Threat Hunting
Собственная команда исследователей
Непрерывное изучение актуальных методов злоумышленников
Проактивная защита от сложных атак
Оперативное выявление и устранение угроз
Системное повышение эффективности мониторинга

Число атак со стороны высококвалифицированных злоумышленников стремительно растет, а их инструментарий стабильно усложняется. За 2020 год эксперты центра противодействия кибератакам Solar JSOC зафиксировали 30%-й рост атак продвинутых киберпреступников, нацеленных на получение контроля над инфраструктурой. При этом 49,2% атак детектировалось только с помощью сложных интеллектуальных средств защиты.
Действуем на опережение
В основе эффективности сервисов Solar JSOC лежит работа с известными и неизвестными ранее угрозами. Мы не ограничиваемся базовым мониторингом и реагированием на инциденты, а строим гипотезы и ищем возможности обнаружить преступника и предупредить атаку до момента, когда ситуация станет критической.
Решающую роль в проактивной защите от угроз играет Threat Hunting – одно из направлений работы собственной исследовательской лаборатории «Ростелеком-Солар» Solar JSOC CERT. В рамках Threat Hunting специалисты непрерывно изучают деятельность злоумышленников, выявляют профили их поведения и в результате совершенствуют сервисы Solar JSOC с учетом обнаруженных новых техник и тактик.
Развиваем внутреннюю экспертизу
Лаборатория Solar JSOC CERT – это собственные команды экспертов в каждом направлении.
-
300+выявленных атак организованы
профессиональными злоумышленниками
-
18%из них были проведены высокопрофессиональными хакерами – кибернаемниками и проправительственными группировками
-
70%случаев, в которых продвинутые киберпреступники
использовали самописное ВПО
или самописные скрипты
Итоги исследований Solar JSOC CERT за 2021 год
Исследовательская лаборатория Solar JSOC CERT – сертифицированный член международного сообщества FIRST (Forum of Incident Response and Security Teams)
Как построен процесс совершенствования сервисов
* Данные, полученные в процессе Digital Forensic, Incident Response, Malware Analysis.
** Данные из публичных источников, в которых эксперты по ИБ со всего мира делятся информацией об обнаруженных угрозах.
*** 4-я линия мониторинга, каждый специалист которой закреплен за определенным заказчкиком. Аналитики 4-й линии изучают нетиповые критические инциденты своих заказчиков, анализируют аномальные активности, а также участвуют в расследовании инцидентов, не зафиксированных мониторингом, и в разработке новых сценариев.
Этапы Threat Hunting: как мы это делаем
Шаг 1. Гипотеза
- Ежедневно специалисты Solar JSOC CERT вместе с командой мониторинга и анализа инцидентов изучают данные, полученные от форензеров, реверсеров и из паблика, и проверяют выдвинутые на их основе гипотезы о деятельности злоумышленников
Шаг 2. Исследование и воспроизведение
- Специалисты исследуют потенциальную угрозу до тех пор, пока гипотеза не будет опровергнута или пока не будет получена полная картина событий и информация о действиях, методах и целях киберпреступников
Шаг 3. Решение
- В случае подтверждения гипотезы аналитики пишут новые правила для SIEM-системы и добавляют их в настройки мониторинга для автоматического детектирования попытки проникновения со стороны обнаруженного злоумышленника или группировки
Анализируем дополнительные данные
Solar JSOC обладает одной из крупнейших в России баз Threat Intelligence, которая обновляется ежедневно. В базу стекается объемный массив данных:
Также для Threat Hunting активно используются:
- Матрицы MITRE ATT&CK. По состоянию на лето 2021 года специалисты Solar JSOC анализируют более 120 признаков, и их число постоянно растет
- Данные об угрозах, полученные от ГосСОПКА
- Данные, полученные «Лабораторией кибербезопасности АСУ ТП»
- Данные из сети ханипотов и сенсоров «Ростелеком-Солар»
- Сырые данные и статистические списки по всем клиентам Solar JSOC
- Результаты тестирований на проникновение
- Результаты киберучений Red Teaming
- Результаты киберразведки и исследований даркнета
Полезные материалы
Эксперты Solar JSOC регулярно публикуют
аналитические отчеты и исследования
в области информационной безопасности



Специалисты «Ростелеком-Солар» разработали собственную модель уровней злоумышленников, которая позволяет определить угрозу, актуальную для каждой организации
Клиенты:
Другие сервисы кибербезопасности
- Защита от сетевых угроз (UTM)
- Защита веб-приложений (WAF)
- Защита электронной почты (SEG)
- Защита от DDoS-атак (Anti-DDoS)
- Сервис защиты от продвинутых угроз (Sandbox)
- Шифрование каналов связи (ГОСТ VPN)
- Управление навыками кибербезопасности (SA)
- Сервис контроля уязвимостей (VM)
- Регистрация и анализ событий ИБ (ERA)
Первыми получайте новости о наших продуктах на свой e-mail.