| Разработчики: | RED Security (Прикладная техника) ранее МТС RED |
| Дата последнего релиза: | 2024/06/26 |
| Отрасли: | Информационная безопасность |
| Технологии: | ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Содержание |
Основные статьи:
МТС RED SOC - центр мониторинга и реагирования на кибератаки. Специалисты центра анализируют происходящее в ИТ-структуре заказчика и сканируют на уязвимость к новым угрозам, блокируют вредоносное ПО и устраняют лазейки, по которым проник злоумышленник.
2024
Выявление 190 тысяч инцидентов ИБ за год с помощью SIEM-системы KUMA
С помощью SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA) центр мониторинга и реагирования на кибератаки RED Security SOC выявил более 190 тысяч инцидентов информационной безопасности, в том числе 21,6 тысячу — высококритичных. Об этом RED Security сообщил 5 февраля 2025 года.
Среди атак, выявленных с помощью KUMA, — более 33 тысяч попыток обхода хакерами средств защиты, свыше 26 тысяч сетевых атак, около 21 тысячи попыток вирусных заражений и более 28 тысяч атак других векторов.Михаил Белошапка, «Далее»: Тенденция укрупнения IT-рынка продолжится 
Высококритичные инциденты, выявленные RED Security SOC на базе KUMA, были зафиксированы преимущественно в промышленном секторе — совокупно более семи тысяч инцидентов. Эта отрасль на протяжении года оставалась самой атакуемой хакерами сферой российской экономики. Также 3,7 тысяч высококритичных кибератак было заблокировано в ИТ-компаниях и 3,5 тысячи — в сфере телекоммуникаций.
 | KUMA обладает высокой производительностью и легко масштабируется, а также "из коробки" поддерживает большой перечень коннекторов к типовым источникам событий. Это позволяет нам максимально быстро брать компании под защиту, подключая базовые сценарии выявления кибератак в самые короткие сроки. Кроме того, для нас очень важно, что KUMA может быть интегрирована с решениями любых разработчиков, поскольку мы выступаем как открытая экосистема кибербезопасности и предоставляем заказчикам максимальную свободу и гибкость в выборе поставщиков тех или иных технологий защиты, — подчеркнул Михаил Климов, руководитель направления сервисов центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security. |  |
| | Совместно с RED Security мы работаем над повышением уровня защиты компаний на российском рынке, решая их актуальные задачи в области информационной безопасности. SIEM-система — один из ключевых инструментов для специалистов SOC-центров, и мы регулярно совершенствуем нашу платформу KUMA, чтобы работать с ней было максимально удобно. В частности, по запросам команды RED Security и других заказчиков в последнем обновлении помимо корреляции событий "на лету" и ретроспективного анализа добавилась функция регулярной проверки ранее собранных событий, предварительно обработанных с помощью SQL-запросов. Совместное использование аналитических функций БД ClickHouse и корреляционного движка расширяет возможности системы по обнаружению сложных атак, в которых злоумышленники стремятся быть ниже радаров. Результаты, которые с помощью KUMA получают ИБ-специалисты, — лучшее доказательство её эффективности, — отметил Илья Маркелов, руководитель направления развития единой корпоративной платформы «Лаборатории Касперского». | |
Внедрение Xello Deception
МТС RED заключила соглашение с компанией Xello. Благодаря этому технологическому партнерству центр мониторинга и реагирования на кибератаки МТС RED SOC поможет заказчикам снизить вероятность ущерба даже в случае, если хакеры проникнут в инфраструктуру компании. Об этом МТС RED сообщил 26 июня 2024 года.
МТС RED выступит в качестве MSSP-провайдера (Managed Security Service Provider) платформы Xello Deception, которая выявляет активность злоумышленников, предоставляя им недостоверную информацию об ИТ-инфраструктуре. Решение создаёт ложный слой из различных данных и информационных активов по сети компании, которые с большой долей вероятности будут задействованы в ходе кибератак.
Таким образом, если злоумышленник смог обойти средства защиты периметра компании, технологии Xello Deception помогают направить его по ложному следу в поиске ключевых элементов инфраструктуры или конфиденциальных данных компании-жертвы. Это позволяет выявить присутствие хакеров в ИТ-инфраструктуре заказчика до того, как они достигнут цели и нанесут компании ущерб, а также своевременно заблокировать развитие атаки.
Сервис предоставляется по облачной модели с размещением ключевых компонентов системы на площадке заказчика. В рамках оказания сервиса платформа Xello Deception передает данные о действиях злоумышленников в ложной инфраструктуре в центр мониторинга и реагирования на киберинциденты МТС RED SOC. Эти данные обрабатываются профессиональными аналитиками, которые уведомляют заказчика об инциденте и выдают рекомендации по реагированию на кибератаку.
| | Системы киберобмана являются высокодоверенным источником компрометации для SOC-центров и не создают большого потока ложных срабатываний. В то же время при уведомлении от системы необходимы навыки для анализа инцидента и оперативного реагирования. Специалисты МТС RED обладают необходимым опытом и компетенциями для оказания сервиса по всем направлениям, — сказал генеральный директор Xello Александр Щетинин. | |
| | В условиях, когда злоумышленники совершенствуют техники и методы для обхода классических средств защиты и долго остаются незамеченными в инфраструктуре жертвы, дополнительный уровень защиты в виде систем киберобмана становится важной составляющей при обеспечении кибербезопасности критических активов бизнеса, — отметил технический руководитель направления МТС RED SOC компании МТС RED Ильназ Гатауллин. | |
Добавление Kaspersky EDR
Компания МТС RED, входящая в ПАО «МТС», дополнила сервисы центра мониторинга и реагирования на кибератаки МТС RED SOC технологией защиты рабочих станций и серверов на базе решения Kaspersky EDR (Endpoint Detection and Response). Об этом МТС RED сообщил 5 апреля 2024 года. Подробнее здесь.
Доступность в гибридном формате
Компания МТС RED, входящая в ПАО «МТС» 29 февраля 2024 года сообщила о том, что сервисы центра мониторинга и реагирования на кибератаки МТС RED SOC теперь доступны заказчикам в гибридном формате.
Гибридный формат использования сервисов центра мониторинга и реагирования на кибератаки подразумевает, что его технологическое ядро – SIEM-система – внедрена непосредственно в ИТ-инфраструктуре заказчика. На аутсорсинг при этом передаются только функции администрирования, мониторинга, развития контента и формирования инструкций по реагированию на кибератаки либо непосредственно применение мер по техническому блокированию атак.
В рамках гибридной модели специалисты МТС RED SOC внедряют SIEM-систему на площадке заказчика и настраивают правила корреляции поступающих в нее событий информационной безопасности для выявления киберугроз на ранних стадиях. Специалисты МТС RED SOC подключаются к SIEM-системе заказчика по защищенному каналу связи, а все данные об инцидентах хранятся и обрабатываются в контуре компании. При этом МТС RED SOC применяет многолетнюю экспертизу, накопленную в ходе проектов по защите компаний различных отраслей, для поддержки и развития правил корреляции событий информационной безопасности, выявления кибератак, формирования инструкций или реализации мер по противодействию злоумышленникам, а также предоставлению углубленной аналитики для дальнейшего повышения уровня защищенности заказчиков.
Если в компании уже используется SIEM-система, специалисты МТС RED помогают провести аудит ее текущего состояния и оценить достаточность объема подключенных источников событий информационной безопасности. Кроме того, МТС RED SOC предоставляет заказчикам собственный набор правил корреляции событий ИБ, учитывающих отраслевую специфику и апробированных при детектировании кибератак на крупнейшие компании России. После профилирования сценариев выявления инцидентов эксперты МТС RED SOC выполняют полный объем работ по работе с SIEM-системой – от настойки и поддержки до круглосуточного выявления и реагирования на кибератаки.
| | Спрос на гибридную модель поставки сервисов центров мониторинга и реагирования на кибератаки как никогда высок. Крупные компании, особенно банки и субъекты КИИ, предпочитают отдавать на аутсорсинг только те функции, которые требуют крупного штата высококвалифицированных опытных специалистов, оставляя внутри ИТ-инфраструктуры системы, непосредственно хранящие и обрабатывающие данные об инцидентах, – отметил Ильназ Гатауллин, технический руководитель направления МТС RED SOC компании МТС RED. | |
| Заказчик | Интегратор | Год | Проект |
|---|---|---|---|
| - Segezha Group (Сегежа) | RED Security (Прикладная техника) ранее МТС RED | 2023.08 |  |
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (93) Positive Technologies (Позитив Текнолоджиз) (24) SearchInform (СёрчИнформ) (16) Инфосистемы Джет (16) Softline (Софтлайн) (15) Другие (145) Интеллектуальная безопасность ГК (бренд Security Vision) (13) Positive Technologies (Позитив Текнолоджиз) (6) CyberOK (СайберОК) (4) InnoSTage (Инностейдж) (4) SearchInform (СёрчИнформ) (2) Другие (11) SearchInform (СёрчИнформ) (3) Softline (Софтлайн) (2) Интеллектуальная безопасность ГК (бренд Security Vision) (2) Лаборатория Касперского (Kaspersky) (2) Positive Technologies (Позитив Текнолоджиз) (2) Другие (12) SearchInform (СёрчИнформ) (8) Softline (Софтлайн) (6) Positive Technologies (Позитив Текнолоджиз) (4) Перспективный мониторинг (3) Интеллектуальная безопасность ГК (бренд Security Vision) (2) Другие (14)Данные не найдены
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 93) Positive Technologies (Позитив Текнолоджиз) (17, 40) SearchInform (СёрчИнформ) (2, 17) Лаборатория Касперского (Kaspersky) (9, 14) ArcSight (5, 13) Другие (282, 114) Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13) InnoSTage (Инностейдж) (2, 4) Positive Technologies (Позитив Текнолоджиз) (2, 3) SearchInform (СёрчИнформ) (1, 2) Уральский центр систем безопасности (УЦСБ) (1, 2) Другие (5, 5) Лаборатория Касперского (Kaspersky) (3, 3) SearchInform (СёрчИнформ) (1, 3) Positive Technologies (Позитив Текнолоджиз) (2, 2) Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2) R-Vision (Р-Вижн) (1, 1) Другие (9, 9) SearchInform (СёрчИнформ) (1, 9) Positive Technologies (Позитив Текнолоджиз) (3, 4) Перспективный мониторинг (1, 4) Лаборатория Касперского (Kaspersky) (3, 3) Интеллектуальная безопасность ГК (бренд Security Vision) (2, 2) Другие (8, 9)Данные не найдены
Распределение систем по количеству проектов, не включая партнерские решения
Security Vision Security Operation Center (SOC) - 37 MaxPatrol SIEM - 33 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28 СёрчИнформ SIEM - 17 Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 11 Другие 162 Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4 Innostage SOAR (ранее Innostage IRP) - 4 Innostage SOC CyberART Сервисная служба киберзащиты - 4 PT Network Attack Discovery (PT NAD) - 2 Другие 13 СёрчИнформ SIEM - 3 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2 Перспективный мониторинг: Ampire Киберполигон - 1 Киберполигон Мультифункциональный программно-аппаратный комплекс для проведения киберучений - 1 CloudLinux Imunify360 - 1 Другие 12 СёрчИнформ SIEM - 9 Перспективный мониторинг: Ampire Киберполигон - 4 Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3 MaxPatrol SIEM - 2 Kaspersky Endpoint Detection and Response (KEDR) - 2 Другие 14 
