Threat Hunting

Ловим каждого, кто нашел способ проникнуть в инфраструктуру

Собственная команда исследователей

Непрерывное изучение актуальных методов злоумышленников

Проактивная защита от сложных атак

Оперативное выявление и устранение угроз

Системное повышение эффективности мониторинга


Число атак со стороны высококвалифицированных злоумышленников стремительно растет, а их инструментарий стабильно усложняется. За 2020 год эксперты центра противодействия кибератакам Solar JSOC зафиксировали 30%-й рост атак продвинутых киберпреступников, нацеленных на получение контроля над инфраструктурой. При этом 49,2% атак детектировалось только с помощью сложных интеллектуальных средств защиты.


Действуем на опережение

В основе эффективности сервисов Solar JSOC лежит работа с известными и неизвестными ранее угрозами. Мы не ограничиваемся базовым мониторингом и реагированием на инциденты, а строим гипотезы и ищем возможности обнаружить преступника и предупредить атаку до момента, когда ситуация станет критической.


Решающую роль в проактивной защите от угроз играет Threat Hunting – одно из направлений работы собственной исследовательской лаборатории «Ростелеком-Солар» Solar JSOC CERT. В рамках Threat Hunting специалисты непрерывно изучают деятельность злоумышленников, выявляют профили их поведения и в результате совершенствуют сервисы Solar JSOC с учетом обнаруженных новых техник и тактик.


Развиваем внутреннюю экспертизу

Лаборатория Solar JSOC CERT – это собственные команды экспертов в каждом направлении.



  • 200+
    атак выявлено со стороны
    профессиональных кибергруппировок

  • ≈30
    из них совершили злоумышленники
    наиболее высоких уровней квалификации

  • 50%
    случаев, в которых продвинутые
    преступники использовали самописное ВПО


Итоги исследований Solar JSOC CERT за 2020 год


source_analysis.png Исследовательская лаборатория Solar JSOC CERT – сертифицированный член международного сообщества FIRST (Forum of Incident Response and Security Teams)


Как построен процесс совершенствования сервисов


* Данные, полученные в процессе Digital Forensic, Incident Response, Malware Analysis.
** Данные из публичных источников, в которых эксперты по ИБ со всего мира делятся информацией об обнаруженных угрозах.
*** 4-я линия мониторинга, каждый специалист которой закреплен за определенным заказчкиком. Аналитики 4-й линии изучают нетиповые критические инциденты своих заказчиков, анализируют аномальные активности, а также участвуют в расследовании инцидентов, не зафиксированных мониторингом, и в разработке новых сценариев.


Этапы Threat Hunting: как мы это делаем

Шаг 1. Гипотеза

  • Ежедневно специалисты Solar JSOC CERT вместе с командой мониторинга и анализа инцидентов изучают данные, полученные от форензеров, реверсеров и из паблика, и проверяют выдвинутые на их основе гипотезы о деятельности злоумышленников

Шаг 2. Исследование и воспроизведение

  • Специалисты исследуют потенциальную угрозу до тех пор, пока гипотеза не будет опровергнута или пока не будет получена полная картина событий и информация о действиях, методах и целях киберпреступников


Шаг 3. Решение

  • В случае подтверждения гипотезы аналитики пишут новые правила для SIEM-системы и добавляют их в настройки мониторинга для автоматического детектирования попытки проникновения со стороны обнаруженного злоумышленника или группировки

Анализируем дополнительные данные

Solar JSOC обладает одной из крупнейших в России баз Threat Intelligence, которая обновляется ежедневно. В базу стекается объемный массив данных:


Индикаторы из открытых баз и собственных исследований
Информация об актуальных угрозах из коммерческих подписок
Данные, полученные в рамках информационных обменов с российскими и международными CERT
Данные из крупнейшей международной базы ИБ-угроз Vulners
Данные из APT-отчетов партнеров
Данные, полученные от клиентов (опыт успешного противодействия социальной инженерии, детектирование фишинговых рассылок и т. д.)

Также для Threat Hunting активно используются:

  • Матрицы MITRE ATT&CK. По состоянию на лето 2021 года специалисты Solar JSOC анализируют более 120 признаков, и их число постоянно растет
  • Данные об угрозах, полученные от ГосСОПКА
  • Данные, полученные «Лабораторией кибербезопасности АСУ ТП»
  • Данные из сети ханипотов и сенсоров «Ростелеком-Солар»
  • Сырые данные и статистические списки по всем клиентам Solar JSOC
  • Результаты тестирований на проникновение
  • Результаты киберучений Red Teaming
  • Результаты киберразведки и исследований даркнета

Полезные материалы

Эксперты Solar JSOC регулярно публикуют
аналитические отчеты и исследования
в области информационной безопасности




Специалисты «Ростелеком-Солар» разработали собственную модель уровней злоумышленников, которая позволяет определить угрозу, актуальную для каждой организации



Хочу, чтобы со мной
связались

Отправить

Другие сервисы кибербезопасности


Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах