Solar JSOC

Финансовый сектор всегда был в центре внимания злоумышленников из-за возможности прямого вывода денег со счетов пользователей, а также большого объема чувствительных персональных данных. В таких условиях крайне важно обнаружить угрозу на ранней стадии, чтобы хакер не успел закрепиться в инфраструктуре и начать развивать свою атаку.

Как отмечает генеральный директор ROWI.tech Евгений Родионов, платформа ROWI осуществляет финансовые и кредитные операции, обрабатывает большое количество транзакций и должна гарантировать клиентам как сохранность данных, так и финансов. Для защиты от киберугроз выбрана сервисная модель SOC. Такой вариант позволяет обеспечивать контроль ИТ-инфраструктуры и максимально продуктивно использовать силы внешней команды. Это позволят принимать правильные решения в части оперативных мер реагирования.

Сервис мониторинга предоставляется по облачной модели. На его инфраструктуре установлен коллектор для сбора событий, которые обрабатываются в SIEM-системе, расположенной в облаке «РТК-Солар». На данный момент к сервису подключены ключевые элементы ИТ-инфраструктуры: сетевые устройства, средства защиты информации, контроллеры домена, критические серверы и другие элементы базовой инфраструктуры. Для обеспечения процесса мониторинга запущены сценарии выявления инцидентов разных категорий: контроль сетевого доступа, использования ПО, целостности данных, обнаружение НСД, сетевые атаки, эксплуатация уязвимостей.

Отдельная группа Threat Hunting объединяет более 200 сценариев выявления признаков компрометации инфраструктуры по техникам, которые злоумышленники используют на основе Mitre ATT&CK. Эксперты Solar JSOC обеспечивают круглосуточное выявление, анализ, обогащение и формирование оповещений о потенциальных инцидентах. Таким образом ROWI получает исчерпывающую информацию и рекомендации по противодействию конкретной угрозе.

В проекте, реализованном Правительством Камчатского края, «Ростелеком-Солар» реализует функции внешнего SOC (Security Operations Center): мониторинг и реагирование на инциденты, продвинутую защиту сетевой инфраструктуры, электронной почты и конечных узлов, защиту периметра и ключевых онлайн-ресурсов правительства Камчатского края, взаимодействие с Главным центром ГосСОПКА, управление навыками кибергигиены сотрудников и др. Так, в рамках мониторинга за прошедший квартал в госсистемах Камчатского края было выявлено около 500 инцидентов ИБ.

Злоумышленники сегодня преследуют цели дестабилизации обстановки в стране за счет показательных взломов и нарушения доступности социальных электронных услуг. При этом региональные органы исполнительной власти находятся в фокусе внимания как высококвалифицированных группировок, так и хактивистов-одиночек. По данным центра противодействия кибератакам Solar JSOC, с февраля 2022 года количество кибератак на органы власти выросло на 12%.

Как отмечает министр цифрового развития Камчатского края Николай Киселев, ранее никто не передавал на аутсорсинг обеспечение информационной безопасности на уровне правительства целого субъекта. При этом комплексное обеспечение безопасности – важнейшая составляющая программы цифровой трансформации региона, направленная на поддержание устойчивости инфраструктуры и доступности цифровых услуг для граждан. Сервисная модель дала возможность эффективно решить сразу несколько вопросов: получить высокий уровень защиты силами экспертов крупнейшего SOC и прозрачную систему управления ИБ, компенсировать дефицит профильных кадров, снизить совокупные расходы на кибербезопасность и сделать их плановыми.

По данным Solar JSOC, в Москве, в отличие от большинства регионов, самым распространенным инструментом злоумышленников в 2020 году стали атаки на веб-приложения (веб-порталы, электронную почту, личные кабинеты и т.д.). Они составили 40% всех инцидентов, показав заметный рост в сравнении с прошлогодними показателями.

Популярность атак на веб-приложения аналитики связывают с тем, что в регионе локализовано большое количество дата-центров и хостингов. В них крупные организации размещают свои приложения, которые представляют большой интерес для злоумышленников.

Кроме того, выросло количество атак с применением вредоносного ПО (вирусов, троянов, шпионского ПО и т.п.) – они составили 31% в 2020 году. Таким образом, Москва повторяет глобальную тенденцию, связанную с ростом применения вредоносного ПО на фоне пандемии. В 15% случаев злоумышленники использовали компрометацию учетных данных от внешних интернет-ресурсов организаций.

В большинстве регионов, напротив, самым популярным методом взлома корпоративных инфраструктур было заражение. В условиях удаленки этот хакерский инструмент стал более эффективным, так как ИБ-службы не могли полноценно контролировать работающих из дома сотрудников и соблюдение ими политик безопасности. В 75% случаев вирус доставлялся на компьютер жертвы через фишинговые рассылки.

Вторым по популярности методом атаки на организации почти во всех федеральных округах стало использование веб-уязвимостей, а на третьем месте – подбор пароля и компрометация учетных данных от внешних интернет-ресурсов организаций.

Также во всех регионах без исключения выросла доля DDoS-атак – она составила 5-9% от общего количества инцидентов (годом ранее этот показатель не превышал 6%). Это объясняется тем, что в 2020 году существенно выросла значимость каналов связи и онлайн-сервисов, которые обеспечивали не только доступность онлайн-ресурсов, но и удаленный доступ сотрудников в корпоративную инфраструктуру. Такое изменение ИТ-ландшафта открыло новые возможности для злоумышленников.

В 2019 году аналитики Solar JSOC впервые выделили резкий рост (на 40%) атак, направленных на получение контроля над инфраструктурой, на фоне 15% снижения числа атак, направленных на кражу денежных средств. В предыдущие годы картина была прямо противоположной: количество атак с целью хищения денег росло на десятки процентов ежегодно, интерес же злоумышленников к самой инфраструктуре был менее активным. Текущую ситуацию эксперты связывают с тем, что средний уровень защищенности банков, которые чаще всего и служили мишенью киберперступникам, существенно возрос. Это заставляет хакеров искать более уязвимые цели. Все более привлекательными для них становятся автоматизированные системы управления технологическими процессами (АСУ ТП) предприятий и закрытые сегменты сети.

Как подчеркивают аналитики, длительное и незаметное присутствие в инфраструктуре организации позволяет злоумышленникам детально исследовать ее внутренние процессы, получить более глубокий доступ к ИТ-системам и контроль над ними. В дальнейшем хакеры монетизируют эти точки присутствия, продавая их на черном рынке, шантажируя организацию-жертву или занимаясь конкурентной разведкой. Кроме того, в последние годы атаки все чаще направлены на промышленные и энергетические объекты, а также органы госвласти, контроль над инфраструктурой которых критичен для страны в целом.

На фоне роста объемов внешних атак эксперты Solar JSOC отмечают и позитивный тренд: организации стали уделять больше внимания защите своей информационной инфраструктуры. В том числе благодаря этому впервые за 5 лет снизилась доля критичных инцидентов – с 19% до 16%.

Как отмечается, динамика закрытия уязвимостей в России существенно выше, чем в других странах – российские серверы составляют менее 5% от уязвимых в мире. Например, за 2019 год количество российских серверов на периметре, подверженных уязвимости EternalBlue, сократилось более чем в пять раз. Тем не менее, примерно 40% из тех серверов, которые все еще остаются уязвимыми, принадлежат крупным коммерческим или государственным компаниям.

Как и прежде, самыми популярными методами взлома корпоративных инфраструктур остаются заражение вредоносным ПО и использование уязвимостей в веб-приложениях. Частота их использования выросла на 11% и 13% соответственно. Но если в 2018 году основной функциональностью вредоносного ПО было шифрование данных, то в 2019 – добыча криптовалюты.

DDoS-атаки демонстрируют существенный технологический прогресс. В 2019 году для проведения таких атак злоумышленники на 40% чаще использовали IoT-ботнеты – сети из зараженных «умных» устройств. Как правило, они слабо защищены и легко взламываются. С ростом количества IoT-устройств в мире, DDoS-атаки будут все дешевле и доступнее, а компании могут уже в ближайшее время столкнуться с новым всплеском этой угрозы.

Компания Solar Security опубликовала сводный отчет Solar JSOC Security flash report за первое полугодие 2017 года. Он содержит обезличенную информацию об инцидентах информационной безопасности, выявленных центром мониторинга и реагирования на кибератаки Solar JSOC.

В первой половине 2017 года средний поток событий ИБ составлял 6,2 млрд в сутки, из них около 950 в сутки – события с подозрением на инцидент. Это примерно на 28% больше, чем в год назад. При этом доля критичных инцидентов, способных вызвать длительное прерывание критически важных систем и сервисов либо прямые финансовые потери на сумму более 1 млн руб., составила 17%. В 2016 году критичным был лишь каждый девятый инцидент. Предполагается, что такая динамика связана с общим повышением интенсивности массовых и нацеленных атак на организации.

Если рассматривать общее количество инцидентов, то лишь в 12% случаев они происходили в ночное время. Однако если из общей массы инцидентов выделить критичные, этот показатель возрастает почти до трети всех случаев. А если критичные инциденты были вызваны действиями внешнего злоумышленника, то уже в почти половине случаев (45%) они приходились на ночное время. Основными инструментами киберпреступников оставались атаки на веб-приложения (34%), компрометация учетных данных внешних сервисов клиента (24%) и вредоносное ПО (19%).

Отдельно отмечается возрастающее число инцидентов, являющихся частью Kill Chain – цепи последовательных действий киберпреступника, направленных на взлом инфраструктуры и компрометацию ключевых ресурсов компании. В 13% случаев первым шагом такой цепочки служила атака на веб-приложение (например, онлайн-банк), в 25% – на управляющие протоколы систем (в том числе использование уязвимости Shellshock, известной с сентября 2014 года), в 62% – внедрение в организацию вредоносного программного обеспечения через почтовые вложения или фишинговые ссылки. Таким образом, злоумышленники по-прежнему очень рассчитывают на человеческий фактор.

Как подчеркивают аналитики, несмотря на Wannacry и Petya, цифры по внешним инцидентам демонстрируют высокий, но не драматический рост. Дело в том, что массовые атаки на российские компании происходят регулярно, но, как правило, остаются вне поля зрения СМИ. В то же время о таком явлении, как Kill Chain, пока говорят только специалисты по информационной безопасности. Таких атак еще относительно мало, но они перестали быть «страшилками» и являются реальной угрозой. При этом большинство российских компаний не готово к их отражению.

Основными виновниками внутренних инцидентов (в 63% случаев) оставались рядовые сотрудники компаний, хотя их доля стабильно снижается. Инциденты, связанные с действиями внутренних злоумышленников, не претерпели существенных изменений. Это утечки информации, компрометация внутренних учетных записей, и менее 10% приходится на использование хакерских утилит и средств удаленного администрирования.

В связи с возрастающими рисками киберугроз для крупных компаний, создание центра управления безопасностью (SOC), функционирующего в круглосуточном режиме, стало для банка одним из главных проектов в сфере ИБ.

При выборе решения было рассмотрено большое количество вариантов: от дальнейшего качественного развития имеющихся решений до внедрения современных коммерческих SIEM-систем. Однако в рамках общей задачи по построению SOC все они были очень затратными с точки зрения финансовых и человеческих ресурсов. При этом, по оценкам специалистов банка, создание собственного центра принесло бы желаемые результаты лишь спустя примерно два года после старта проекта. Поэтому банк выбрал вариант запуска части функций SOC посредством аутсорсинга.

Техническую эффективность сервиса удалось продемонстрировать уже на этапе пилотного подключения. К мониторингу были подключены все основные типы целевых систем, банк увидел реальную готовность и сроки подключения источников, запуска в работу сценариев контроля, а также убедился в высоком уровне экспертизы аналитиков. За первый квартал оказания сервиса все ключевые задачи банка в части мониторинга и реагирования на инциденты ИБ были решены.

Как отметил Гизар Шакиров, начальник отдела ИБ Башкомснаббанка, использование Solar JSOC стало альтернативным решением задачи по внедрению современного корпоративного SIEM и выстраиванию процессов мониторинга и реагирования. И если закупка и внедрение SIEM – вполне решаемая задача, то ежегодно выделять ресурсы на содержание и поддержание квалификации технического и аналитического персонала, приобретение подписки на репутационные базы, а также содержание собственной круглосуточной дежурной смены мониторинга и реагирования, очевидно, экономически нецелесообразно. Сравнение совокупной стоимости владения полностью собственным SOC и подключения к Solar JSOC для мониторинга и реагирования на инциденты информационной безопасности показало, что привлечение сервис-провайдера выгоднее с финансовой точки зрения и дает ожидаемый результат в гораздо более короткие сроки.

Банк уделяет серьезное внимание защите от современных кибератак. Их предотвращение является одной из основных задач службы безопасности банка. Использование сервиса Solar JSOC должно позволить существенно повысить эффективность обнаружения угроз.

Подключение к Solar JSOC было реализовано по гибридной схеме – SIEM-решение HPE ArcSight ESM банк уже приобрел ранее, а предоставление сценариев детектирования инцидентов безопасности, использование агрегированных репутационных баз, применение рассылок об угрозах от FinCERT и обеспечение круглосуточного мониторинга стало задачей специалистов команды Solar JSOC.

В ходе проекта к сервису были подключены ключевые элементы сетевой инфраструктуры банка, благодаря чему аналитики Solar JSOC начали осуществлять мониторинг инцидентов по наиболее критичным сценариям в круглосуточном режиме. Кроме того, проведено профилирование работы сетевого оборудования и системных средств, а сценарии обнаружения инцидентов адаптированы под специфику работы банка. Это позволило минимизировать количество ложных срабатываний и сделать алгоритм выявления инцидентов максимально точным.

До начала сотрудничества с Solar Security банк осуществлял мониторинг инцидентов с помощью SIEM-системы HPE ArcSight. Однако с целью минимизации рисков кибератак на ключевые финансовые системы было принято решение о необходимости организации мониторинга и реагирования на инциденты в круглосуточном режиме, а также взаимодействии с поставщиками информации об угрозах ИБ для финансовых организаций. Обсуждение внутри банка сопутствующих задач вылилось в идею создания полноценного SOC – центра реагирования на инциденты ИБ, который бы получал информацию с дополнительных источников событий, использовал внешние репутационные базы данных и осуществлял периодическое сканирование на наличие уязвимостей нулевого дня.

Создание собственного SOC требовало значительных временных, кадровых и финансовых затрат, поэтому более удобным вариантом оказался ИБ-аутсорсинг, который позволяет получить качественный результат уже в краткосрочной перспективе. Специалисты банка провели сравнение SOC-сервисов, существующих на российском рынке, и сделали выбор в пользу Solar JSOC. Решающими факторами при этом послужили большой опыт и подтвержденная экспертиза, а также налаженное взаимодействие компании с FinCERT. Еще одним аргументом стало то, что аналитики Solar Security взяли на себя задачи по оперативному реагированию, разбору инцидентов и составлению рекомендаций по противодействию киберугрозам.

Уже с первых недель подключения сервис стал осуществлять мониторинг инцидентов на ключевых объектах инфраструктуры банка, а также регулярный контроль защищенности критичных точек сети, предупреждая и предотвращая потенциальные целенаправленные атаки на организацию. Кроме того, отчеты, формируемые в web-портале JSOC Security Dashboard, позволили визуализировать как общую картину уровней защищенности и угроз компании, так и детально рассмотреть конкретные события.

Построенное решение собирает и анализирует события ИБ из почти 70 источников в инфраструктуре банка. Параллельно агрегируется информация об угрозах от различных поставщиков: FinCERT, Kaspersky Lab и Group-IB через портал Bot-Trek Intelligence и сенсоры Bot-Trek TDS, развернутые в банке. Все это позволяет выявлять признаки компрометации ключевых хостов и предотвращать кибератаки на ранних стадиях, до того, как банку или его клиентам может быть нанесен ущерб.

Успешное функционирование национальной платежной системы является одной из задач национального значения. Поэтому с момента создания НСПК специалисты компании отводили ключевую роль формированию надежной системы кибербезопасности. Важной частью такой системы является мониторинг инцидентов информационной безопасности.

Согласно мировой практике, создание системы мониторинга и реагирования на угрозы кибербезопасности может занять несколько лет, поэтому на период ее построения в НСПК было принято решение об использовании услуг ИБ-аутсорсинга. В качестве сервис-провайдера была выбрана российская компания Solar Security.

В ходе проекта инфраструктура компании была подключена к сервисам Solar JSOC, которые обеспечили выявление и анализ событий информационной безопасности, а также позволили предотвращать кибератаки в режиме реального времени. Параллельно в НСПК была развернута вся необходимая инфраструктура для построения внутреннего центра безопасности, на которую постепенно были перенесены правила корреляции и выявления инцидентов, профили источников данных и другие наработки Solar JSOC.

Благодаря тесному сотрудничеству специалистов Solar JSOC и внутренних служб, обработка первых событий ИБ началась уже через три дня. К сервису были подключены все критичные подсистемы и инфраструктурные источники, было выполнено профилирование процессов, запущен мониторинг инцидентов.

Изначально специалисты банка занимались мониторингом инцидентов самостоятельно, для чего была приобретена SIEM-система HP ArcSight, настроена собственная логика корреляционных правил для обнаружения инцидентов. В связи со стремительным ростом бизнеса специалистами банка было принято решение о привлечении дополнительных ресурсов для осуществления непрерывной аналитики новых векторов угроз, мониторинга инцидентов в режиме реального времени, постоянной работы с SIEM по разработке новых правил, отчетов и написания коннекторов для подключения новых систем.

Компанию-подрядчика привлекли по гибридной схеме, когда аутсорсер использует уже внедренную в банке систему HP ArcSight. Для реализации такой модели взаимодействия после проведения пилотного проекта был выбран Solar JSOC – российский центр мониторинга, выявления и реагирования на инциденты компании Solar Security.

В рамках проекта ставились задачи по существенному расширению логики обнаружения инцидентов среди уже подключенных к SIEM источников событий информационной безопасности. Был определен список систем, которые необходимо было подключить к мониторингу и предоставить новые правила под них. Основной задачей стал непрерывный мониторинг и анализ происходящего в инфраструктуре банка с точки зрения кибербезопасности.

Запуск услуг Solar JSOC проводился в несколько этапов. Так как банк долгое время вел работы по наполнению HP ArcSight собственными правилами и отчетами, было важно сохранить полученные результаты, поэтому на первом этапе был проведен анализ SIEM-системы и установлен новый контент без нарушения работы накопленной логики. Далее шло профилирование и адаптация сценариев обнаружения инцидентов под подключенную инфраструктуру и принятую в банке за норму работу сервисов, систем и пользователей. На третьем этапе состоялось подключение SIEM-системы банка к дежурным линиям Solar JSOC для обеспечения круглосуточного мониторинга и реагирования на инциденты.

При реализации гибридной модели аутсорсинга банк достиг развития наиболее важных функций собственного центра операционной безопасности. В результате подключения был существенно расширен перечень сценариев обнаружения инцидентов, минимизировано количество ложных оповещений, введен регламент взаимодействия в случае обнаружения инцидентов и проработан план подключения новых источников инфраструктуры и бизнес-приложений.