«МегаФон» — оператор № 1 в России по покрытию сети и скорости мобильного интернета, что подтверждают независимые исследования международной компании Ookla. Предоставляет услуги сотовой и фиксированной телефонной связи, мобильного и широкополосного доступа в интернет, различных цифровых сервисов для бизнеса и государственного сектора. Услугами компании в России пользуются 75,8 млн клиентов. Выручка по итогам первого полугодия 2023 года выросла на 13% и составила 209,89 млрд руб.
Задача
Предоставить компаниям-клиентам комплексный сервис защиты от киберугроз, который может подстраиваться под нужды бизнеса. Такой сервис должен защищать организацию от всех типов киберугроз, в том числе новых, сложных и незаметных.
Предпосылки и мотивация
В 2022 году количество киберинцидентов во всем мире выросло на 38% и достигло исторического максимума. Для российских компаний проблема стоит еще острее, так как в первом квартале 2022 года с отечественного рынка ушли западные вендоры. После этого количество инцидентов закономерно увеличилось.
По данным «МегаФона», в первые месяцы 2022-го произошло в четыре раза больше кибератак, чем за тот же период 2021 года. «Мы видим кратный рост обращений клиентов за решениями в области информационной безопасности», — отмечали в компании.
Тренд сохранился и в 2023 году. По итогам первого квартала участники рынка сообщали, что количество кибератак в России увеличилось в полтора раза по сравнению с аналогичным периодом 2022-го.
Ландшафт киберугроз постоянно меняется. «Если в 2022 году мы видели отчетливый рост сетевых атак на инфраструктуру компаний, то сейчас увеличивается количество комплексных сетевых атак с целью кражи данных или выведения из строя информационных систем», — говорит директор по развитию облачных и инфраструктурных решений «МегаФона» Александр Осипов.
Это происходит из-за недостаточной защищенности критичных систем компаний, большого количества интеграций с внешними системами, которые не всегда защищены. Например, с сервисами CRM (Customer relationship management — управление взаимоотношениями с клиентами). Рост также вызван тем, что у многих организаций нет систем для обнаружения деятельности внутренних злоумышленников. В результате бизнес несет финансовый и репутационный ущерб. И его размер увеличивается вместе с количеством киберинцидентов.
Решение
В «МегаФоне» запустили коммерческий SOC (Security Operations Center — центр управления кибербезопасностью). Направление кибербезопасности оператор развивает более десяти лет, предлагая решения для блокировки как массовых, так и целевых атак. «Коммерческий SOC — логичное продолжение развития этой экосистемы», — объясняют в компании.
SOC представляет собой комплексное решение для проактивной защиты от большинства типов современных киберрисков. Сервис подключается как отдельно, так и совместно с другими решениями оператора. Например, SOC доступен для клиентов, которые развернули свою инфраструктуру в «МегаФон Облаке».
Реализация
Работа над запуском коммерческого SOC началась в 2021 году. В общей сложности она заняла около семи-восьми месяцев. По словам представителей компании, это достаточно быстро для такой сложной услуги.
Оператор спроектировал решение, сформировал команду, выстроил взаимодействие с партнерами, подобрал IT-решения, подготовил инфраструктуру и развернул ПО. «Помог наш опыт работы с внутренним SOC, который существует в компании более пяти лет», — добавляет Осипов.
Коммерческий SOC базируется на решениях российских вендоров и собственных разработках «МегаФона». Архитектура включает в себя несколько основных элементов.
- Система SIEM (Security Information and Event Management — управление событиями и информацией о безопасности). Сюда автоматически поступают данные о событиях из инфраструктуры клиента или от средств защиты информации, которые клиенты приобретают у оператора. В SIEM встроены модули аналитики с элементами машинного обучения. Они выявляют в сетевом трафике аномалии, признаки подозрительного и нежелательного поведения.
- Система IRP (Incident Response Platform — платформа управления инцидентами). Включает в себя автоматизированные средства реагирования на киберинциденты. На платформу направляют данные о событиях или наборах событий, которые SIEM опознала как потенциальные инциденты.
- Компонент EDR (Endpoint Detection and Response — обнаружение и реагирование на угрозы для конечных точек). Решение собирает информацию о состоянии конечных точек и сети, обеспечивает возможность оперативного реагирования на подтвержденные инциденты или аномальное поведение на конечном узле пользователя, позволяет изолировать зараженные компьютеры. По сути, EDR — это продвинутая альтернатива антивирусу.
- Модуль для взаимодействия с ГосСОПКА — госсистемой обнаружения, предупреждения и ликвидации последствий компьютерных атак. Многие организации — прежде всего госучреждения и владельцы информационной инфраструктуры — обязаны сообщать об инцидентах в Национальный координационный центр по компьютерным инцидентам. Модуль делает это автоматически, упрощая соблюдение закона.
Кроме того, архитектура SOC включает в себя системы предобработки и расширенного анализа событий, платформу киберразведки, хранилище данных, которое позволяет аналитикам более предметно работать с сырыми данными. Есть дополнительные услуги — проактивный поиск угроз, сканирование на уязвимости, расследование инцидентов и т.д. Клиенты сами выбирают, какой объем сервисов им необходим.
Важное преимущество SOC — уникальные метрики киберразведки, которые оператор собирает со всей своей сети. Например, «МегаФон» получает информацию о зараженных устройствах и мобильных прокси, которые используют злоумышленники. Это помогает проактивно реагировать на угрозы, в том числе связанные с мобильными девайсами и устройствами интернета вещей.
Услугу коммерческого SOC анонсировали в июле 2022 года. Сейчас оператор совершенствует и улучшает сервис.
«Мы развиваем команды аналитиков на всех линиях, расширяем технологический стек решений и ландшафт сбора сведений об угрозах, оптимизируем процессы реагирования на инциденты, развиваем процесс проактивного поиска угроз», — перечисляют в компании.
Что важно при выборе поставщика SOC?
1. Бюджет и ресурсы
На старте проекта не всегда понятен весь объем и набор работ, поэтому важную роль играет гибкость поставщика решения и его умение адаптироваться под технические и финансовые возможности клиента на протяжении всего оказания услуг.
2. Интеграция с существующими системами
Умение делать нетиповые интеграции с уже действующими информационными системами клиента.
3. False Positive
SOC должен быть настроен на обнаружение реальных угроз и реагирование на них. Количество ложных срабатываний необходимо минимизировать. Для этого требуется тщательная настройка системы и анализ большого объема данных.
4. Постоянное обновление и адаптация
Киберугрозы эволюционируют, поэтому услуга SOC должна постоянно совершенствоваться. Без этого ни один SOC не может быть эффективным.
5. Управление большим объемом данных
SOC собирает огромное количество событий информационной безопасности из разных источников. Их обработка и анализ требуют мощных алгоритмов и инфраструктуры.
«Нам проще выделять на это ресурсы, так как у нас есть свои Центры обработки данных (ЦОД) и мы предоставляем клиенту инфраструктуру как услугу (IaaS)», — говорят представители оператора.
Результаты
После запуска коммерческого SOC «МегаФон» постоянно расширяет географию предоставления услуги за счет новых клиентов.
По словам представителей компании, решение востребовано у среднего и крупного бизнеса. Это связано с тем, что для использования услуги нужен зрелый отдел IT и выделенный эксперт по информбезопасности, который будет выполнять рекомендации от аналитиков SOC «МегаФона».
«Услуга SOC в России сейчас переживает очередной виток развития. Организации, у которых нет ресурсов на полноценный отдел ИБ, начинают передавать функции по реагированию на инциденты внешним SOC», — добавляют в компании.
Как это работает: пример «Металлоинвеста»
«Металлоинвест» использует коммерческий SOC от «МегаФона» с 2022 года. Обе компании входят в состав холдинга USM: его участников начали подключать еще до запуска услуги на рынке.
«Изначально стояла задача мониторинга чувствительной информации клиента. Источники у клиента нестандартные. Среди них есть тяжелые системы, обрабатывающие финансовые транзакции», — рассказывают представители оператора.
После аудита информационных систем и других подготовительных работ УК «Металлоинвест» подключили к сервису. Теперь он обеспечивает непрерывный мониторинг информационной безопасности, оперативное обнаружение и реагирование на инциденты в области информационной безопасности.
Команда SOC взяла на себя процессы и процедуры по обработке инцидентов. Специалисты оператора классифицируют и анализируют инциденты, определяют приоритеты, реагируют на угрозы. Представители «Металлоинвеста» подтверждают наличие инцидентов, купируют их внутри своей инфраструктуры и закрывают уязвимости.
После подключения сервиса время реагирования на инциденты сократилось. В дальнейшем «Металлоинвест» планирует расширить объем получаемых от «МегаФона» услуг и подключить к мониторингу другие компании группы «Металлоинвест».
Планы и перспективы
Оператор планирует наращивать число клиентов и привлекать компании из новых отраслей. В перспективе он рассчитывает занять 15–20% российского рынка коммерческих SOC.
Сама услуга будет развиваться. Ожидается, что скорость выявления инцидентов вырастет, а применение машинного обучения поможет эффективнее прогнозировать новые векторы атаки.