Цифры говорят
Ильназ Гатауллин, МТС RED: «ИИ не заменит аналитика SOC, но он может стать хорошим помощником»
29.08.2024 |
МТС RED SOC (Security Operation Center) – одно из ключевых подразделений компании МТС RED, вобравшей в себя мощную экспертизу в сфере информационной безопасности. Центр мониторинга и реагирования на кибератаки МТС RED динамично развивается, расширяет охват рынка и обрастает новыми сервисами. Подробностями и планами дальнейшего развития с порталом ICT-Online.ru делится технический руководитель направления МТС RED SOC компании МТС RED Ильназ Гатауллин.
– Ильназ, какие тенденции актуальны сегодня для рынка ИБ? Есть ли в этом плане изменения относительно 2023 года?
– С одной стороны, глобальных изменений по сравнению с прошлым годом пока не произошло. С другой – очевидно, что сейчас начинает набирать силу новый большой тренд ближайших лет: применение технологий искусственного интеллекта при подготовке и проведении кибератак. В социальной инженерии злоумышленники используют генеративный AI для формирования максимально реалистичных и убедительных фишинговых писем. Он снижает для атакующих порог входа и помогает преодолеть языковой барьер. Это позволяет им более эффективно проникать даже в хорошо защищенную с точки зрения инструментов ИБ инфраструктуру.
Автоматизация и совершенствование даже такой простой техники, как фишинг, способно кратно повысить шансы злоумышленника на проникновение в инфраструктуру компании-жертвы. Конечно, во избежание таких инцидентов многие компании проводят мероприятия по повышению киберграмотности и цифровой гигиены сотрудников, Security Awareness, но пока – далеко не все. Поэтому сейчас даже не самые качественно подготовленные фишинговые рассылки часто достигают цели. Кроме того, чтобы значимо повысить уровень защищенности компании, мероприятия по повышению киберграмотности надо проводить на системной основе, единичные киберучения не дадут заметного результата.
И это только вершина айсберга возможностей, которые дает злоумышленникам искусственный интеллект. Думаю, в ближайшие годы мы увидим развитие этого тренда.
Технический руководитель направления МТС RED SOC компании МТС RED Ильназ Гатауллин
Фото: МТС RED
– В конце 2023 года в МТС RED SOC зафиксировали рост количества атак на медучреждения. Можно ли сейчас выделить подобные новые вектора киберугроз?
– Сегодня злоумышленники по-прежнему достаточно активно атакуют и медучреждения, и учреждения госсектора, и промышленные предприятия. Продолжая разговор о тенденциях, более важно отметить не отраслевую специфику, а то, что злободневно для всех: компрометацию ИТ-подрядчиков, через которых потом происходит развитие атаки на инфраструктуру их заказчиков.
Этот вектор атак активно используется в связи с несколькими факторами. В то время как, например, к объектам КИИ или организациям финансового сектора предъявляются жесткие регуляторные требования по обеспечению безопасности ИТ-инфраструктуры, у подрядчиков такой регуляторики нет. И часто ИТ-подрядчик – это относительно небольшая компания с базовым уровнем кибербезопасности, и скомпрометировать такую компанию гораздо проще, чем ее заказчика. В результате, взломав подрядчика, злоумышленники пользуются его легитимными доступами в инфраструктуру компании-клиента, которая и является их главной целью. Мы видим большой объем таких атак в последнее время.
При этом, чтобы не быть обнаруженными, атакующие действуют иногда очень изобретательно. Например, в одной компании, проникнув таким образом в инфраструктуру заказчика, злоумышленники проявляли активность именно в те же временные промежутки, когда подрядчик обычно производил работы по обновлению у заказчика программного обеспечения. Они очень искусно имитировали деятельность ИТ-аутсорсера, даже перемещались по тем же самым хостам, что и он. Обнаружить их удалось только благодаря небольшим нестыковкам между временем записей в журналах работ подрядчика и временем аутентификации его учетной записи в системе.
Заказчики могли бы обезопасить себя от подобных рисков. Для этого мы рекомендуем решения, которые обеспечивают проведение аутсорсинговых работ в ИТ-инфраструктуре через промежуточный сервер, который фиксирует все действия подрядчиков. Так можно настроить мониторинг вплоть до фиксации видеозаписи действия подрядчика и журналирования вводимых команд. В случае компрометации это существенно облегчит ее выявление и анализ.
– В прошлом году в качестве одного из направлений развития МТС RED SOC спикер нашего интервью назвал максимально глубокое погружение в инфраструктуру и задачи клиентов. Какие данные об инфраструктуре компании вам в первую очередь необходимы для ее защиты?
– Безусловно, нам важно знать, что входит в ИТ- и сетевую инфраструктуру заказчика, какие в ней существуют компоненты, какова их функциональность: так мы можем более детально понять, как функционирует эта инфраструктура и каковы приоритетные риски при проведении атак на определенные узлы и подсети, уменьшить количество ложноположительных срабатываний системы защиты (False Positive). Также мы, например, проводим сбор данных о том, какие средства удаленного управления использует заказчик, чтобы отслеживать активности: например, если в перечне регламентированного ПО нет утилиты TeamViewer, значит, ее использование, если таковое будет замечено, мы расценим как нелегитимное.
Другой важной информацией для нас является наличие в защищенном периметре заказчика открытых портов. Они могут свидетельствовать, в том числе, об ошибках при настройке межсетевого экранирования, из-за которых определенные сервисы, не предназначенные для внешнего доступа, оказываются уязвимыми.
– По пресс-релизам мы видим, что МТС RED выполняет обещания и планомерно расширяет функциональность SOC. Какие обновления, произошедшие за последний год, для вас являются наиболее значимыми?
– Каждый новый сервис появляется в нашем портфеле по итогам оценки потребностей заказчиков. Так, одним из последних на данный момент мы добавили на платформу инструмент EDR (Endpoint Detection and Response) от «Лаборатории Касперского», который выполняет функцию инвазивного реагирования на инциденты: позволяет удаленно производить в инфраструктуре заказчика такие действия, как изоляция хоста или отключение учетной записи, получать дополнительные артефакты с конечных точек сети. Это повышает скорость реагирования со стороны SOC и таким образом дает возможность эффективнее предотвращать развитие атак. Например, раньше в случае инцидента специалист SOC чаще всего звонил заказчику и сообщал о том, что произошло хищение учетных записей или других данных, которые позволят злоумышленнику развивать атаку. Если реагирование силами заказчика осуществлялось недостаточно быстро, злоумышленник мог закрепиться на других хостах, оставить там закладки, бэкдоры, которые позволили бы ему передавать данные в командный центр и в перспективе вернуться в инфраструктуру. EDR же предоставляет больше возможностей аналитику SOC.
Другой новый сервис на платформе МТС RED SOC – технологии киберобмана на базе решения Xello Deception. В инфраструктуре заказчика размещаются так называемые ловушки и приманки, которые с большой долей вероятности будут задействованы в ходе кибератак и таким образом позволят выявить присутствие злоумышленников в инфраструктуре. Это могут быть, к примеру, ложный файл или данные операционной системы, которые обычно запрашивает злоумышленник для проведения атаки – такие, как хэш-пароли в памяти процесса lsass.exe. Когда он открывает такой файл или запрашивает хэш, Deception-система это фиксирует и передает данные в SIEM. Далее происходит обработка, анализ этого события, запускается процесс реагирования. Сервис полезен для заказчиков всех отраслей. А для аналитиков SOC он становится дополнительным источником событий, необходимых для детектирования более сложных атак, для которых бывает сложно реализовать корреляционные правила в SIEM-системе в классическом виде.
– Как изменилось количество и структура ваших заказчиков за год? Появляются ли новые сегменты, отрасли? Есть ли изменения в перечне наиболее востребованных услуг?
– Количество заказчиков МТС RED SOC выросло за последний год в два раза. За это время среди наших заказчиков появились организации новых отраслей - госучреждения, образовательные организации, транспортные и девелоперские компании, организации сферы туризма и другие. Число заказчиков в тех отраслях, с которыми мы работали и ранее, тоже расширилось. Можно отметить, что, помимо крупных игроков, стало гораздо больше компаний из сегмента среднего бизнеса.
Перечень наиболее востребованных сервисов кибербезопасности, в принципе, остался прежним: это мониторинг и реагирование на кибератаки – ключевые сервисы SOC, а также защита от DDoS-атак и атак на веб-приложения, которые обычно применяются в связке для комплексной защиты веб-ресурсов.
– Увеличивается ли штат МТС RED SOC в связи с расширением и функциональных возможностей платформы, и количества заказчиков? Влияет ли на вас дефицит кадров, и где вы берете квалифицированных сотрудников? Какие у вас сейчас открыты вакансии?
– Расширение функциональности и рост числа заказчиков, безусловно, требует дополнительных ресурсов, в том числе человеческих. Мы активно набираем людей, открытые вакансии у нас есть практически на все позиции: на первую, вторую и третью линия аналитиков SOC, в команду администраторов SIEM и т. д. Все они доступны, в том числе, на специализированных ресурсах для соискателей. В целом за два года штат МТС RED SOC увеличился на 70% и превысил 300 человек. К уже имеющимся офисам в Москве Краснодаре, Хабаровске и Ярославле добавились подразделения SOC в Казани, Челябинске и Ижевске.
Дефицит кадров ощущается, квалифицированные специалисты всегда нарасхват, за них нужно бороться. Поэтому на первую линию поддержки мы набираем выпускников старших курсов, обязательно проводим обучение, за ними закрепляется опытный наставник. Мы ставим своей целью рост и развитие кадров внутри компании, но это работа вдолгую, потому сейчас на более высокоуровневые позиции мы нанимаем людей с серьезным опытом работы в сфере кибербезопасности.
Кроме того, в ближайшее время мы планируем наладить систематическую работу с вузами, чтобы брать студентов на стажировку. Раньше это были единичные кейсы, а теперь мы расширим пул вузов и планируем вести эту работу на системной основе.
– В чем особенность гибридной модели SOC, которую вы недавно начали предлагать рынку? Для кого она предназначена и какие преимущества предоставляет?
– Гибридная модель SOC применима, в первую очередь, когда заказчик уже приобрел SIEM-решение, но испытывает сложности с его поддержкой и развитием, не может найти на рынке квалифицированных специалистов или только набирает команду. В этом случае мы берем SIEM на сопровождение: решение полностью развернуто на стороне заказчика, а мы подключаем в нем источники событий, пишем и профилируем корреляционные правила, вносим исключающие условия для снижения числа Fails Positive, осуществляем мониторинг событий ИБ. Соответственно, заказчик, имея собственную SIEM-систему в периметре, избавляется от необходимости в найме, обучении, онбординге и удержании сотрудников, которые будут ей заниматься, и в целом снимает с себя головную боль по поддержке, контролю состояния системы.
Другой сценарий – когда заказчик только планирует приобрести SIEM, начинает процесс внедрения. Пока это решение спроектируют, развернут в инфраструктуре, подключат все источники, может пройти от полугода, и это самый оптимистичный вариант. Если же заказчик на это время подключится к облачному SOC, он может сразу получить ядро SIEM в нашем облаке. На своей стороне ему останется только развернуть коллектор и брокер, которые собирают, агрегируют и нормализуют события. Это уже потребует сравнительно небольших трудозатрат и гораздо меньше времени – а результатом станет полноценная функция мониторинга и выявления атак.
Одно из преимуществ гибридной модели – наша экспертиза: огромный опыт взаимодействия МТС RED SOC с заказчиками из разных отраслей, компетенции в разработке корреляционных правил, широкий спектр детектирующей логики и практика реагирования. Мы полностью берем на себя обеспечение работоспособности SIEM системы, отвечаем за корреляционные правила в системе, за нормализацию, мониторинг, информирование заказчика об алертах.
– Меняется ли МТС RED SOC в плане удобства использования, интерфейса, личного кабинета, функций администрирования?
– Да, безусловно. За последнее время в плане технологического развития мы реализовали интеграции SOC с SIEM-системами ведущих вендоров. В плане интерфейса – добавили дополнительные всплывающие окна (тултипы) для трансляции подсказок по работе SOC, а также информацию о выполнении SLA, то есть о времени, оставшемся на реагирование. Также мы расширили отчетность по инцидентам и подозрениям, сделали ее более информативной.
Почему-то у нас в отрасли внешний вид и удобство пользовательского интерфейса сложных систем часто считается делом второстепенным. Но нам кажется важным развивать не только ту часть, которая находится «под капотом» у SOC, но и ту, с которой ежедневно работает наш заказчик. Мы стараемся учесть все возможные сценарии использования личного кабинета – от рутинного контроля эффективности SOC со стороны специалиста по кибербезопасности до источника данных для отчетов руководству компаний.
Поэтому мы планируем и дальше уделять внимание развитию и улучшению личного кабинета. В этом вопросе мы здесь работаем от потребностей заказчиков – на постоянной основе собираем их пожелания по поводу того или иного функционала, анализируем, приоритизируем наиболее востребованные запросы и заносим их в планы разработки.
– Цифровая трансформация, аналитика данных, искусственный интеллект – насколько все эти современные тренды влияют на рынок ИБ?
– Мы внимательно следим за развитием технологий искусственного интеллекта и анализируем варианты их реализации на нашей платформе. Дело в том, что текущими средствами автоматизации трудно добиться значимого повышения полноты отчетов или скорости выдачи рекомендаций по реагированию. Чтобы развивать SOC не только за счет количества оказываемых сервисов, но и за счет их качества, необходимо исследовать возможности, которые дают нам новые технологии, и в том числе искусственный интеллект.
Например, с помощью мы можем автоматизировать рутинные задачи аналитиков SOC, связанные с формированием карточки инцидента: на основании определенных событий система может самостоятельно описать цепочку действий атакующего. Добившись снижения трудозатрат на эту процедуру, специалисты будут тратить больше времени на проведение валидации. ИИ также может быть эффективен в части формирования правил для снижения False Positive и донастройки правил корреляции под конкретного заказчика, а это дает нам возможность быстрее подключать сервисы SOC во всей полноте их возможностей.
В процессах SOC, связанных с анализом и расследованием инцидента, ИИ может быть полезен как инструмент автоматизированного сбора и систематизации дополнительной информации о наблюдаемых техниках, тактиках и процедурах, инструментарии злоумышленника. Такая автоматизация позволяет аналитику не тратить время на рутинные действия и сосредоточиться на наиболее интеллектуально трудоемкой работе, а заказчик в результате получает более полный и детализированный отчет об атаки в максимально короткие сроки. И, наконец, мы исследуем возможности ИИ для Threat Hunting – проактивного поиска вредоносной активности в инфраструктуре.
Мы считаем, что ИИ не заменит аналитика SOC, но он может стать хорошим помощником, освободить человека от совсем уж рутинной работы и в конечном счете помочь сделать серьезный рывок в повышении показателей качества работы центров мониторинга.
– Какие новые задачи развития SOC вы ставите перед собой на будущий год?
– Мы продолжаем расширять пул используемых в SOC технологий, внедрять средства автоматизации, чтобы увеличить производительность. Поскольку у нас растет число заказчиков из разных отраслей, мы будем добавлять новые возможности интеграции нашего SOC со смежными сервисами и нетиповыми источниками событий. Как уже было сказано выше, мы продолжим исследовать направление ИИ, чтобы максимально идти в ногу со временем. И конечно – мониторить рынок на предмет появления новых типов и направлений кибератак.
Свежее по теме
СПЕЦПРОЕКТ
ECM.ICT-ONLINE Автоматизация процессов документооборота и делопроизводства
