Журнал "Information Security/ Информационная безопасность" #5, 2025

Мощное преимущество нашего подхода – возмож- ность таргетированного про- активного поиска угроз (Threat Hunting) на конкрет- ных активах, где мы обнару- жили критические пробле- мы. Будущее – MDR с про- активным предотвращением. Мониторинг внешнего пери- метра позволяет сместиться от реагирования на инциден- ты к их предотвращению. Это естественное желание для выживания в современ- ном ландшафте угроз. получение полноценного конт- роля над внешней инфра- структурой защищаемого нами клиента. Это инструмент, позволяющий выявлять и устранять те проблемы, кото- рые реально могут привести к инциденту. Почему это важно? Экономически эффективнее предотвращать, чем бороться с последствиями взлома. Пред- отвращенный инцидент снижает наши MDR-издержки. Это влияет на общую стоимость сер- виса и его результативность. Что это дало на практике: 1. Полная видимость и конт- роль. Мы видим все внешние активы клиента так, как их видит злоумышленник. 2. Приоритизация на основе реальных угроз. Мы объединили данные ASM с нашей эксперти- зой расследования инцидентов и данными собственной кибер- разведки. Теперь мы говорим клиенту: забудьте про 90% периметровых проблем, но вот эти 10% устраните немедленно, иначе с большой долей веро- ятности уже в скором времени мы будем реагировать на инци- дент с вторжением. Таргетированный Threat Hunting и оценка компрометации Мощное преимущество наше- го подхода – возможность тар- гетированного проактивного поиска угроз (Threat Hunting) на конкретных активах, где мы обнаружили критические про- блемы. Вот как это работает на прак- тике. Когда данные киберраз- ведки показывают, что опреде- ленная группировка использует конкретную уязвимость, мы мгновенно проверяем, есть ли уязвимое ПО на периметре наших клиентов. Это позволяет сразу строить гипотезу о воз- можной компрометации и целе- направленно искать следы атаки, а не ждать, пока система обнаружения начнет детекти- ровать активность. У аналитиков F6 есть техно- логическая возможность в рам- ках сервиса MDR инициировать самостоятельное криминали- стическое исследование уязви- мого актива. Зачастую устра- нение уязвимости не исключает факт взлома, что часто уходит из внимания. Поэтому мы не просто говорим, мол, вот уязви- мость – устраните ее опера- тивно. Мы даем точный ответ: вот уязвимость, и мы только что проверили этот хост – сле- дов компрометации нет. Или так: вот уязвимость, и мы нашли артефакты взлома – это уже инцидент, приступаем к нейтрализации. Показательный кейс: 0-day в Microsoft SharePoint В конце июля наша кибер- разведка проинформировала нас о том, что неизвестная груп- па лиц эксплуатирует еще не известную на тот момент уязви- мость в Microsoft SharePoint. Что мы сделали: 1. Оперативно провели инвен- таризацию. В рамках монито- ринга внешнего периметра мы мгновенно определили всех клиентов с доступными серве- рами SharePoint. 2. Сформулировали гипотезу: все эти клиенты потенциально взломаны, пока не подтвержде- но обратное. 3. Запустили таргетирован- ную охоту. Мы провели точеч- ную оценку компрометации – собрали триаж и инициировали криминалистическое исследо- вание потенциально уязвимых активов. 4. Обнаружили и нейтрали- зовали. У нескольких клиентов мы нашли артефакты, свиде- тельствующие об успешной экс- плуатации и закреплении зло- умышленников на устройстве. Мы немедленно оформили инциденты и приступили к ней- трализации – локализовали угрозу путем изоляции устройств и провели мероприя- тия по зачистке. 5. Упреждающее противодей- ствие. Написали правило детек- тирования на уровне EDR для всех клиентов и держали под контролем все аналогичные устройства до выхода офици- ального патча. В итоге: 0-day, успешное про- битие периметра, но своевре- менная нейтрализация угрозы. Злоумышленники не успели ничего предпринять для разви- тия атаки внутри сетей заказ- чиков. Мы понимаем: l Какие уязвимости действитель- но используются злоумышленни- ками сегодня, а какие являются лишь гипотетическим риском. l Какие внешние активы заказ- чика представляют реальную угро- зу в режиме реального времени. Обладая этими знаниями, мы устраняем ключевой разрыв в процессах безопасности. l Было (классический VM): ИБ- команда сообщает ИТ: вот вам список из тысячи проблем, раз- бирайтесь. l Стало: клиент получает не просто список проблем, а един- ственно верный план действий. Мы предоставляем не тысячи уязвимостей, а короткий список из высоковероятных точек входа, которые приведут к успешному взлому. Перспективы: новый стандарт для рынка MDR Мы являемся свидетелями эволюции SOC: 1. Классический SOC прово- дил мониторинг и уведомлял. Чем быстрее обнаружил – тем лучше. 2. Эра MDR с развитием EDR: провайдер не просто обнару- жил, но и самостоятельно ней- трализовал угрозу. 3. Будущее – MDR с проактив- ным предотвращением. Мони- торинг внешнего периметра поз- воляет сместиться от реагиро- вания на инциденты к их пред- отвращению. Это естественное желание для выживания в совре- менном ландшафте угроз. Мы ожидаем, что в ближай- шие год–два все без исключе- ния провайдеры услуг монито- ринга и реагирования будут использовать ASM по умолча- нию. Для нас же это уже сего- дня – не опция, а важнейший, неотъемлемый элемент обес- печения эффективной кибер- безопасности. l Мы смотрим на инфра- структуру глазами атакую- щего, чтобы найти и закрыть те точки входа, через которые злоумыш- ленник действительно сможет проникнуть внутрь. Наш подход основан на простой, но фундаменталь- ной истине: в рамках MDR- услуг мы ежедневно рас- следуем и останавливаем реальные атаки, поэтому отлично знаем не только, как тушить пожар, но и как не дать ему возникнуть. • 19 SOC + SOAR www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ F6 см. стр. 74 NM Реклама