В условиях роста числа и сложности кибератак, включая таргетированные APT-атаки и хактивизм, российские компании сталкиваются с необходимостью усиления своих систем защиты. Согласно данным RED Security SOC, общее количество кибератак на российские компании с января по июнь 2025 года превысило 63 тысячи, что на 27% больше, чем за аналогичный период 2024 года. Разработка эффективных сценариев выявления инцидентов информационной безопасности становится ключевым фактором борьбы с растущими киберрисками.
Консалтинг RED Security SOC включает индивидуальную разработку правил корреляции с учетом специфики инфраструктуры и кибератак, актуальных для отрасли клиента. В качестве технологического ядра для оказания услуги могут использоваться ключевые российские SIEM-системы. В рамках оказания услуги компания оказывает методическую помощь в создании и настройке правил корреляции, а также обеспечивает их регулярное обновление. При возникновении нетиповых задач заказчики могут привлекать для их решения аналитиков RED Security SOC с опытом предотвращения сложных атак, включая атаки через подрядчиков.
«Запуск услуги по разработке правил корреляции — это ответ на растущий спрос российских компаний на создание собственных центров мониторинга, которые соответствуют требованиям законодательства и отраслевым стандартам, — комментирует Михаил Климов, руководитель направления сервисов RED Security SOC. — Именно написание правил обнаружения инцидентов является наиболее трудоемким этапом при создании внутрикорпоративных SOC, и мы готовы поделиться своим многолетним опытом защиты крупнейших российских компаний, чтобы обеспечить заказчикам быстрое повышение устойчивости к киберугрозам».
Наполнение правил корреляции от RED Security SOC включает описание сценария кибератаки и правила нормализации, а также непосредственно правило корреляции для SIEM-системы, используемой в компании. Также заказчик получает рекомендации по анализу и реагированию на инцидент с инструкциями, которые могут быть использованы при создании плейбука.
После создания правил корреляции они испытываются в тестовой среде путем имитации реальной атаки. Правило проверяется на точность детектирующей логики и вероятность ложноположительных срабатываний (false-posititve), а дежурную смену обучают корректным сценариям реагирования. Только после этого оно запускается в продуктивную среду.
Благодаря данной услуге российские компании могут существенно ускорить создание и запуск собственных центров мониторинга и реагирования на киберугрозы и, как следствие, снизить финансовые и репутационные рисков от последствий хакерских атак. Помимо этого, привлечение подрядчика для написания правил выявления инцидентов информационной безопасности позволяет сэкономить на обучении и повышении квалификации ИБ-специалистов в штате.
RED Security SOC предоставляет сервисы защиты от киберугроз в режиме 24/7 и ежедневно обрабатывает более 8,6 млрд событий информационной безопасности в инфраструктурах заказчиков. Эксперты центра мониторинга используют данные собственной киберразведки, а также информацию от регуляторов, чтобы выявить и заблокировать их развитие кибератак на ранних стадиях – до того, как злоумышленники достигнут своей цели и нанесут ущерб организации.