В мае этого года компания «Ростелеком-Солар» совместно с НКЦКИ раскрыла некоторые детали выявленной масштабной атаки на федеральные органы исполнительной власти РФ со стороны иностранной проправительственной группировки. А вскоре заявила о трансформации своего центра противодействия кибератакам Solar JSOC, в которую уже инвестировала около 500 млн руб. Почему возникла необходимость в пересмотре стратегии центра, какие новые сервисы и модели предоставления услуг появились и куда движется рынок продуктов по кибербезопасности, рассказал директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков.
Фото: предоставлены компанией "Ростелеком-Солар"
— Почему было решено перезапустить центр противодействия кибератакам? Чем перестала устраивать его предыдущая версия?
— Трансформация Solar JSOC стала ответом на изменения в цифровом пространстве: с одной стороны, появились новые вводные и запросы от рынка, а с другой — мы увидели значимые изменения в деятельности киберпреступного сообщества.
Solar JSOC — первый и крупнейший в России коммерческий центр противодействия кибератакам. Сегодня под его защитой находятся более 140 коммерческих и госорганизаций из разных секторов экономики. Штат Solar JSOC — более 300 экспертов в Москве, Нижнем Новгороде, Самаре, Ростове-на-Дону и Хабаровске. Ежедневно центр обрабатывает более 110 млрд событий информационной безопасности (ИБ).
Solar JSOC мы запустили в далеком 2012 году. И все это время мы росли экспертно, технологически, в объемах поставляемых сервисов. Однако вхождение в состав «Ростелекома» в 2018 году расширило наши горизонты: заметно увеличился пул заказчиков, в первую очередь за счет субъектов критической информационной инфраструктуры (КИИ) и региональных организаций. И если раньше региональные клиенты появлялись у нас от случая к случаю, то теперь мы смогли максимально полно погрузиться в их проблемы с безопасностью.
Существенно выросло и количество субъектов КИИ под нашей защитой. Здесь мы столкнулись с более сложными атаками и высокопрофессиональными группировками — то, что раньше считалось бы инцидентом года, теперь стало для нас ежедневной рутиной. Так, по итогам 2020 года был двукратный рост количества атак на субъекты КИИ через подрядчиков (один из сложнейших типов атак с точки зрения выявления и защиты), на 30% увеличилось число атак, направленных на получение контроля над инфраструктурой. При этом примерно половина всех событий ИБ была выявлена с помощью сложных интеллектуальных средств защиты. Все это недвусмысленно говорит о том, что за прошедшие пару лет квалификация злоумышленников значительно выросла, а инструментарий заметно усложнился.
Еще одна важная тенденция — сильное расслоение внутри киберпреступного сообщества. Долгое время в нем можно было условно выделить любителей и профессионалов. Первые использовали общедоступные вредоносы и баловались мелким хулиганством, вторые разрабатывали свой инструментарий, целясь в крупный бизнес и госвласть. Однако хакеры уже вышли за пределы такого шаблона, чего нельзя не учитывать при построении защиты.
— В чем заключаются основные изменения, которые претерпел центр противодействия кибератакам?
Фото: предоставлены компанией "Ростелеком-Солар"
— Мы расширили набор сервисов и технологий и теперь предлагаем матричный подход — защиту с учетом характерного для заказчика профиля нарушителя. Это позволяет предоставлять сбалансированный сервис заказчикам разного масштаба — от небольшой региональной больницы до крупной корпорации или органа госвласти. В этом смысле наша прежняя модель была неоптимальной. Небольшая компания получала порой избыточный объем сервиса и скорее не пользовалась услугой в полной мере. А для крупного клиента вместо типизируемого предложения с универсальным подходом мы генерировали индивидуальный проект, который имел свои шероховатости при запуске и не мог масштабироваться.
Сегодня мы выделили пять основных типов злоумышленников, исходя из их квалификации, инструментария и целей. Так, региональную власть атакуют либо тренирующиеся хулиганы, либо хактивисты с целью дискредитации — для более продвинутых хакеров здесь, как правило, нет ни больших финансов, ни конфиденциальной информации федерального значения (за редким исключением). Атаки же на федеральные объекты и органы исполнительной власти обычно направлены на кражу закрытых данных. Крупный бизнес часто становится мишенью кибермошенников, промышляющих майнингом или кражей денег, либо наемников, которые шпионят или выводят из строя бизнес-процессы в интересах конкурента.
— А как изменился состав сервисов?
— Для региональных клиентов мы расширили набор сервисов базовой безопасности на платформе Solar MSS: они дешевле, чем то, что мы предлагали рынку ранее, но в то же время обеспечивают необходимый уровень защиты и экспертную поддержку, что особенно актуально в условиях кадрового голода. Для крупных же заказчиков—обладателей критически значимой инфраструктуры мы запустили новые интеллектуальные сервисы, которые сейчас собираются в экосистему по противодействию самым опасным группировкам вплоть до уровня иностранных спецслужб. Как показывает опыт, действия таких злоумышленников невозможно обнаружить с помощью инструментов и экспертизы стандартных центров мониторинга, которые преобладают сегодня на российском рынке. В этом случае приходится расследовать по «хлебным крошкам» — отдельным фактам «касания» инфраструктуры, которые могут и не выглядеть подозрительными. И нужны мощная экспертиза и профессиональное чутье, чтобы раскрутить всю цепочку событий. Если такие атаки происходят регулярно, для их выявления не обойтись без соответствующих технологий. Ровно по этой причине мы и наращивали наш технологический стек.
— Как происходит расследование инцидентов ИБ и сколько времени это обычно занимает?
— Зависит от уровня атаки. Если, к примеру, речь о некоей банковской группировке и мы видим ее атаку в моменте, расследование занимает обычно не больше недели. Эти хакеры используют понятные для нас методики и инструменты. А вот расследование атак наиболее продвинутых группировок — целое искусство. Совсем недавно мы совместно с НКЦКИ рассказывали о серии атак иностранной проправительственной группировки на федеральные органы исполнительной власти России. Мы увидели атаку на одного из наших заказчиков, и расследование привело нас к инфраструктуре ФОИВ, которая, как мы выяснили, была скомпрометирована еще три с половиной года назад. У злоумышленников оказались такие полномочия, что нам приходилось тщательно скрывать свои действия, чтобы не спровоцировать деструктивного поведения, например запуска шифровальщика. Такое максимально осторожное расследование заняло более четырех месяцев.
Фото: предоставлены компанией "Ростелеком-Солар"
Но это были новые для нас заказчики. Если же клиент уже подключен к нашему мониторингу, расследование проходит быстро, так как мы изначально не даем злоумышленнику далеко пробраться.
— Каков объем инвестиций в перезапуск Solar JSOC?
— Около 500 млн руб. за последние два года. Из них более 400 млн — в создание системы раннего обнаружения атак и формирование сети сенсоров и ловушек. Около 30 млн — на развитие нашей базы знаний о новых угрозах (Threat Intelligence), в том числе на коммерческие подписки, а также на выстраивание партнерских отношений с международными группами по реагированию на чрезвычайные инциденты (CERT). Кроме того, мы привлекли в штат около 60 специалистов: появились своя группа разработки внутренних инструментов и автоматизации SOC, экспертные команды под новые сервисы, усилилось направление по компьютерной криминалистике.
— Вы упомянули систему раннего обнаружения атак и ловушки. Расскажите об этом подробнее.
— Сегодня мы обладаем одной из крупнейших в России баз индикаторов и знаний о новых угрозах. Она включает данные из коммерческих подписок, открытых источников, информационных обменов с CERT и результаты анализа инцидентов более чем у 140 наших клиентов. Мы усилили это направление за счет охоты на угрозы с помощью системы ловушек — сенсоров и ханипотов (от англ. honeypot). Ханипот имитирует реальный интернет-сервис компании, но находится на соседнем IP-адресе. Хакер думает, что это тестовая среда (и точка входа в инфраструктуру), и пытается взломать ханипот. А на самом деле это система записи трафика: мы видим все действия хакера, и это позволяет в деталях разобраться в его методах атак.
Сенсоры и ханипоты расставлены внутри инфраструктур крупных заказчиков, на периметрах региональных организаций, в ЦОДах и на сетях «Ростелекома». Благодаря этому мы собираем большой объем данных об источниках атак, используемых техниках и тактиках. По масштабам у этой системы в России аналогов нет.
— В прошлом году многие компании отмечали рост популярности аутсорсинга. А вы расширили варианты предоставления услуг: к аутсорсингу добавились гибридная и отчуждаемая модели. Чем вызвано такое решение?
Фото: предоставлены компанией "Ростелеком-Солар"
— Выбор той или иной модели зависит от масштабов заказчика и от сегмента экономики. Например, госкорпорации редко применяют аутсорсинговые модели — они предпочитают создавать собственные центры кибербезопасности. Многие госорганы опасаются аутсорсинга скорее в силу менталитета и сложившихся традиций: у них вызывает отторжение, что кто-то снаружи будет получать данные об их инцидентах (даже если это не коммерческая и не гостайна). Крупные нефтяные и энергетические компании тоже, как правило, склоняются к in-house-модели SOC. А поскольку теперь для нас это одни из фокусных клиентов, наша задача — помочь им выстроить собственные центры мониторинга и реагирования.
— Ваши продукты теперь представляют собой экосистему. Насколько это важно для заказчиков?
— Мы выстраиваем у себя такую систему единого окна, в которой разные сервисы и технологии максимально обогащают друг друга, а знания о злоумышленниках, векторах атак и инцидентах могут использоваться в рамках всех услуг. Ключевое преимущество, которое экосистемный подход дает каждому из наших заказчиков,— это синергетический эффект от применяемых нами технологий.
in-house* - внутри компании