Самый SOC. ИТ-класс решений кибербезопасности от «Ростелекома»

«Ростелеком» достаточно долгое время разрабатывает B2B-решения в области кибербезопасности и, по мнению аналитиков, благодаря размеру своей клиентской базы и прибыли может оказать существенное влияние на  рынок.

Как сообщают представители оператора, сегодня в структуре компании сформированы центр компетенций по кибербезопасности, продуктовый офис, который занимается поиском и выводом на рынок новых услуг, а также технический блок, обеспечивающий их развертывание и эксплуатацию. На данный момент оператор предоставляет корпоративным клиентам услугу Security Operation Center и связанные с ней сервисы: «Защита от DDoS-атак» и «Управление навыками операционной безопасности». Еще около 20 услуг по кибербезопасности «Ростелеком» планирует запустить и распространять по схеме сервисных подписок в 2018 году.

Защита от DDoS и профилактика фишинга

«Защита от DDoS-атак» — отдельное направление информационной защиты, с которым клиенты «Ростелекома» знакомы давно. Прежде, чем вырасти до уровня коммерческого продукта, этот сервис использовался для обеспечения безопасности в собственных масштабных проектах оператора. В дальнейшем он успешно проявил себя, к примеру, при организации системы видеонаблюдения за выборами Президента РФ или поддержке Зимних Олимпийских игр в Сочи.

 

 

Актуальность данной услуги связана с возрастающим количеством DDoS-атак. Причем если еще в 2016 году им подвергались в основном сети крупных государственных структур и банков, то сейчас атаки стали массовыми. Этому способствовало широкое распространение автоматизированных средств генерации злонамеренного трафика и, соответственно, удешевление атаки. (Мощность ее также, в среднем, снижается, но опасность не становится от этого меньше.). Киберпреступниками сегодня становятся не только «профессиональные» хакеры, но и обычные интернет-пользователи вроде студентов, которые, порой даже не имея преступных замыслов, могут сильно навредить бизнесу.

Решение «Ростелекома» по защите от DDoS-атак на базе комплекса Arbor Peakflow (производство Arbor Networks) инсталлировано в крупнейшем в Восточной Европе центре кибербезопасности и способно противостоять атакам мощностью до 5 Тбит/с на границе сети и до 160 Гбит/с на уровне приложений. Так, в 2014 году оператор оперативно устранил крупную атаку на информационные ресурсы ВГТРК. В 2016 году — обнаружил атаку на пять крупнейших российских банков. Центр ежедневно анализирует более 2 млрд событий безопасности и отражает более 70 DDoS-атак.

Добавим, что стоимость услуги для коммерческих предприятий зависит не от количества и мощности отраженных атак, а только от пропускной способности защищаемого канала.

 

 

Вторая услуга «Ростелекома» — «Управление навыками операционной безопасности» — направлена на повышение осведомленности сотрудников в вопросах противодействия фишингу. Достигается это повышение путем тестирования персонала: система формирует импровизированные фишинговые атаки, выявляет сотрудников, поддавшихся им, собирает статистику и проводит обучение. Курсы, которые сотрудник проходит по результатам теста, посвящены не только теме фишинга, но всем политикам безопасности компании: грамотному использованию флеш-карт, паролей и т. д.

Функционал SOC

Аналитический центр Anti-Malware.ru, определяет понятие SOC (Security Operations Center) как совокупность специалистов, процессов и технологий, направленных на эффективное выявление инцидентов информационной безопасности (в первую очередь внешних нарушителей) и реагирование на них. Услуги SOC в России предоставляют такие компании, как Solar Security, «Информзащита», «Инфосистемы Джет», Kaspersky Lab, Positive Technologies и другие: как правило, пул этих услуг формируется в зависимости от видов выявляемых инцидентов.

 

 

Центр управления безопасностью «Ростелекома» (РТК SOC) представляет собой единый центр мониторинга и реагирования на инциденты ИБ на основе решений различных вендоров, в котором трудятся около 50 специалистов.

В рамках своей деятельности SOC “Ростелекома» обеспечивает для своих клиентов подключение источников событий ИБ к сервису мониторинга и анализа событий, круглосуточный сбор, хранение и анализ событий, их обработку и выделение инцидентов ИБ (на основе собственного каталога сценариев и специфичных запросов заказчика), предоставление соответствующей отчетности и рекомендаций по устранению инцидентов.

Соответственно, по виду защищаемой инфраструктуры и выявляемых инцидентов в системе анализа и сбора инцидентов РТК SOC выделяются такие функциональные категории, как защищенная почта (анти-спам), защита от DDoS-атак, межсетевой экран (Firewall), удаленный доступ к VPN, предотвращение сетевых вторжений (IPS), защита корпоративных приложений (Web Application Firewall), антивирус.

Инсталляция системы мониторинга ИТ-инфраструктуры у заказчика начинается с анализа данной ИТ-инфраструктуры и определения источников событий ИБ, необходимых для выявления инцидентов. Далее выявленные источники событий подключаются к системе сбора и анализа событий, настраиваются опции мониторинга  — сценарии инцидентов.

 

 

Существует пять видов таких сценариев. Configuration Management – мониторинг состояния ключевых приложений, сервисов, файлов и выявление несанкционированных действий с ними. Account and Group Management – контроль действий с учетными записями и группами пользователей, парольными политиками. Authentication and Access Control – контроль процессов аутентификации, авторизации и доступа к аккаунту. Threat Tracking – выявление угроз ИБ и аномалий внешнего периметра и внутренней ИТ-инфраструктуры. Vulnerability and Patch Management – мониторинг появления новых уязвимостей и контроль их устранения. System Health – мониторинг ошибок критических приложений и сервисов, состояния средств защиты и конечных устройств.

В рамках этих сценариев конфигурируются индивидуальные правила корреляции для выявления базовых инцидентов ИБ. Ими могут стать попытка подбора пароля к учетной записи или ее взлом, отключение антивирусной защиты, изменение системных файлов, очистка журналов безопасности инцидентов, проникновение вируса, возможное сканирование портов, сетевая атака и многое другое.

Важные нюансы

В «Ростелекоме» пояснили, что услуги SOC предназначены, в первую очередь, для клиентов enterprise-сегмента, готовых передать решение задач информационной безопасности в облачный аутсорсинг. А вот защита от DDoS-атак необходима и предприятиям SMB. «Если несколько лет назад многие считали, что облако — это что-то ненадежное, то сейчас преобладает обратное мнение. Облако, как правило, обладает намного большей отказоустойчивостью, чем собственная ИТ-система клиента. Оператор предоставляет техподдержку в режиме 24/7 и максимальный уровень сохранности данных. Площадка «Ростелекома» аттестована и лицензирована согласно всем требованиям регуляторов», — говорят в компании.

Стоит добавить, что все описанные услуги «Ростелекома» доступны клиентам в тестовом режиме. Для их получения необходимо обратиться к менеджерам по продажам, либо оставить заявку на подключение услуги на сайте оператора в соответствующей вкладке раздела услуг B2B (https://spb.rt.ru/b2b).

И еще один важный нюанс: сегодня все услуги по кибербезопасности предоставляются только на сети «Ростелекома», то есть для их подключения необходимо заключить договор с оператором и на услугу ШПД. В пресс-службе оператора заверили, что со временем услуги станут доступны и на сторонней сети.

 

 

 

 

Автор: Андрей Блинов.

Тематики: Фиксированная связь, Безопасность

Ключевые слова: Ростелеком, информационная безопасность