КСБ‑СОФТ на 11% ускорил реагирование на кибератаки благодаря индикаторам Solar TI Feeds

Системный интегратор в сфере информационной безопасности КСБ‑СОФТ подключил свой клиентский центр мониторинга SOCRAT к потоку индикаторов компрометации Solar TI Feeds от ГК «Солар». Уже за прошедший квартал решение позволило КСБ‑СОФТ сократить время на сбор информации и обогащение инцидентов в 20 раз, а общее время реагирования — на 11%.

КСБ‑СОФТ — провайдер услуг мониторинга и реагирования на инциденты информационной безопасности для государственных и коммерческих заказчиков. Коммерческий Security Operation Center (SOC) организации работает с 2020 года и обеспечивает непрерывный мониторинг инцидентов, анализ ИБ-событий, выявление киберугроз и аномального поведения.

Рост уровня зрелости рынка и требований заказчиков к ИБ-провайдерам поставил перед КСБ‑СОФТ задачу повысить скорость реагирования на угрозы. Кроме того, компании было важно перейти от базового мониторинга к более зрелому сервису с глубокой аналитикой и увеличением скорости реагирования. Для решения этих задач был подключен поток данных Solar TI Feeds, а также веб-портал Threat Intelligence с дополнительным контекстом. Это дало доступ к крупнейшей базе знаний о киберугрозах в РФ и практическому опыту команды расследования киберинцидентов Solar 4RAYS, что позволяет аналитикам выдавать вердикты экспертного класса, проверяя гипотезы по готовым цепочкам атак.

Интеграция Solar TI Feeds проходила в несколько этапов и заняла не более 2 недель. В отличие от тяжелых TI-платформ, сервис предоставил набор данных об угрозах, который легко встроился в существующую архитектуру и гибко интегрировался в собственные инструменты MSS-провайдера. Процесс проходил при технической поддержке экспертов «Солара», которые оперативно решали возникающие вопросы.

Внедрение Solar TI Feeds позволило КСБ‑СОФТ снизить время реагирования на инцидент (SLA) на 11% за квартал. Кроме того, повысилось качество детектирования — за квартал с помощью TI-фидов было дополнительно выявлено 4% критичных инцидентов: это те реальные угрозы, которые были пропущены стандартными средствами мониторинга и защиты. Кратно ускорилось расследование: время на сбор информации и обогащение одного инцидента сократилось с 30–60 до 2–3 минут, так как аналитикам больше не нужно вручную искать данные в разрозненных источниках – вся требуемая информация доступна на портале Threat Intelligence.

Теперь в SIEM-системе провайдера 67% всех алертов автоматически коррелируются и обогащаются полезным контекстом от Solar TI Feeds, что повышает качество детектирования угроз. Наличие TI-фидов повысило уровень доверия более зрелых заказчиков к SOCRAT и позволило компании принять участие в государственной закупке, где наличие качественной внешней аналитики было обязательным требованием.

Михаил Шипицын

технический директор КСБ-СОФТ

«Мы ожидали эффекта от внедрения TI‑фидов примерно через полгода, но ощутимые результаты появились уже в первые дни эксплуатации. Ключевое преимущество Solar TI Feeds в том, что они дают полный контекст о киберугрозах на российском киберландшафте и позволяют на порядок ускорить принятие решения во время инцидента. Уже в первый месяц использования мы заметили значительный рост скорости и качества аналитики — результат превзошел наши ожидания».

Елена Полякова

руководитель продуктов по исследованию и предотвращению киберугроз ГК «Солар»

«Мы благодарим КСБ-СОФТ за доверие и выбор Solar TI Feeds. Уникальные данные с сенсоров в сети крупнейшего телеком-оператора “Ростелеком”, а также телеметрия и многолетняя экспертиза центров противодействия кибератакам Solar JSOC и исследования киберугроз Solar 4RAYS позволяют нам видеть наиболее полную картину российского киберландшафта. Обладая крупнейшим в России коммерческим SOC, мы как никто понимаем, насколько важно иметь максимум данных об угрозах для обеспечения полноценного мониторинга и реагирования на атаки. Мы уверены, что применение Solar TI Feeds поможет КСБ-СОФТ не только повысить качество аналитики и скорость реагирования, но и укрепить доверие заказчиков, выйдя на новый уровень защиты от современных киберугроз».

Solar TI Feeds — это уникальный сервис, предоставляющий доступ к крупнейшей базе данных о киберугрозах в России. Источники информации включают телеметрию с сенсоров в сети «Ростелекома», данные центра противодействия киберугрозам Solar JSOC. Благодаря ежедневному анализу 200+ миллиардов событий, проверке 3+ миллионов алертов и 1+ миллиона действий хакеров, сервис обеспечивает актуальные и достоверные сведения о наиболее опасных угрозах. Solar TI Feeds опирается на практический опыт команды центра исследования киберугроз Solar 4RAYS, включающий более 10 лет киберразведки и свыше 200 расследований киберинцидентов. Сервис легко интегрируется в существующие архитектуры, сокращает время реагирования и повышает качество аналитики, помогая компаниям эффективно противостоять современным киберугрозам.