«Смешать и взболтать»: состоялась встреча в формате ИБ.Среда

Группа компаний Angara совместно с партнерами – «Лабораторией Касперского» и Palo Alto Networks – провела бизнес-встречу в формате ИБ.Среда «Обновленная концепция ACRC: смешать и взболтать». Название отражает специфику новых возможностей Центра киберустойчивости ACRC (Angara Cyber Resilience Center) и проходит связующей нитью через всю программу мероприятия, объединяя деловую и неформальную части в единый смысловой концепт.

Прошедшая встреча побила все рекорды по численности участников, что демонстрирует дефицит очного общения в условиях ограниченных социальных связей, а также ценность формата ИБ.Среды, который предполагает обсуждение актуальных вопросов ИБ в теплой и дружественной обстановке.

ACRC: Служба единого окна

Ключевая тема встречи – запуск на базе Центра киберустойчивости ACRC модели сервиса MDRS (Managed Detection and Response Services), в рамках которой стираются границы между центрами мониторинга Outsource и On-premise. ACRC предоставляет услуги замещения любых функциональных ролей SOC по модели подписки, включая подключение Red / Blue / Purple Team в любом формате, на любой платформе и любом этапе. Теперь заказчики самостоятельно могут выбрать, как «смешивать» эти направления в соответствии со стоящими перед ними задачами, рассказал в ходе своего выступления Тимур Зиннятуллин, директор Центра киберустойчивости ACRC.

«Основная цель – это усиление экспертизы и формирование единой ресурсной базы для решения любых задач наших клиентов по направлению мониторинга и реагирования, вне зависимости от желаемого форм-фактора исполнения: On-Premise или Outsource, и даже при необходимости использования гибридных решений. Для ее достижения, традиционная практика в интеграции была объединена с сервисным направлением в единое подразделение. В результате подобного объединения, помимо прочего, у сервисного подразделения появилась возможность использовать ресурсы Red Team для проведения киберучений и проверки своей работы в боевых условиях, а интеграторское подразделение обогатилось большим опытом сервисного подхода к решению классических задач в интеграции, например, замещение функциональных ролей по развитию процессов Incident Response у наших клиентов по модели подписки», – пояснил Тимур Зиннятуллин.

В результате заказчики получили возможность получить все услуги SOC в формате единого окна.

? Единая точка взаимодействия для решения задач по направлениям:

? Коммерческий SOC – ACRC с возможностью подключения к ГосСОПКА.

? Автоматизация процессов ИБ в части организации мониторинга событий.

? Обогащение процессов ИБ сторонней аналитикой.

? Мониторинг и управление инцидентами ИБ [On-Premise & Outsource].

? Автоматизация управления и реагирования на инциденты ИБ [On-Premise & Outsource].

? Визуализация и контроль метрик эффективности средств защиты информации.

? Обогащенная экспертиза по каждому направлению.

? Возможность получения экспертизы путем замещения своих функциональных ролей сотрудниками Центра киберустойчивости по модели подписки.

? Возможность подключения сторонней аналитики и дополнительного функционала к уже внедренным решениям класса SIEM без капитальных затрат.

Антивируса недостаточно

Михаил Стеблин, старший технический эксперт «Лаборатории Касперского», рассказал, как EDR (Endpoint Detection & Response) позволяет выявлять и реагировать на новые угрозы.

По его словам, сегодня стоимость атак для злоумышленников снижается, при этом растет сумма ущерба от успешной атаки. «Лаборатория Касперского» отмечает эволюцию вредоносного ПО и техник сокрытия от средств защиты. В этих условиях целями злоумышленников становится все более широкий круг компаний, от SMB до Hight Enterprise.

«Атака, направленная на конкретную организацию, может длиться неделями, месяцами или годами и оставаться незамеченной, – акцентирует внимание Михаил Стеблин. –  Все это время киберпреступники могут собирать конфиденциальную информацию или вмешиваться в бизнес-процессы организации. При этом превентивные технологии изначально не разрабатывались против подобного вида угроз и, хотя, выявляют инциденты, обычно не способны определить, что поступающие предупреждения могут быть составными частями более опасной и сложной схемы, которая может повлечь за собой огромный ущерб как единовременно, так и в долгосрочной перспективе».

Для увеличения уровня защиты, а также для выявления сложных угроз и целевых атак недостаточно «классического антивируса», и на Endpoints требуются решения класса EDR, поясняет он. За счет детектирующих логик, характерных для обнаружения сложных угроз и целевых атак удается выявлять подозрительные активности, которые могут свидетельствовать о компрометации конечной точки. Также EDR позволяет выполнять эффективное расследование и реагирование на новые угрозы.

Михаил Стеблин представил решение из портфеля «Лаборатории Касперского» – Kaspersky EDR. «Благодаря агенту, установленному на конечных узлах, Kaspersky EDR передает информацию о событиях операционной системы на центральный узел для автоматического анализа, а также для хранения, с возможностью интерактивного поиска, для выявления следов целевой атаки. Кроме того, Kaspersky EDR предоставляет возможности по реагированию: блокировка запуска / остановка процессов, удаление / получение / помещение в карантин файлов, запуск программы, а также возможность по сетевой изоляции», – пояснил он.

От защиты к автоматизации

Денис Батранков, консультант по информационной безопасности Palo Alto Networks, инициировал обсуждение решений класса SOAR (Security Orchestration Automation and Response), которые интегрируются и автоматизируют работу с множеством разнородных продуктов и выполняют за людей частые задачи, которые лежат на ИТ- и ИБ-отделе. Решения класса SOAR стали активно применяться сотрудниками SOC и техподдержки. «Основной выгодой является снижение числа ручных задач (например, для первого уровня поддержки) и увеличение скорости процессов в компании, на реализацию которых зачастую не хватает ресурсов. Кроме того, SOAR позволяет повышать экспертность сотрудников, поскольку они получают готовые плейбуки как действовать в виде лучших практик от лучших специалистов отрасли», – рассказал Денис Батранков.

Важно, что этот продукт облегчает выполнение самых однотипных действий, подмечает он: «И в ИТ, и в ИБ мы постоянно занимаемся повторяющимися операциями: принимаем и увольняем сотрудников на работу, обновляем сертификаты на рабочих станциях и на VPN, проверяем ложные срабатывания и письма на фишинг. Любой инженер техподдержки и SOC сможет сразу же назвать однотипные действия, от которых он бы с радостью отказался – и это все может сделать для него SOAR. То же самое и с сотрудниками безопасности. В итоге любое действие, которое вы делаете второй раз, можно автоматизировать и отдать роботу. У Palo Alto Networks этого робота зовут DBot, и он умеет отвечать на различные вопросы из разных сфер».

Продукт Palo Alto Networks позволяет не только получить заявку от любых собственных сотрудников или среагировать на любое событие от средств контроля, но и автоматически обработать, переспросить нужную информацию у ответственных за процесс, отправить заявку нужному человеку, если требуется его участие. «То есть это полноценный робот, который умеет даже читать и создавать email и оповещения. Он умеет напоминать о забытых задачах и эскалировать задачу, если сотрудник ее игнорирует. В многих компаниях он уже ведет учет тех, кто заболел COVID или улетел в командировку, и ему нужно соблюсти карантин. Опытные сотрудники задают готовый набор действий, который называется плейбук, и, даже если они заняты, то все равно процесс отрабатывается в самом лучшем виде. Встроенные методики Machine Learning и подсказок позволяют назначить правильного инженера техподдержки, быстро найти, как такая задача уже кем-то решалась, показать способы ее быстрого решения. Также мы снабдили свой продукт расширенным функционалом, и внутри работает Threat Intelligence Platform для обработки индикаторов компрометации IoC, поэтому наш продукт относится к классу XSOAR», – подвел итоги Денис Батранков.

Вместо заключения

После деловой части участников ждал коктейльный мастер-класс, на котором им предстояло смешать, взболтать и оценить на вкус «ингредиенты» успешной защиты бизнеса.

smeshat-i-vzboltat-sostoyalas-vstrecha-v-formate-ib-sreda-posvyashchennaya-obnovlennoy-kontseptsii-ts-1.png

Первые два коктейля участникам помогли приготовить профессиональные бармены. А вот ингредиенты и их пропорции для третьего коктейля участники выбирали и смешивали самостоятельно. Придуманный коктейль нужно было назвать и эффектно презентовать жюри, в которое вошли Тимур Зиннятуллин, Михаил Стеблин и Денис Батранков. В результате напряженной борьбы коктейль «SOAR на пляже» уступил первенство коктейлю «Жесткие требования ФСТЭК».

smeshat-i-vzboltat-sostoyalas-vstrecha-v-formate-ib-sreda-posvyashchennaya-obnovlennoy-kontseptsii-ts-2.png


Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах