Мы приняли участие в SOC Forum 2023

На SOC Forum 2023 наши эксперты рассказали, кто атаковал корпоративные сети в России в 2023 году, с помощью чего проводить анализ Linux-систем на компрометацию и как подготовиться к запуску багбаунти.

Новые инструменты злоумышленников и критерии полезных киберразведданных

В 2023 году мы следили более чем за 40 группировками. Олег Скулкин, руководитель управления киберразведки, выступил на SOC Forum с докладами «Кто, как и зачем атаковал корпоративные сети в России в 2023 году» и «Как отличить хорошие киберразведданные от плохих».

В первом докладе спикер рассказал об одном из главных трендов в действиях злоумышленников — это переход от ВПО и хакерских инструментов к использованию легитимных учетных записей, скомпрометированных у подрядчиков. Кроме того, выросло количество атак с применением коммерческого ВПО, приобретенного на теневых форумах.

Во втором докладе Олег рассказал о пяти самых важных критериях полезных киберразведданных. Они должны быть точными, полными, достоверными, актуальными и своевременными.

Новый инструмент для анализа Linux‑систем на компрометацию

О другом важном тренде в действиях злоумышленников рассказал в своем выступлении Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз.

Злоумышленники все чаще атакуют Linux-системы. Поэтому специалистам по кибербезопасности важно уметь анализировать их на компрометацию: получать качественные данные с хоста и понимать, что в них искать.

В докладе «Практика проведения оценки на компрометацию Linux-систем» спикер рассказал, что собирать нужно, например, информацию о запущенных процессах, файлах в автозагрузке, историю вводимых команд.

C получением информации может помочь бесплатная утилита BI.ZONE Triage. Она позволяет собирать данные для анализа хоста, а также осуществлять проверку с помощью YARA-правил. BI.ZONE Triage уже доступна на GitHub.

Подготовка компании к багбаунти

Чтобы эффективно защищаться от растущего количества киберугроз, организациям важно быть уверенными в безопасности внешнего периметра. Евгений Волошин, директор департамента анализа защищенности и противодействия мошенничеству, принял участие в открытой дискуссии «Try hack me: как подготовить компанию к Bug Bounty».

Участники отметили, что начинать работу с инструментом следует с запуска приватной программы. Она позволяет познакомиться с багбаунти, настроить процесс обработки отчетов и подготовиться к выходу публичной программы, которая открыта для всех исследователей платформы.

Мониторинг IT‑инфраструктуры

Андрей Шаляпин, руководитель управления мониторинга киберугроз, рассказал, как правильно организовать мониторинг IT‑инфраструктуры. В своем докладе «Как построить мониторинг ИБ и не утонуть в бесполезных логах» он поделился опытом выбора источников событий кибербезопасности для подключения к SIEM-системе.

Например, стоит опираться на совокупность критериев, таких как охват видимости инфраструктуры, количество и критичность релевантного детектирующего контента, полезность данных от источника на этапах анализа уже обнаруженного инцидента для получения дополнительного контекста.

Это основные критерии, которые определяют полноту покрытия событий SOC и качество работы детектирующего контента.

Инструменты корреляции событий кибербезопасности для построения качественного SOC

Залогом качественного построения SOC является хорошо выстроенный процесс выявления угроз не только на основе отдельных событий, но и в рамках потока всех событий.

Андрей Штапаук, специалист по реагированию и расследованию инцидентов кибербезопасности, рассказал об одном из самых эффективных потоковых обработчиков данных — ПО с открытым исходным кодом Apache Flink.

Он выступил с докладом «Создание и внедрение системы корреляции событий ИБ на основе программы с открытым исходным кодом Apache Flink», рассказал о том, как правильно использовать Apache Flink в качестве коррелятора событий кибербезопасности, и поделился своим опытом работы с инструментами.

Запись трансляции доступна на сайте SOC Forum 2023.