Сегодня бизнес во всем мире переживает цифровую трансформацию. IT-инфраструктуры растут и усложняются. От их устойчивости зависит непрерывность бизнеса, поэтому организации внедряют все больше и больше средств защиты, выстраивая сложнейшие системы кибербезопасности. Однако никакие средства защиты не могут гарантировать 100%-й безопасности — киберпреступники легко их обходят и могут неделями или даже месяцами находиться незамеченными в инфраструктуре жертвы. Чтобы избежать финансовых и репутационных потерь, недостаточно использовать стандартные средства превентивной защиты. Необходимо выстраивать мониторинг для своевременного обнаружения угроз и реагирования на них. И здесь у организаций есть выбор: делать это самостоятельно, инвестируя большое количество ресурсов в долгий и сложный проект построения собственного центра мониторинга в условиях жесточайшего кадрового дефицита, либо же привлечь на аутсорсинг одного из внешних поставщиков.
Исторически во всем мире сервисы мониторинга и реагирования на инциденты кибербезопасности реализуют провайдеры Managed Security Services на базе своих Security Operation Centre (SOC). В процессе подключения IT-инфраструктуры к SOC заказчик подключает широкий набор источников событий, начиная от операционных систем, баз данных, средств защиты, сетевого оборудования и заканчивая бизнес-приложениями, что обеспечивает полноту покрытия и позволяет выявлять инциденты любого типа. Кроме того, MSSP-провайдеры зачастую берут на обслуживание различные средства защиты заказчиков и тем самым могут использовать это для ограниченного реагирования на выявляемые в рамках мониторинга инциденты кибербезопасности (например, выполнять блокировку сетевого доступа к командному центру ВПО на пограничном межсетевом экране или инициировать внеплановую проверку хостов средствами антивирусной защиты).
Как альтернатива MSSP SOC в последние годы на рынке появились поставщики услуг мониторинга и реагирования на инциденты кибербезопасности, которые принято называть провайдерами Managed Detection and Response. По своей сути они решают ту же самую задачу, но используя иной подход. В качестве источников событий для MDR выступают либо агенты решений класса EDR, разворачиваемые на конечных точках IT-инфраструктуры, либо же сетевые сенсоры, реализуемые на решениях класса NTA/NDR. Таким образом, широта покрытия инфраструктуры гораздо ниже, чем это обеспечивает MSSP SOC, но при этом глубина собираемых данных гораздо выше, что позволяет выявлять продвинутые атаки значительно оперативнее.
С маркетинговой точки зрения, провайдеры MSSP SOC и MDR активно противопоставляются друг другу, что, на наш взгляд, нецелесообразно, поскольку реализация обоих подходов одновременно позволяет добиться наилучшего результата как с точки зрения широты и глубины обнаруживаемых угроз, так и с точки зрения оперативности реагирования на них. Таким образом, BI.ZONE выводит на рынок новую услугу BI.ZONE Threat Detection and Response, вобравшую в себя преимущества MSSP SOC и MDR. BI.ZONE TDR реализуется на базе технологий собственной разработки, а также данных киберразведки (TI), получаемых внутренними подразделениями по исследованию угроз. Это позволяет не только адаптировать услугу под постоянно меняющиеся запросы рынка, но и не зависеть от внешних поставщиков инструментов и данных TI.
Стоит отметить, что помимо решения стандартных для провайдеров MSSP и MDR задач мониторинга и реагирования на инциденты кибербезопасности в рамках услуги BI.ZONE TDR также осуществляется предупреждение появления инцидентов в будущем путем непрерывного выявления уязвимостей и недостатков конфигурации IT-инфраструктуры на базе анализа собираемых EDR инвентаризационных данных. Это обеспечивает покрытие всех этапов жизненного цикла кибератак: до, во время и непосредственно после атаки.
Сервис BI.ZONE TDR доступен заказчикам в четырех вариантах поставки, представленных в таблице ниже.
| Vision | Horizon | Focus | Panorama | |
|---|---|---|---|---|
Сбор событий от фиксированного набора источников | ||||
Сбор событий от любых источников | ||||
Сбор расширенной телеметрии конечных точек и сети (через EDR/NTA) | ||||
Мониторинг облачных инфраструктур: AWS, GCP, Microsoft Azure, SaaS (Office 365 и других) |
| Vision | Horizon | Focus | Panorama | |
|---|---|---|---|---|
Автоматизированное выявление инцидентов на базе правил корреляции и данных TI | ||||
Круглосуточный мониторинг срабатываний правил корреляции экспертами BI.ZONE | ||||
Фиксированный набор правил корреляции | ||||
Постоянно пополняемый набор правил корреляции | ||||
Разработка индивидуальных правил корреляции по требованиям заказчика | ||||
Правила корреляции для выявления продвинутых атак | ||||
Использование YARA-правил | ||||
Ручной проактивный поиск инцидентов (Threat Hunting) |
| Vision | Horizon | Focus | Panorama | |
|---|---|---|---|---|
Автоматизированные уведомления и рекомендации по выявляемым инцидентам (Direct Alerts) | ||||
Уведомления и рекомендации по выявляемым инцидентам, подготавливаемые экспертами BI.ZONE | ||||
Активное реагирование на выявляемые инциденты с помощью EDR экспертами BI.ZONE |
| Vision | Horizon | Focus | Panorama | |
|---|---|---|---|---|
Разработка экспертами BI.ZONE индивидуальных правил автоматического предотвращения угроз по результатам реагирования | ||||
Автоматическое предотвращение известных угроз на базе правил, поставляемых экспертами BI.ZONE |
| Vision | Horizon | Focus | Panorama | |
|---|---|---|---|---|
Выявление прошлых атак, неактивных в настоящий момент |
| Vision | Horizon | Focus | Panorama | |
|---|---|---|---|---|
Непрерывное выявление уязвимостей и недостатков инфраструктуры | ||||
Валидация выявляемых уязвимостей и недостатков экспертами BI.ZONE |
Различные модификации сервиса дают возможность организациям выбрать наиболее подходящий уровень мониторинга и реагирования в зависимости от объема инфраструктуры, зрелости кибербезопасности в компании и текущих задач. При росте IT-инфраструктуры всегда можно перейти на другой уровень без каких-либо дополнительных сложностей в виде миграции на другие решения и системы. BI.ZONE TDR может использоваться и для полноценной защиты IT-активов компании, и для масштабирования уровня зрелости кибербезопасности. При этом неважно, есть у вас собственный SOC или нет.