28 Мая 2025 16:29 | 28 Мая 2025 16:29 | |

Поделиться

Год после старта: «Газинформсервис» подвел итоги работы Центра мониторинга и реагирования

Год после старта: GSOC обрабатывает типовой инцидент за 18 минут

В мае 2024 года компания «Газинформсервис» объявила об открытии собственного Центра мониторинга и управления безопасностью (GSOC). Спустя год в ходе пресс-конференции на международном киберфестивале Positive Hack Days 2025 компания подвела первые итоги и представила новые продукты. «Год назад мы анонсировали запуск нашего Центра мониторинга и реагирования. За это время мы удвоили команду, сосредоточив усилия на повышении экспертности, запустили две новые услуги, а также поддержали несколько крупных ИT-мероприятий: «Киберарену» на GIS DAYS и ИТ-Олимпиаду. Мы продолжаем развивать сотрудников, выращивая их из первой линии. Тех, кто быстро повышал компетенции, переводили на более высокие позиции. На фоне роста числа инцидентов в GSOC на 15–20%, большинство из которых связано с использованием вредоносного ПО, мы сохраняем хорошие показатели, соответствующие нашему SLA (Service Level Agreement, соглашение об уровне обслуживания)», — поделился заместитель генерального директора — технический директор компании «Газинформсервис» Николай Нашивочников. — Команда сосредоточена на различных направлениях киберзащиты, одна из главных задач — быстро реагировать и выявлять угрозы. Типовые инциденты GSOC обрабатывает за 18 минут, а сложные — менее чем за 120.

В прошлом году компания запустила еще две новые услуги для GSOC. Первая из них — форензика, ориентированная на расследование инцидентов. Специалисты разработали собственную методику, которая помогает тщательно анализировать события и определять способы, использованные злоумышленниками. Вторая услуга — Compromise Assessment — связана с поиском следов компрометации до того, как угрозы станут настоящей проблемой.

Уровень зрелости процессов внутри GSOC стремится к 85%

В 2024 году «Газинформсервис» реализовал несколько знаковых проектов. В компанию обратился клиент с подозрениями о присутствии злоумышленника в их ИТ-системах. Команда специалистов GSOC за два месяца проверила всю инфраструктуру, состоящую примерно из 3000 хостов, и подтвердила три случая наличия вредоносного ПО.

Компания активно работает над повышением зрелости процессов внутри GSOC. Например, команда внедрила новые методы автоматизации и тем самым сократила время отклика на угрозы. Уже разработано 45 подробных процессов, которые интегрированы в работу аналитиков. Регулярно проводится оценка зрелости по гибридной методике, основанной на нескольких отраслевых стандартах. Достичь 100% зрелости невозможно, и команда это признает. Сейчас зрелость оценивается на уровне 80%, к концу года можно ожидать роста до 85%. В целом для оценки эффективности работы GSOC использует около 30 различных метрик.

«Газинформсервис» специализируется на решениях для топливно-энергетического комплекса (ТЭК), поэтому особое внимание компания уделяет промышленным объектам. «У владельцев и субъектов критической информационной инфраструктуры наблюдается спокойствие, связанное с изоляцией большинства технологических объектов. Однако статистика показывает, что значительная часть роста кибератак обусловлена недооценкой текущих угроз. Попытки изолировать системы оказываются лишь псевдоэффективными. Критически важно, чтобы технологические процессы функционировали без сбоев. Поэтому, предлагая соответствующие решения, включая услуги Центра мониторинга, мы акцентируем внимание на киберустойчивости и подбираем адекватные средства защиты информации», — отметил Николай Нашивочников.

Оценка угроз автоматизируется все больше

Тестирование SOC — трудоемкий процесс, поэтому команда компании «Газинформсервис» решила автоматизировать его. Результатом стал новый сервис BAS SimuStrike — инструмент, разработанный для оценки уязвимостей в системах безопасности. Изначально он был создан для автоматизации рутинных задач команды Red Team (в кибербезопасности: специалисты, которые применяют навыки и методы реальных хакеров для оценки защищенности компании), связанных с тестированием безопасности ИТ-инфраструктуры и программных решений. Но в процессе эксплуатации стало ясно, что продукт будет полезен и для сотрудников GSOC.

Регулярное использование BAS SimuStrike помогает проверять эффективность своих систем обнаружения. Команда разработчиков хочет ускорить вывод продукта на рынок и ищет трех партнеров для безвозмездного пилотного внедрения. Компании смогут протестировать решение и оставить отзывы, чтобы улучшить продукт и адаптировать к реальным потребностям.

У BAS SimuStrike есть функция тестирования продуктов с встроенным искусственным интеллектом. Если для большинства традиционных систем кибербезопасности уже существуют установленные базы уязвимостей, то для нейросетей такие списки еще формируются. «Газинформсервис» участвует этом процессе на отраслевом уровне: компания входит в Консорциум исследований безопасности технологий искусственного интеллекта. Она возглавляет рабочую группу по созданию и функционированию реестра доверенных технологий ИИ: сотрудники компании «Газинформсервис» совместно с другими экспертами уже подготовили дорожную карту проекта.

Команда GSOC постоянно обучается

Важным условием для роста команды стал внутренний полигон, созданный в прошлом году. Это площадка, где моделируются различные сценарии кибератак. Сотрудники могут практиковаться в отражении угроз, максимально приближенных к реальным условиям, и совершенствовать методы защиты информационных систем. Полученные угрозы обрабатываются и систематизируются. Для каждой атаки специалисты разрабатывают правила их обнаружения. На киберполигоне проходит проверка этих правил, чтобы выстроить полную цепочку обработки. В результате количество ложных срабатываний и фальшивых тревог значительно снижается.

В прошлом году команда Центра была задействована в двух крупных активностях. Одна из них — «Киберарена» на форуме GIS DAYS, в рамках которой проходили соревнования между ИБ-специалистами. Работа экспертов SOC заключалась в наблюдении за техническим состоянием всей ИТ-инфраструктуры. Они проверяли работу серверов и сетевого оборудования, следили за важными системными элементами, участвовали в судействе. Еще одним значимым мероприятием стала Международная ИТ-Олимпиада, которая проходила под эгидой правительства Нижегородской области при поддержке Правительства РФ. В событии участвовали представители более 50 стран. Несмотря на атаки во время мероприятия, команда справилась своими силами без привлечения внешнего оператора.

Рынок уже отметил GSOC

Команда «Газинформсервис» была удостоена премии на РБК Digital Awards в номинации «Безопасность и кибербезопасность». Также компания участвовала в двух важных мероприятиях — международном киберчемпионате от группы компаний «Солар» и Standoff на ПМЭФ (Петербургский международный экономический форум). В ходе Standoff специалисты компании «Газинформсервис» заняли первое место в номинации «Самое большое количество принятых отчетов», зафиксировав рекордную 101 кибератаку.

Сейчас у разработчика действует специальная акция, которую Николай Нашивочников анонсировал на пресс-конференции. Первым пяти клиентам, которые хотят подключить GSOC и подадут заявки до 1 сентября 2025 года, компания предлагает особые условия: годовой пакет услуг мониторинга GSOC по фиксированной цене 5 миллионов рублей.

Софья Якимова

Поделиться

Короткая ссылка