Группа компаний Angara совместно с партнерами – «Лабораторией Касперского» и Palo Alto Networks – провела бизнес-встречу в формате ИБ.Среда «Обновленная концепция ACRC: смешать и взболтать». Название отражает специфику новых возможностей Центра киберустойчивости ACRC (Angara Cyber Resilience Center) и проходит связующей нитью через всю программу мероприятия, объединяя деловую и неформальную части в единый смысловой концепт.
Прошедшая встреча побила все рекорды по численности участников, что демонстрирует дефицит очного общения в условиях ограниченных социальных связей, а также ценность формата ИБ.Среды, который предполагает обсуждение актуальных вопросов ИБ в теплой и дружественной обстановке.
ACRC: Служба единого окна
Ключевая тема встречи – запуск на базе Центра киберустойчивости ACRC модели сервиса MDRS (Managed Detection and Response Services), в рамках которой стираются границы между центрами мониторинга Outsource и On-premise. ACRC предоставляет услуги замещения любых функциональных ролей SOC по модели подписки, включая подключение Red / Blue / Purple Team в любом формате, на любой платформе и любом этапе. Теперь заказчики самостоятельно могут выбрать, как «смешивать» эти направления в соответствии со стоящими перед ними задачами, рассказал в ходе своего выступления Тимур Зиннятуллин, директор Центра киберустойчивости ACRC.
«Основная цель – это усиление экспертизы и формирование единой ресурсной базы для решения любых задач наших клиентов по направлению мониторинга и реагирования, вне зависимости от желаемого форм-фактора исполнения: On-Premise или Outsource, и даже при необходимости использования гибридных решений. Для ее достижения, традиционная практика в интеграции была объединена с сервисным направлением в единое подразделение. В результате подобного объединения, помимо прочего, у сервисного подразделения появилась возможность использовать ресурсы Red Team для проведения киберучений и проверки своей работы в боевых условиях, а интеграторское подразделение обогатилось большим опытом сервисного подхода к решению классических задач в интеграции, например, замещение функциональных ролей по развитию процессов Incident Response у наших клиентов по модели подписки», – пояснил Тимур Зиннятуллин.
В результате заказчики получили возможность получить все услуги SOC в формате единого окна.
? Единая точка взаимодействия для решения задач по направлениям:
? Коммерческий SOC – ACRC с возможностью подключения к ГосСОПКА.
? Автоматизация процессов ИБ в части организации мониторинга событий.
? Обогащение процессов ИБ сторонней аналитикой.
? Мониторинг и управление инцидентами ИБ [On-Premise & Outsource].
? Автоматизация управления и реагирования на инциденты ИБ [On-Premise & Outsource].
? Визуализация и контроль метрик эффективности средств защиты информации.
? Обогащенная экспертиза по каждому направлению.
? Возможность получения экспертизы путем замещения своих функциональных ролей сотрудниками Центра киберустойчивости по модели подписки.
? Возможность подключения сторонней аналитики и дополнительного функционала к уже внедренным решениям класса SIEM без капитальных затрат.
Антивируса недостаточно
Михаил Стеблин, старший технический эксперт «Лаборатории Касперского», рассказал, как EDR (Endpoint Detection & Response) позволяет выявлять и реагировать на новые угрозы.
По его словам, сегодня стоимость атак для злоумышленников снижается, при этом растет сумма ущерба от успешной атаки. «Лаборатория Касперского» отмечает эволюцию вредоносного ПО и техник сокрытия от средств защиты. В этих условиях целями злоумышленников становится все более широкий круг компаний, от SMB до Hight Enterprise.
«Атака, направленная на конкретную организацию, может длиться неделями, месяцами или годами и оставаться незамеченной, – акцентирует внимание Михаил Стеблин. – Все это время киберпреступники могут собирать конфиденциальную информацию или вмешиваться в бизнес-процессы организации. При этом превентивные технологии изначально не разрабатывались против подобного вида угроз и, хотя, выявляют инциденты, обычно не способны определить, что поступающие предупреждения могут быть составными частями более опасной и сложной схемы, которая может повлечь за собой огромный ущерб как единовременно, так и в долгосрочной перспективе».
Для увеличения уровня защиты, а также для выявления сложных угроз и целевых атак недостаточно «классического антивируса», и на Endpoints требуются решения класса EDR, поясняет он. За счет детектирующих логик, характерных для обнаружения сложных угроз и целевых атак удается выявлять подозрительные активности, которые могут свидетельствовать о компрометации конечной точки. Также EDR позволяет выполнять эффективное расследование и реагирование на новые угрозы.
Михаил Стеблин представил решение из портфеля «Лаборатории Касперского» – Kaspersky EDR. «Благодаря агенту, установленному на конечных узлах, Kaspersky EDR передает информацию о событиях операционной системы на центральный узел для автоматического анализа, а также для хранения, с возможностью интерактивного поиска, для выявления следов целевой атаки. Кроме того, Kaspersky EDR предоставляет возможности по реагированию: блокировка запуска / остановка процессов, удаление / получение / помещение в карантин файлов, запуск программы, а также возможность по сетевой изоляции», – пояснил он.
От защиты к автоматизации
Денис Батранков, консультант по информационной безопасности Palo Alto Networks, инициировал обсуждение решений класса SOAR (Security Orchestration Automation and Response), которые интегрируются и автоматизируют работу с множеством разнородных продуктов и выполняют за людей частые задачи, которые лежат на ИТ- и ИБ-отделе. Решения класса SOAR стали активно применяться сотрудниками SOC и техподдержки. «Основной выгодой является снижение числа ручных задач (например, для первого уровня поддержки) и увеличение скорости процессов в компании, на реализацию которых зачастую не хватает ресурсов. Кроме того, SOAR позволяет повышать экспертность сотрудников, поскольку они получают готовые плейбуки как действовать в виде лучших практик от лучших специалистов отрасли», – рассказал Денис Батранков.
Важно, что этот продукт облегчает выполнение самых однотипных действий, подмечает он: «И в ИТ, и в ИБ мы постоянно занимаемся повторяющимися операциями: принимаем и увольняем сотрудников на работу, обновляем сертификаты на рабочих станциях и на VPN, проверяем ложные срабатывания и письма на фишинг. Любой инженер техподдержки и SOC сможет сразу же назвать однотипные действия, от которых он бы с радостью отказался – и это все может сделать для него SOAR. То же самое и с сотрудниками безопасности. В итоге любое действие, которое вы делаете второй раз, можно автоматизировать и отдать роботу. У Palo Alto Networks этого робота зовут DBot, и он умеет отвечать на различные вопросы из разных сфер».
Продукт Palo Alto Networks позволяет не только получить заявку от любых собственных сотрудников или среагировать на любое событие от средств контроля, но и автоматически обработать, переспросить нужную информацию у ответственных за процесс, отправить заявку нужному человеку, если требуется его участие. «То есть это полноценный робот, который умеет даже читать и создавать email и оповещения. Он умеет напоминать о забытых задачах и эскалировать задачу, если сотрудник ее игнорирует. В многих компаниях он уже ведет учет тех, кто заболел COVID или улетел в командировку, и ему нужно соблюсти карантин. Опытные сотрудники задают готовый набор действий, который называется плейбук, и, даже если они заняты, то все равно процесс отрабатывается в самом лучшем виде. Встроенные методики Machine Learning и подсказок позволяют назначить правильного инженера техподдержки, быстро найти, как такая задача уже кем-то решалась, показать способы ее быстрого решения. Также мы снабдили свой продукт расширенным функционалом, и внутри работает Threat Intelligence Platform для обработки индикаторов компрометации IoC, поэтому наш продукт относится к классу XSOAR», – подвел итоги Денис Батранков.
Вместо заключения
После деловой части участников ждал коктейльный мастер-класс, на котором им предстояло смешать, взболтать и оценить на вкус «ингредиенты» успешной защиты бизнеса.
Первые два коктейля участникам помогли приготовить профессиональные бармены. А вот ингредиенты и их пропорции для третьего коктейля участники выбирали и смешивали самостоятельно. Придуманный коктейль нужно было назвать и эффектно презентовать жюри, в которое вошли Тимур Зиннятуллин, Михаил Стеблин и Денис Батранков. В результате напряженной борьбы коктейль «SOAR на пляже» уступил первенство коктейлю «Жесткие требования ФСТЭК».