В рамках мероприятий Moscow Hacking Week компания поделились первыми результатами разработки MaxPatrol Carbon и эксплуатации MaxPatrol O2 — решений, которые моделируют угрозы и подготавливают инфраструктуру компании к отражению кибератак, а также обнаруживают хакера, прогнозируя различные сценарии развития атаки, и останавливают нападение до того, как организации будет нанесен ущерб.
Метапродукты — это новое поколение решений компании для достижения результативной кибербезопасности. Они оперируют терминами завершенного процесса с конкретным результатом, обеспечивая комплексную автоматизированную защиту с минимальным участием человека, пояснил Михаил Стюгин, руководитель направления автоматизации информационной безопасности Positive Technologies.
Он также отметил, что согласно исследованиям компании, 68% недопустимых событий для бизнеса в 2023 году могут быть реализованы за 1-6 шагов. Среди причин сложности контроля киберустойчивости инфраструктуры — отсутствие инструментов для контроля уровня киберзащищённости в реальном времени и инструментов для расстановки приоритетов задач сотрудникам SOC, а также кадровые проблемы.
Для решения этих проблем компания разрабатывает метапродукт MaxPatrol Carbon, который позволит максимально увеличить время на реализацию атаки и минимизировать срок её обнаружения.
MaxPatrol Carbon моделирует угрозы на основе знания тактик, техник и инструментов злоумышленников. Кроме этого, для расчёта потенциальных угроз метапродукт использует данные сетевой топологии, учитывает ошибки конфигурации сервисов, избыточные привилегии пользователей и сведения об уязвимостях на активах, поступающие с систем мониторинга событий ИБ и управления инцидентами (MaxPatrol SIEM), систем управления уязвимостями (MaxPatrol VM) и модуля для автоматизированной проверки узлов сети на соответствие стандартам безопасности (MaxPatrol HCC).
После этого MaxPatrol Carbon составляет полный перечень возможных действий хакера и выделяет все сценарии, выполнение которых может привести к недопустимым событиям. Аналитик SOC получает в веб-интерфейсе практические рекомендации в виде списка действий по каждому возможному сценарию действий хакера, которые он должен учесть в своей работе — чтобы исключить потенциальные пути атаки или максимально усложнить их для злоумышленника. Выполнение рекомендаций также должно повысить безопасность потенциальных маршрутов атаки за счёт контроля актуальности данных о целевых и ключевых информсистемах, а также поступающих с них событий.
«MaxPatrol Carbon позволяет увидеть инфраструктуру компании глазами хакеров, обнаружить ресурсы, через которые идут хакеры, подсветить их и дать рекомендации не только ИБ-, но и ИТ-службам обратить внимание на слабые места и задачи, с которыми надо работать», — рассказал Михаил Стюгин.
Пилотная версия MaxPatrol Carbon будет представлена лояльным клиентам компании для тестирования в январе 2024 года, добавил он. Коммерческий релиз метапродукта запланирован на май следующего года.
В отличие от прототипа MaxPatrol Carbon, метапродукт MaxPatrol O2 находится в опытно-промышленной эксплуатации с мая текущего года. Представляя первые итоги эксплуатации продукта, Анастасия Важенина, руководитель практики развития метапродуктов, привела сравнение классического подхода реагирования на действия хакера в сети и с использованием MaxPatrol O2, который автоматически обнаруживает злоумышленника, определяет захваченные им ресурсы, прогнозирует сценарий развития атаки с учётом недопустимых для компании событий и останавливает атаку до того, как организации будет нанесён непоправимый ущерб.
Как показали исследования, при использовании MaxPatrol O2 эффективность работы аналитиков по обнаружению, расследованию и реагированию на инциденты повышается в 30-50 раз, SOC охватывает 100% регистрируемых оповещений классических средств защиты (в ручном режиме 83%), сокращается время работы специалистов SOC на обработку подозрительной активности. Сотрудники тратят полчаса-час на обработку подозрительной активности в инфраструктуре размером до 2000 активов вместо 64 человеко-часов в неделю в случае применения только классических средств защиты. MaxPatrol O2 формирует и выполняет сценарий реагирования, позволяющий вовремя остановить хакера — менее чем за одну минуту.
В работе находятся десять пилотных проектов MaxPatrol O2, два уже завершены, резюмировала Важенина. Метапродукт продемонстрировал эффективность работы в реальном секторе экономики, в государственных предприятиях и медиа. В следующем году ещё 30 компаний рассматривают возможность начать подготовку к внедрению MaxPatrol O2.
Мониторинг и реагирование на ИБ-инциденты — это основа киберустойчивости современных компаний и государственных организаций. Развитие корпоративных и коммерческих центров мониторинга (SOC) немыслимо без новых технологий, которые постоянно появляются на рынке и помогают решать многочисленные задачи ИБ. Однако эффект от новых технологий напрямую зависит от правильности подобранного решения, его адаптации и эксплуатации.
Узнайте на «Технологии SOC», как поставить передовые технологии и эффективные методики на службу вашего центра мониторинга ИБ!