7-8 декабря в Москве состоялся VII SOC-Форум – одно из крупнейших событий в сфере информационной безопасности, организованное ФСБ России и ФСТЭК России в партнерстве с «Ростелеком-Солар». Представители рынка ИБ обсудили вопросы киберзащиты на уровне государства и бизнеса, изменения в киберпреступном сообществе и необходимость соответствующей трансформации центров мониторинга и реагирования на инциденты ИБ.  

Тон мероприятию задала ключевая дискуссия «Кибербезопасность: перезагрузка. Защита от компьютерных атак как неотъемлемая часть обеспечения безопасности процессов управления и бизнес-процессов», в которой приняли участие представители профильных министерств и ведомств, крупных корпораций и ИБ-компаний: Игорь Качалин (НКЦКИ), Виталий Лютиков (ФСТЭК России), Александр Шойтов (Минцифры), Антон Семейкин (Минэнерго), Станислав Кузнецов (СберБанк), Юрий Максимов (Positive Technologies), Дмитрий Григорьев (Норильский Никель) и Игорь Ляпунов («Ростелеком»). Комментируя основные аспекты ключевой дискуссии, Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком», отметил:
«За последние 1,5 года цифровизация получила значительное ускорение, в то время как кибербезопасность двигалась равномерным темпом, став болевой точкой технологического развития. И все это на фоне значительно выросших киберугроз. Очевидно, что требуется переосмысление подходов к обеспечению защиты – с точки зрения не только экспертизы и технологий, но и инвестиций в ИБ со стороны государства и бизнеса, а также регулирования. Например, для эффективной цифровизации компании все чаще используют облачную модель и аутсорсинг ИТ и ИБ. Но облака сильно изменили баланс ответственности за безопасность. Если раньше она целиком была на владельцах систем, то сейчас де-факто перешла на операторов облаков – в явном виде назрела необходимость изменений и в нормативной базе. Или другой быстро развивающийся тренд – атаки через подрядчиков: по сути у компаний сейчас нет возможности ни проверить защищенность аутсорсеров, ни разделить с ними ответственность в случае киберинцидента. И этот вопрос отрасли тоже надо серьезно проработать».

Продолжая тему киберперезагрузки, Игорь Качалин, первый заместитель директора Национального координационного центра по компьютерным инцидентам, констатировал:
«За последние годы квалификация злоумышленников значительно выросла, реализуемые компьютерные атаки далеко не всегда возможно выявить с помощью стандартных средств мониторинга. Это связано как с развитием инструментария злоумышленников и использованием новых векторов атак (через подрядчиков или с помощью теневого рынка доступов), так и с существующими проблемами в самих организациях (отсутствием патч-менеджмента, игнорированием правил безопасной разработки, низким уровнем киберграмотности сотрудников и другими факторами). В таких условиях наряду с повышением защищенности информационных ресурсов организациям необходимо максимально расширять инструментарий и область выявления компьютерных инцидентов, совершенствовать навыки и процессы обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В масштабах всей страны ключевое значение приобретает качество информационного взаимодействия в рамках ГосСОПКА. НКЦКИ, являясь центром компетенции в области компьютерных инцидентов, играет здесь роль не только верхней точки иерархии ГосСОПКА, но и центра сбора, наполнения и обогащения знаний об угрозах безопасности информации, а также экспертной поддержки в интересах всех ее участников».

Тематика взаимоотношений владельцев КИИ с регулятором нашла отражение в дискуссии «ГосСОПКА: взаимодействовать или быть частью», участники которой обсудили особенности информационного обмена субъектов КИИ и федерального CERT в российских реалиях.

В ходе сессии «Отрасль и новые реалии» Сергей Корелов, НКЦКИ, обозначил тренды современных киберугроз в РФ на основе аналитических данных НКЦКИ, ФИНЦЕРТ и ведущих компаний рынка ИБ – Лаборатория Касперского, «Ростелеком-Солар» и Posistive Technologies. Так, наибольшая доля угроз ИБ пришлась на органы госвласти и муниципального управления, промышленность и финансовый сектор. Ключевыми векторами проникновения стали социальная инженерия и взлом внешнего периметра организаций. При этом злоумышленники могут беспрепятственно развивать атаку от 3-4 недель до 3,5 лет. Среди первоочередных мероприятий, препятствующих быстрому перемещению хакеров в инфраструктуре, эксперт назвал установку критичных обновлений по всей сети, использование сложных паролей и надежное их хранение, запрет удаленного входа для учетных записей локальных администраторов и блокировку учетных записей после большого количества ошибок аутентификации.

Питч-сессия «Опыт ошибок SOC» включила честные рассказы представителей коммерческих и внутренних SOC о том, какие ошибки и болезненный опыт ими были получены за последнее годы и что нужно делать иначе, чтобы SOC, особенно коммерческий, в компании функционировал корректно. Свою лепту в дискуссию внесли и заказчики, представив взгляд на ситуацию с другой стороны. Участники питч-сессии поделились, каким должен быть идеальный коммерческий SOC, как соблюсти баланс между типовой услугой и кастомизацией, как определить зоны ответственности и наладить эффективное взаимодействие внешней и внутренней команд ИБ и др.

Тема идеального SOC была продолжена в рамках круглого стола «SOC будущего vs SOC 10 лет назад». Ведущий секции, директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков пояснил:
«Мы постарались проследить, как эволюционировали российские SOC: с чего они начинались, как развивались, что изменилось в технологиях, кадровом потенциале, процессах и как трансформировались сами киберугрозы. Уже сейчас очевидно, что запрос на экспертизу и в части технологий, и в части сотрудников SOC вырос существенно, что создает потребность всерьез пересматривать ландшафт создаваемых ранее экосистем безопасности».
Особый интерес аудитории вызвала сессия «Экономика безопасности». Дарья Кошкина, руководитель направления аналитики киберугроз, «Ростелеком-Солар», подняла проблему недостаточного финансирования ИБ и привела пример реальной атаки в 2019 г. на региональный банк из топ-300. Для банка тогда ущерб составил более 20 млн рублей. А вот компания Damco («дочка» холдинга Maersk) в результате атаки вируса-шифровальщика потеряла 200-300 млн долл., тогда как для злоумышленников подобная атака обходится менее чем в 0,5 млн руб. В обоих случаях инвестиции в ИБ, достаточные для предотвращения этих атак, были бы существенно ниже – заключила Дарья Кошкина.

В ходе круглого стола «С кем боремся: структура темной стороны» ведущие российские компании – исследователи в области ИБ («Ростелеком-Солар», Лаборатория Касперского, Positive Technologies, BI.ZONE) препарировали даркнет и его «бизнес-стратегии». В частности, поднимались вопросы о том, какие есть специальности на «темной стороне», как готовятся и проводятся атаки, сколько стоит ВПО, что представляет собой рынок доступов в организации, и умирают ли группировки, после того как на них обрушивается вся мощь Интерпола и ФБР, или просто меняют личины? Не обошли стороной и практический аспект: как компании действовать в случае если ее взломали? Второй день SOC-Форума привнес отраслевую специфику в обсуждение темы кибербезопасности. Были рассмотрены особенности злоумышленников и методы защиты от них в наиболее часто атакуемых секторах экономики: в госуправлении, финансовой сфере, а также в промышленности и ТЭК.

Директор департамента цифровой трансформации Минэкономразвития России Александр Маслов и операционный директор Центра противодействия кибератакам Solar JSOC «Ростелеком-Солар» Антон Юдаков рассказали об успешном опыте создания ведомственного центра ГосСОПКА по сервисной модели. ИБ-проект стал частью проекта переезда в одно здание, централизации ИТ-ресурсов и перевода на сервисную модель сразу нескольких ведомств: Минэкономразвития, Минпромторга, Минцифры, Ростуризма, Росаккредитации, Росстандарта, подразделений Федерального Казначейства и ФАДН, объединяющих 5,5 тыс. сотрудников. Сегодня «Ростелеком-Солар» обеспечивает защиту единой инфраструктуры в части выявления и реагирования на киберинциденты, а также выполняет функции взаимодействия с НКЦКИ. Как отметил Александр Маслов, сервисная модель помогла сэкономить кадровые ресурсы и время на организацию процессов ИБ. При этом за время сотрудничества инфраструктура уже неоднократно подвергалась сложным атакам от наиболее продвинутых группировок – справиться с ними самостоятельно у министерства вряд ли бы получилось – подытожил спикер.

О варианте взаимодействия с внешним SOC по гибридной модели в промышленности рассказал Антон Кокин, начальник управления средств защиты ИТ-инфраструктуры, ТМК. Спикер поделился опытом эффективной совместной работы с Solar JSOC, методиками формирования сценариев реагирования и элементами кастомизации в этом процессе. Важной составляющей проекта, по словам Антона Кокина, стал процесс постоянного взаимодействия между бизнесом, ИБ-подразделением и сервис-провайдером «Ростелком-Солар».

Самая неформальная часть форума – «Антипленарка» – прошла в формате мозгового штурма с элементами спора на тему «Выбирая следующую катастрофу 2025». Эксперты высказывали предположения насчет обозримого будущего для «светлой» и «темной» стороны киберпространства. Какие сценарии наиболее опасны: перебои с поставками комплектующих во всем мире, изоляция и распад сети Интернет в результате информационных войн, драматическое снижение количества технически грамотных специалистов, а может, внедрение «внеземных» технологий (переход на zerocode-разработку и т.п.)? Обсудив сценарии возможного апокалипсиса, эксперты также поделились идеями эффективного противостояния.

Итоги похожего противостояния – в формате киберучений – были подведены в завершение форума. По легенде, 10 команд, представляющих госсектор, энергетику, банки, металлургию и др. отрасли, оказались в будущем, где мир захватил новый вирус-шифровальщик. Задачей безопасников стало спасение мира от нависшей над ним угрозы, и они справились.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Solar DAG 2.0: кроссплатформенное решение с глубокой аналитикой, автоматизацией мониторинга и реагирования на ИБ-инциденты

Solar DAG 2.0: кроссплатформенное решение с глубокой аналитикой, автоматизацией мониторинга и реагирования на ИБ-инциденты

Узнать больше
Кибербезопасность в цифровую эпоху: кто отвечает за защиту детей в интернете?

Кибербезопасность в цифровую эпоху: кто отвечает за защиту детей в интернете?

Узнать больше
Стартует отборочный этап на IV Международный киберчемпионат по информационной безопасности

Стартует отборочный этап на IV Международный киберчемпионат по информационной безопасности

Узнать больше
Клиенты Т2 заказали более двух миллионов проверок утечки персональных данных от «Солара»

Клиенты Т2 заказали более двух миллионов проверок утечки персональных данных от «Солара»

Узнать больше
«Солар»: как российские организации подходят к выбору NGFW для киберзащиты

«Солар»: как российские организации подходят к выбору NGFW для киберзащиты

Узнать больше
Коммуникационная платформа VK Tech и Solar Dozor защитят конфиденциальные данные от утечек

Коммуникационная платформа VK Tech и Solar Dozor защитят конфиденциальные данные от утечек

Узнать больше
Виртуальная схватка: «Солар» смоделирует атаки и покажет компаниям слабые места в их ИБ-защите

Виртуальная схватка: «Солар» смоделирует атаки и покажет компаниям слабые места в их ИБ-защите

Узнать больше
«Солар» запустил первую в РФ услугу архитектора комплексной кибербезопасности

«Солар» запустил первую в РФ услугу архитектора комплексной кибербезопасности

Узнать больше
«Солар» удвоил OIBDA до 5,4 млрд рублей по итогам 2024 года, чистая прибыль достигла 1,3 млрд рублей

«Солар» удвоил OIBDA до 5,4 млрд рублей по итогам 2024 года, чистая прибыль достигла 1,3 млрд рублей

Узнать больше
ГК «Солар»: формирование корпоративной киберкультуры сокращает число ошибок персонала в ИБ на 70%

ГК «Солар»: формирование корпоративной киберкультуры сокращает число ошибок персонала в ИБ на 70%

Узнать больше