«Ростелеком-Солар» – о компонентах SOC для защиты от современных киберугроз

Руководитель направления мониторинга и реагирования на киберугрозы «Ростелеком-Солар» Тимур Ниязов рассказал про пять уровней киберзлоумышленников, которые выделяют в их компании, а также про необходимые инструменты защиты, чтобы всех этих злоумышленников детектировать и улучшить работу с инцидентами ИБ. 

«На сегодняшний день мы отмечаем рост атак, целью которых является получение контроля за инфраструктурой. По сравнению с прошлым годом такие атаки стали появляться на 30% чаще, чем раньше. Больше 50% инцидентов ИБ невозможно детектировать прежними инструментами — требуется развитие в том числе инструментария», — начал свое выступление на IT Security Day 2021 Тимур Ниязов. 

Среди трендов он назвал атаки, связанные с распространением вредоносного ПО, атаки на веб-приложения, повышение темпа использования новых уязвимостей, фишинг и вишинг —  почтовые рассылки, рассылки с помощью СМС и звонки от сотрудников безопасности банков. Кроме того они отметили расслоение подхода злоумышленников к реализации атак, их инструментария и цели атак. 

 

Пять уровней злоумышленников 

По словам Тимура Ниязова, раньше они в «Ростелеком-Солар» выделяли три уровня злоумышленников: базовые атаки, хакеры и кибервойска. Но на текущий день они отличают уже пять уровней: автоматизированные системы, киберхулиганы, киберкриминал, кибернаемники и кибервойска. Эти злоумышленники отличаются как целями реализации атак, так и инструментарием, который используют в своей работе. 

Автоматизированные системы. Целью использования этих систем является взлом устройства и инфраструктуры с последующей перепродажей или использованием в массовых атаках. 

Киберхулиганы. Злоумышленники, целью которых является нарушение целостности инфраструктуры либо какое-то негативное воздействие на инфраструктуры без каких-либо целей монетизации своей атаки. 

«Первые два уровня — автоматизированые системы и киберхулиганы — как правило используют инструменты для быстрой настройки и использования известных опубликованных уязвимостей. Собственно, любой недостаток инфраструктуры, например, RDP на периметре, может быть причиной входа в инфраструктуру. Для защиты от данных злоумышленников, мы считаем, будет достаточно базовых средств защиты и своевременное устранение уязвимостей», — сказал Тимур Ниязов. 

Киберкриминал. Злоумышленники, которые целью своей преследуют монетизацию. Они используют в своем арсенале вирусы-шифровальщики, майнеры. 

«Здесь злоумышленники используют более современные инструменты для реализации атак — это вредоносное ПО, стеганография, многоуровневая обфускация. Для борьбы с этими злоумышленниками традиционных средств защиты может быть недостаточно и потребуется реализация функций либо мониторинга инцидентов ИБ, либо с использованием автоматизированых систем таких как SIEM», — пояснил Тимур Ниязов. 

Кибернаемники. Злоумышленники, которые нацелены на заказные работы. Это может быть шпионаж в пользу конкурирующих организаций, это может быть последующая крупная монетизация и деструктивные воздействия на инфраструктуру. 

Кибервойска. Все, что связано с кибершпионажем в пользу уже не конкурирующих организаций, а других стран. Это полный захват инфраструктуры заказчика для дальнейшей возможности контроля и применения любых действий и подходов. Как правило эти злоумышленники самые опасные, потому что их присутствие в инфраструктуре заметить очень проблематично, используя традиционные способы мониторинга и реагирования. 

«И последние два уровня — кибернаемники и кибервойска — в своем арсенале они уже используют такие инструменты как 0-day. Это могут быть самописные 0-day, могут быть коммерческие, купленные. В любом случае квалификация злоумышленников сильно выше, чем тех, которые на два, на три уровня ниже. И целью данных злоумышленников является длительное пребывание в инфраструктуре и, как правило, следы нахождения злоумышленников в инфраструктуре отследить довольно сложно без применения дополнительных средств.

Именно поэтому мы приняли решение развиваться с точки зрения Центра мониторинга и это даст начать свой технологический функционал», — рассказал Тимур Ниязов. 

 

Три инструмента для борьбы 

Как отметил спикер, чтобы успешнее обнаруживать новые типы злоумышленников и лучше работать с инцидентами, они решили сделать шаг в сторону увеличения угла обзора и внесения дополнительного контекста в каждый из инцидентов ИБ. 

С точки зрения сетевой безопасности компания планирует использовать системы класса NTA, которые позволят обнаруживать следы злоумышленников в сетевом трафике как периметровом, так и во внутрисетевом. 

«С помощью данных решений появляется возможность проведения работ по threat hunting и появляется возможность провести полноценное расследование и восстановить хронологию событий и действий злоумышленников в периметре», — пояснил Тимур Ниязов. 

С точки зрения хостовой части они планируют использовать платформы EDR. Как и в случае с NTA, тут можно получить дополнительный контекст, с помощью которого можно обогатить инцидент, восстановить хронологию событий и также проводить ретроспективный анализ по имеющимся индикаторам компрометации. Все это позволяет эффективно бороться с злоумышленниками высокой квалификации. 

И третий компонент, который «Ростелеком-Солар» планирует использовать, это платформы IRP — incident response platform. Они позволят им автоматизировать часть функций и наладить сквозную работу над инцидентом. 

«Нам как сервис-провайдеру очень важно наладить эффективный процесс работы над инцидентом, поскольку часть функций по реагированию на инцидент зачастую ложиться у нас на заказчика. И в этом случае необходимо иметь подобный инструмент, чтобы какие-то задачи по разбору инцидента не потерялись и можно было найти ответственного за конкретный этап, посмотреть сроки исполнения и понять, на каком этапе инцидент сейчас находится», — заключил Тимур Ниязов.

7 апреля, 2021