Журнал "Information Security/ Информационная безопасность" #5, 2025

Наша статистика говорит сама за себя: 55% всех инци- дентов, которыми занима- лась компания F6, были вызваны уязвимостями на периметре. Мы увидели парадокс: у клиентов были инструменты для сканирования уязвимо- стей (включая наш собст- венный продукт ASM), но критические дыры месяцами (и даже годами) висели нетронутыми. В этой реальности тра- диционный подход к без- опасности безнадежно запаздывает, а MDR- провайдеры оказывают- ся в роли пожарных команд, которые беско- нечно и дорого тушат новые возгорания, не имея ни време- ни, ни ресурсов, чтобы устра- нить первопричину пожаров. Это порочный круг реактивного противодействия. Эволюция MDR: от наблюдения к активной обороне Индустрия прошла путь от классических SOC, которые лишь выявляли угрозы и уве- домляли клиента, оказывая ограниченное содействие в ней- трализации, до полноценных MDR-услуг. Эта модель стала новым стандартом: MDR-про- вайдер берет на себя ответ- ственность не только за мони- торинг, но и за активное реаги- рование – самостоятельную нейтрализацию угроз и рассле- дование инцидентов. Однако за это пришлось заплатить высокую цену: такие услуги крайне ресурсоемки и требуют высокой экспертизы. Столкнувшись с лавинообраз- ным ростом количества атак и одновременным слабым конт- ролем за внешним периметром у клиентов, мы, как MDR-про- вайдер, ощутили на себе предел масштабируемости MDR-моде- ли. Постоянные реагирования на инциденты c проникновени- ем, которые можно было бы предотвратить, создавали суще- ственную нагрузку на нашу команду. Shift Left через интеграцию MDR и ASM Если на растущий объем атак повлиять невозможно, то на контроль точек входа – абсо- лютно реально. Ответом стала интеграция нашего MDR-серви- са 1 с технологией мониторинга внешнего периметра, реализуе- мой собственным решением класса Attack Surface Manage- ment (ASM) 2 . Мы превратили самостоятель- ный продукт F6 ASM в элемент нашей операционной деятель- ности, обеспечив себе непре- рывное наблюдение за внеш- ним периметром клиентов. Это позволило нам не просто ждать атак, чтобы героически их отра- жать, а проактивно лишать зло- умышленников самой возмож- ности для нанесения удара. Сегодня мы предлагаем не просто услугу, а новый подход – фундаментально более умный и эффективный способ защиты, который смещает фокус с доро- гостоящего реагирования на эко- номически выгодное и стратеги- чески верное предотвращение. Старый подход больше не работает Как MDR-провайдер, мы пер- выми ощутили на себе рост инци- дентов, связанных с наличием уязвимостей на внешнем пери- метре. Наша статистика говорит сама за себя: 55% всех инциден- тов, которыми занималась ком- пания F6, были вызваны уязви- мостями на периметре. Это озна- чает, что больше половины атак можно было бы предотвратить. Мы увидели парадокс: у кли- ентов были инструменты для сканирования уязвимостей (включая наш собственный про- дукт ASM), но критические дыры месяцами (и даже годами) висе- ли нетронутыми. Причина – паралич данных и отсутствие контекста. ИТ-команды, зава- ленные сотнями критических CVE, не могли понять, что чинить в первую очередь, и откладывали исправления, пока не наступал очередной крити- ческий инцидент, который даже после обнаружения внутренней или внешней SOC-командой требовал привлечения специа- листов по реагированию. Какую задачу решает непрерывный мониторинг угроз внешнего периметра? Ключевая задача – выявлять и способствовать нейтрализа- ции проблем на внешнем пери- метре, которые могут привести к инциденту. Процесс мониторинга пол- ностью базируется на продукте класса ASM, который решает две основные задачи: 1. Идентифицировать и инвентаризировать все внеш- ние цифровые активы, о суще- ствовании которых клиент не знает или просто забыл – это так называемая теневая ИТ. 2. Обнаружить на этих активах проблемы, которые могут стать потенциальными точками входа в инфраструктуру со стороны внешних злоумышленников. И этот процесс постоянный – как непрерывный поиск активов, так и поиск проблем на них. Для нас, как MDR-провай- дера, предоставляющего ком- плексную услугу от монито- ринга до самостоятельного реагирования, это означает 18 • СПЕЦПРОЕКТ От нейтрализации атак к их предотвращению егодня компании столкнулись с системным кризисом в кибер- безопасности: они в подавляющем большинстве случаев знают о критических уязвимостях на своем внешнем периметре, но не могут их оперативно устранить. Между моментом обнару- жения и моментом принятия мер образуется опасное окно воз- можностей, которое стало основным рабочим инструментом для злоумышленников. С Ярослав Каргалев, руководитель Центра кибербезопасности, F6 Фото: F6 1 https://www.f6.ru/services/mdr-soc/ 2 https://www.f6.ru/products/attack-surface-management/