инциденты.

Cyber Media: Какие решения SIEM, EDR/XDR и корреляции событий используются в SOC «Ростелекома»? Как вы адаптируете правила детектирования под специфику телеком-инфраструктуры?

Роман Семенов: В основе архитектуры SOC лежит одно из ведущих SIEM-решений, представленных на российском рынке. Над ним реализован проприетарный уровень агрегации и корреляции событий, а также платформа SOAR для автоматизации процессов реагирования на инциденты. Инвентаризационные данные компании интегрированы в SOAR для обогащения контекста инцидентов, что позволяет повысить точность и скорость их обработки и расследования.

SOC использует данные, получаемые от EDR-систем, средств защиты информации, а также других источников телеметрии и журналов событий. Архитектурно SOC соответствует классической модели, однако обладает рядом особенностей, которые обусловлены масштабом и спецификой деятельности компании. Он работает и как внутренний центр безопасности, и как провайдер управляемых услуг безопасности — MSSP (Managed Security Service Provider). При этом SOC обеспечивает обслуживание, адаптацию и расширение функциональности SIEM-систем, принадлежащих ряду партнеров, путем добавления собственных правил корреляции.

В течение последних полутора лет мы несколько раз пересматривали подход к сбору телеметрии

Правила детектирования угроз разрабатываются исключительно собственными силами. Масштаб компании, децентрализованная структура и региональные особенности делают применение универсальных коробочных решений неэффективным. Такие продукты в данном случае не способны обеспечить должный уровень защиты. «Ростелеком» располагает десятками территориально распределенных филиалов, функционирующих в различных режимах. SOC должен оперативно адаптироваться к этим изменениям, обеспечивая единый уровень защиты на всей территории страны.

Несмотря на региональную распределенность, все центры SOC функционируют в соответствии с едиными стандартами. Бесперебойная работа обеспечивается за счет использования географически распределенных дата-центров «Ростелекома». Агентские модули и краулеры, отвечающие за сбор телеметрии, развернуты в каждом дата-центре, что обеспечивает целостность и согласованность инфраструктуры SOC на всей территории России.

Cyber Media: Какие процессы в SOC удалось автоматизировать через SOAR? Используете ли машинное обучение для анализа угроз, и как дообучаете модели под новые тактики злоумышленников?

Роман Семенов: В SOC действительно применяют машинное обучение, но пока в ограниченном объеме. Используется ML-движок, который встроен в платформу SOAR.

Мы считаем, что небезопасно передавать данные в AI-системы за пределами собственной инфраструктуры. Конечно, инженеры SOC экспериментируют с машинным обучением, но эти проекты не предназначены для обработки больших данных, с которыми работает центр мониторинга информационной безопасности «Ростелекома».

В первую очередь, мы автоматизировали рутинные процессы и создали плейбуки для типовых инцидентов, где возможна безрисковая реакция без участия человека. Например, при обнаружении единичного случая вирусного заражения система автоматически блокирует или изолирует зараженный компьютер (хост), отправляет уведомление администратору и регистрирует инцидент.

Но автоматизация не может заменить человека во всех случаях. Иногда требуется участие эксперта. Он должен принять решение о том, безопасно ли применять те или иные меры. Например, автоматическая изоляция подходит для обычного компьютера пользователя. Но ее нельзя применять к магистральному маршрутизатору, от которого зависит связь целого региона.

Автоматизация — важная задача для SOC. Без нее невозможно эффективно управлять такой большой инфраструктурой и множеством SIEM-систем. В SOC есть команда, которая занимается автоматизацией на платформе SOAR. Они постоянно работают над расширением списка задач и сценариев, которые могут выполняться автоматически, без участия человека.

Cyber Media: Как вы справляетесь с большими объемами телеметрии в масштабах «Ростелекома»? Какие методы фильтрации и приоритизации инцидентов доказали свою эффективность?

Роман Семенов: Мы используем принцип «не вся телеметрия одинаково полезна». Компании не нужны все данные подряд.

В течение последних полутора лет мы несколько раз пересматривали подход к сбору телеметрии. Раньше система забирала абсолютно все данные с хостов. Это приводило к огромным объемам поступающей в SOC информации. Поэтому наша главная цель — определить, какие события действительно полезны для выявления и расследования инцидентов.

Мы оптимизировали сбор данных с конечных точек (хостов) и изменили логику аудита телеметрии. Были введены строгие ограничения на типы событий, которые хосты могут отправлять в SOC. Это позволило в несколько раз сократить объем событий в секунду (EPS). Теперь SOC получает только данные, имеющие аналитическую ценность, а не весь поток необработанной информации.

Cyber Media: Можете привести примеры сложных инцидентов, которые вам пришлось расследовать? Какие тактики злоумышленников оказались наиболее сложными для защиты?

Роман Семенов: Основная часть инцидентов обусловлена человеческим фактором: фишинг, переходы по вредоносным ссылкам, неосторожные действия сотрудников. Такие случаи составляют около 90% от общего числа, что вполне закономерно для компаний с большим количеством сотрудников.

С 2022 года наблюдается изменение вектора киберугроз, в связи с геополитической ситуацией. Если ранее основными типами атак на телекоммуникационную инфраструктуру были программы-вымогатели и массовые фишинговые рассылки, то сейчас все чаще фиксируется применение целевого вредоносного ПО. Злоумышленники разрабатывают специализированные инструменты, предназначенные для атак на конкретное оборудование или с учетом особенностей инфраструктуры конкретных операторов связи.

Отмечено увеличение случаев использования общедоступных эксплойтов. В целом, атаки становятся сложнее и разнообразнее, хотя их общее количество несколько снизилось. Например, уменьшилась доля DDoS-атак (с более чем трети до 27-28%). Однако характер DDoS-атак изменился: злоумышленники перешли от массовых атак на полосу пропускания к точечным атакам на конкретное оборудование. В ряде случаев для вывода из строя магистрального маршрутизатора достаточно короткой атаки с использованием небольших по объему пакетов данных.

Пиковая мощность зафиксированных DDoS-атак в 2025 году достигала 1300 Гбит/с. Средняя продолжительность атак сократилась до 25 минут (ранее атаки могли продолжаться несколько часов). Наряду с коммерческими ботнет-сетями, предлагающими услуги DDoS-атак, появились собственные ботнеты, созданные отдельными киберпреступными группировками.

Особую сложность представляют атаки, которые осуществляются через поставщиков услуг и подрядчиков. Злоумышленники атакуют легитимные сервисы и организации, у которых есть доступ к инфраструктуре компании. Несмотря на строгие требования к информационной безопасности, предъявляемые к поставщикам, не все из них способны обеспечить надлежащий уровень защиты из-за недостатка компетенций, ресурсов или недостаточного внимания к вопросам кибербезопасности. Это создает дополнительные риски и требует усиленного контроля за каналами связи с поставщиками.

Если ранее основными типами атак на телекоммуникационную инфраструктуру были программы-вымогатели и массовые фишинговые рассылки, то сейчас все чаще фиксируется применение целевого вредоносного ПО

Cyber Media: С какими уникальными киберугрозами сталкивается именно телеком-сектор? Как ваш SOC адаптирует защиту под атаки на сети связи и абонентские данные? В этом году вступил в силу закон об оборотных штрафах за утечку ПДн. Насколько SOC Ростелекома готов к новым требованиям? Изменились ли процессы мониторинга и реагирования в преддверии вступления закона? Как вы адаптировали систему под усиление регуляторного контроля?

Роман Семенов: SOC «Ростелекома» сталкивается с теми же типами угроз, что и другие крупные компании. У каждой отрасли своя специфика оборудования и используемых технологий, поэтому, хотя общие угрозы схожи, векторы атак и инструменты могут отличаться.

Наш SOC анализирует громкие инциденты в других отраслях. Цель состоит в том, чтобы понять новые механики атак и адаптировать свои методы защиты.

Мы рассматриваем свою деятельность не только как защиту инфраструктуры компании, но и как вклад в обеспечение кибербезопасности национальной технологической системы.

Cyber Media: Как организовано обучение и развитие специалистов SOC? Какие тренажеры и практики помогают команде оставаться на пике готовности?

Роман Семенов: В «Ростелекоме» разработана многоуровневая система подготовки специалистов SOC. Она учитывает специфику различных направлений деятельности: дежурная линия мониторинга, эксплуатация SIEM-систем, компьютерная криминалистика (форензика) и противодействие мошенничеству. Для каждого направления определены требования к начальному уровню знаний и разработаны собственные программы обучения.

Основным источником кадров для дежурной смены являются студенты 3-4 курсов технических вузов Москвы, Нижнего Новгорода и Новосибирска, где «Ростелеком» реализует целевые программы подготовки кадров. Для таких студентов разработана программа обучения, включающая изучение основ сетевых технологий (модель OSI, протоколы TCP/IP) и практические занятия. Обучение длится около трех месяцев и завершается контрольными работами и экзаменами.

Для специалистов по тестированию на проникновение (пентестеров) предъявляются повышенные требования к квалификации. Они проходят подготовку в специализированных лабораториях, участвуют в публичных и частных хакатонах и соревнованиях.

В подготовке специалистов по форензике ключевую роль играют тимлиды, обеспечивающие мотивацию и профессиональный рост команды. Компания поддерживает низкий уровень текучки кадров. У нас действует программа стажировок, в рамках которой около 20 студентов два раза в год проходят практику в различных отделах SOC. Часть стажеров остаются в компании на постоянной основе, формируя стабильный костяк команды.

Мы рассматриваем автоматизацию не как инструмент для замещения сотрудников, а как способ повышения эффективности и перераспределения интеллектуальных ресурсов

Cyber Media: Можно ли сказать, что главным источником новых кадров для SOC являются вузы, учитывая, что Ростелеком широко представлен в российской высшей школе? Часто встречается мнение, что автоматизация постепенно «съест» первую линию SOC — как вы это видите?

Роман Семенов: Основным источником пополнения дежурной смены SOC являются выпускники высших учебных заведений.

Хотя автоматизация, несомненно, окажет влияние на первую линию SOC в долгосрочной перспективе, прямо сейчас говорить о значительном сокращении численности персонала преждевременно. В инфраструктуре компании используется широкий спектр устройств. И сейчас только человек способен эффективно обрабатывать телеметрию, поступающую с такого количества устройств. Создание моделей машинного обучения, способных корректно анализировать данные со всех типов систем, является сложной и дорогостоящей задачей.

Мы рассматриваем автоматизацию не как инструмент для замещения сотрудников, а как способ повышения эффективности и перераспределения интеллектуальных ресурсов для решения задач более высокого уровня. Показательный пример такого подхода в «Ростелекоме» — история успеха руководителя отдела автоматизации, который начинал свой картерный путь с позиции в дежурной смене. Он самостоятельно разрабатывал скрипты для автоматизации рутинных операций, что позволило повысить эффективность работы команды и сосредоточиться на решении более сложных задач. Компания поощряет инициативы сотрудников, направленные на автоматизацию процессов и создание инструментов, облегчающих работу.

Cyber Media: Какие рекомендации вы бы дали компаниям, которые только создают или масштабируют свои SOC и системы мониторинга? На что стоит обратить особое внимание в первую очередь?

Роман Семенов: Компаниям, планирующим создание Security Operations Center, в первую очередь необходимо четко определить цели и задачи, которые он должен решать. Построение и эффективное функционирование SOC требует значительных ресурсов и может создавать нагрузку на другие подразделения организации. Важно понимать, что на этапе обучения и отладки процессов неизбежен период адаптации и некоторого дискомфорта. Только после определения целей и задач следует принимать решение о создании собственного SOC или обращении к провайдеру управляемых услуг безопасности (MSSP).

При создании собственного SOC необходимо учитывать затраты на инфраструктуру (высоконагруженные серверы, лицензионное программное обеспечение, каналы связи) и самое главное — на квалифицированный персонал. Ведь именно сотрудники — ключевой ресурс, который требует непрерывного обучения и повышения квалификации. Отсутствие развития и проактивности у специалистов превращает SOC в обычную диспетчерскую службу, что может привести к серьезным убыткам. Только качественно обученные и мотивированные сотрудники способны оперативно обнаруживать инциденты, реагировать на них и эффективно противодействовать угрозам.

Хотя сегодня автоматизация является важным инструментом, позволяющим масштабировать процессы, упрощать рутинные операции и повышать эффективность работы SOC, она еще не способна заменить квалифицированный персонал.