Перед тем, как приступать к защите, с клиентом согласовываются ключевые системы и недопустимые события. Только после этого изменяется ИТ-инфраструктура, подбираются необходимые меры защиты и настраивается мониторинг. В результате бизнес получает реальную киберзащиту, а не меню сервисов, из которого нужно сделать выбор.
Основа качественной защиты - доскональное знание своего клиента. Поэтому для каждого нашего заказчика мы выделяем сервис менеджера и аналитика, понимающих особенности его бизнеса и ИТ-инфраструктуры. Это позволяет быстро и проактивно реагировать на потенциально опасные события и изменения.
В отличие от стандартного мониторинга событий и уведомления ИБ-службы заказчика об инциденте, наши специалисты проводят собственное расследование перед тем, как уведомить заказчика. Например, если обнаружено новое RDP-соединение, мы сразу проверим, не вошел ли в сеть злоумышленник.
В своей работы мы используем весь доступный комплекс средств защиты. Кроме базовой SIEM-системы применяются NTA, EDR, TIP, IRP, а также данные киберразведки и OSINT. Это позволяет максимально обогащать события ИБ информацией и выявлять кибератаки на ранних этапах.
В своем подходе к защите клиентов мы ориентируемся на матрицу MITRE ATT&CK. Единый структурированный подход к описанию кибератак дает возможность специалистам быстро находить общий язык и реагировать на атаки. Как результат - эффективно противостоять тактикам и техникам известных APT-группировок.
Никакая теория не заменит опыт отражения реальных атак. Поэтому мы регулярно участвуем в киберучениях для проверки эффективности своей защиты. CyberART также выступает соорганизатором киберполигона The Standoff. Мы отвечаем за развертывание и поддержку инфраструктуры, мониторинг противодействия и менторство команд.
Мониторинг осуществляется в круглосуточном режиме. Могут использоваться как SIEM заказчика, так и SIEM на стороне CyberART. В качестве источников могут выступать NGFW, шлюзы, песочницы, WAF, NTA, EDR и другие средства защиты. Используются TIP и IRP. Возможна передача данных об инцидентах в ГосСОПКА.
Круглосуточный мониторинг осуществляется на уровне рабочих мест инженеров АСУ ТП и не затрагивает технологический сегмента. Возможно проведение дополнительных работ по поставке и интеграции средств защиты, харденингу, а также обеспечению соответствия требованиям 187 ФЗ “О КИИ и Приказа ФСТЭК России №31.
Специалисты CyberART могут помочь построить внутренний SOC, начиная от проектирования, разработки документации и поставки СЗИ, и заканчивая разработкой плейбуков, передачей правил корреляции, аттестацией и обучением специалистов. Сторонняя экспертиза позволяет оптимизировать затраты на выстраивание собственного SOC.
Разовое мероприятие по поиску и эксплуатации уязвимостей в ИТ-инфраструктуре заказчика. Может включать в себя поиск информации в открытых источниках (OSINT), тестирование внешнего периметра, веб приложений и Wi-Fi, внутренне тестирование на проникновение, а также социотех, обычно в виде фишинговой атаки.
Разовая или периодическая проверка клиента с помощью сканера уязвимостей. Полученная информация верифицируется, категорируется и ранжируется аналитиками CyberART с учетом их богатой экспертизы и знания актуальных киберугроз. Это позволяет принимать взвешенные решения о приоритетном закрытии наиболее опасных уязвимостей.
Разовое мероприятие по поиску и эксплуатации уязвимостей в ИТ-инфраструктуре заказчика, в котором задействована красная команда (этичные хакеры), имитирующая поведение APT группы. В отличие от пентестов, процесс не останавливается в случае успеха. Это позволяет проверить готовность ИБ-службы в условиях, близким к реальным.
Учения проводятся в выделенном сегменте ИТ-инфраструктуры заказчика. Возможны форматы красные (атакующие) против синих (защитники), а также фиолетовая команда, координирующая их работу и выступающая арбитром. В результате сотрудники заказчика получают опыт борьбы с киберугрозами и знания по улучшению процессов ИБ и настройке средств защиты.
Учения проводятся на базе полигона The Standoff компании Positive Technologies. CyberART выступает в качестве соорганизатора. Команда Центра выстраивает и поддерживает инфраструктуру киберполигона, следит за процессом кибербитвы, а также выступает менторами команд защитников. Участие в The Standoff позволяет существенно снизить стоимость учений для заказчика.
Специалисты CyberART могут взять на себя процесс эксплуатации используемых заказчиков средств защиты. Это исключает риски реализации атак при неправильной настройке средств защиты и увеличивает эффективность мониторинга. Кроме того, происходит оптимизация затраты на настройку, резервирование и своевременную замену СЗИ.
ГК Innostage, частью которой является CyberART, имеет высокий партнерский статус у большинства значимых вендоров средств защиты информации. Например, Cisco, CheckPoint, ИнфоТеКС, Kaspersky, Arbor, Imperva, «Код безопасности», Fortinet, Positive Technologies, Palo Alto, Huawei и т. д. Это позволяет поставлять средства защиты на максимально выгодных условиях.