- Ростелеком — это более 500 000 км магистральных линий, 2,6 млн км местных сетей, 49 млн абонентов мобильной связи, — приводит цифры Роман Семенов. — И всё это обслуживается с точки зрения информационной безопасности достаточно компактной командой.
Главное звено — Security Operation Center (SOC), или центр мониторинга. Он отслеживает аномалии, расследует инциденты и не даёт злоумышленникам нарушить работу сервисов, которыми пользуются миллионы людей.
Современные кибератаки далеки от образа одинокого хакера за монитором. Самый громкий урок для всей отрасли случился в 2017 году с вирусом NotPetya.
- Тогда из крупных компаний пострадали крупнейший перевозчик Maersk, „Роснефть“, „Башнефть“, „Евросеть“. Официальный ущерб оценили в 10 млрд долларов, но сколько на самом деле — никто не знает, — вспоминает эксперт.
Вирус маскировался под обычного шифровальщика, но на самом деле уничтожал инфраструктуру. Именно после этой атаки в «Ростелекоме» официально появился свой SOC.
Как же работает центр мониторинга?
Специалисты разделены на несколько линий. Первая линия — это мониторинг событий.
- Любое устройство в сети собирает логи. SIEM-система забирает их в единый кластер, — объясняет Роман Семенов. — Если антивирус сообщил о заражении, на экране дежурного вспыхивает алерт
Рядом с каждым событием — инструкция: что делать, кому звонить, какие действия предпринять.
Вторая линия расследует нестандартные случаи, для которых ещё нет инструкций, и создаёт новые правила.
Третья линия — «мозг центра» — разрабатывает сценарии обнаружения угроз, подключает новое оборудование и занимается проактивным поиском:
- Работники находятся в свободном поиске внутри сети, чтобы выявить то, что ещё не попало в мониторинг
Есть и четвёртая линия — киберкриминалистика.
- Здесь расследуют первоначальные причины. В руки берут всё: логи со всех систем, файлы, старые данные. У нас был случай, когда для очень старой системы писали собственный антивирус, потому что современное ПО с ней не работает, — рассказывает Роман Семенов.
Особое внимание — разведке угроз (threat intelligence). Специалисты анализируют даркнет, хак-форумы, утечки данных, чтобы понять, кто и как готовит атаку.
- Жёлтым цветом на схеме выделены технические инструменты, розовым — названия группировок. Мы публикуем ежеквартальные отчёты, чтобы быть готовыми к тому, что нас ждёт, — отмечает эксперт.
Сегодня кибератаки стали политизированными.
- Все крупные компании атакуют по политическим причинам. Обычное вымогательство ушло в прошлое, — констатирует Роман Семенов. — Нет инфраструктуры, которую нельзя взломать. Просто стоимость атаки на нас становится запредельной. Поэтому злоумышленники бьют по цепочкам поставок: взламывают поставщика еды или аутсорсинговую компанию, чтобы через них проникнуть к нам
Искусственный интеллект тоже меняет правила игры.
- ИИ не делает атакующего умнее, но скорость его работы в десятки и сотни раз выше, чем у человека. Это помощник, который автоматизирует черновую работу, — поясняет Роман Семенов.
Однако для обычных пользователей главная угроза по-прежнему — фишинг: поддельные письма и ссылки, которые играют на актуальных событиях (выборы, праздники).
- Механизм побуждения не поменялся за 10 лет, — говорит эксперт. — Мошенники просто используют новую социальную повестку, чтобы заставить вас кликнуть
Что это значит для жителя Кирова или области? Стабильная работа интернета, защита личных данных, безопасность госуслуг и банковских приложений — всё это результат труда специалистов, которые 24/7 мониторят угрозы.
«Ростелеком-SOC работает для вас», — резюмирует Роман Семенов.
И это не громкие слова, а ежедневная работа по отражению атак, которые становятся всё изощрённее.
ПАО "Ростелеком". ОГРН: 1027700198767. Юр. адрес: 191167, город Санкт-Петербург, Синопская наб, д. 14 литера А
______________
Security Operation Center (SOC) - Секьюрити Оперейшн Центр (СОЦ), NotPetya - Нот Петя, Maersk - Маерск, SIEM - СИЕМ, threat intelligence - триат интелледженс
