Киберзащита для миллионов пользователей

Как инфраструктура и пользователи одного из крупнейших интернет-провайдеров защищены от киберугроз и что такое центр мониторинга информационной безопасности, наш корреспондент узнал у Романа Семенова, директора департамента мониторинга и реагирования на киберугрозы блока ИБ компании «Ростелеком».

Сегодня «Ростелеком» – это сложная структура, которая объединяет свыше 500 тысяч километров магистральных и местных сетей связи, десятки миллионов абонентов мобильной связи, интернет-пользователей  и зрителей одного из самых востребованных видеосервисов, а также более 150 тысяч сотрудников. Для непрерывной защиты всех систем в компании действует Центр мониторинга информационной безопасности.

– Команда специалистов выявляет инциденты, проводит техническое противодействие атакам, расследует критические ситуации, занимается аналитикой, обнаруживает и исправляет уязвимости и контролируют общее состояние защищенности инфраструктуры, – рассказал Роман Семенов.

История центров мониторинга информационной безопасности началась в конце 1970-х годов, тогда они применялись для защиты государственных и оборонных структур от вредоносных программ. Со временем центры выросли в сложные системы с проактивными методами обнаружения угроз. Нашумевший вирус NotPetya в 2017 году заметным образом ускорил развитие способов противодействия атакам.

– Вредоносная программа проникала в систему через фишинговые письма, сканировала сеть, распространялась на другие устройства и уничтожала инфраструктуру, – объяснил эксперт. – Это был дорогой и болезненный урок для рынка. Резервное копирование и мониторинг трафика могли бы значительно уменьшить последствия, но тогда эти методы не были распространены. Но во многом благодаря этому опыту появились современные центры мониторинга информационной безопасности. 

Центр мониторинга ИБ «Ростелекома» построен по классической модели из нескольких уровней. Задача первой и второй линии - оперативное выявление и обработка инцидентов. Для этого используются SIEM-система, которая в реальном времени собирает и анализирует данные от сетевых устройств и приложений, и реагирует при обнаружении подозрительных ситуаций. Например, выявив единичный случай вирусного заражения компьютера, программа либо удаляет вирус, либо изолирует устройство и уведомляет об этом дежурного инженера. Оператор предпринимает необходимые действия по скрипту, размещенному в системе.

Специалисты второй линии защиты занимаются исследованием нестандартных случаев. Дежурные осуществляют углубленный анализ, определяют спектр угроз, блокируют вредоносное ПО, устройства или сетевые сегменты. Они же разрабатывают новые  возможности автоматизации для того, чтобы увеличить скорость работы с инцидентами.

– Сейчас одним из инструментов атакующего является искусственный интеллект.  Он не делает злоумышленников умнее, не создает сложные программы, но скорость его работы позволяет проводить атаки в десятки, а то и в сотни раз быстрее, чем раньше. В свою очередь специалисты по кибербезопасности используют технологии ИИ, позволяющие в режиме реального времени обрабатывать огромные объемы данных и мгновенно распознавать отклонения, которые могут указывать на вредоносную активность,  – подчеркнул Роман Семенов.

Специалисты третьей линии отслеживают общую ситуацию в области кибербезопасности, разрабатывают новые сценарии противодействия, выявляют аномалии в сети, то есть осуществляют проактивный поиск угроз и апробацию новых методов защиты. Есть в структуре центра и подразделение киберкриминалистики, которое расследует инциденты, выявляя первопричины событий, и проводит оценку и анализ существующих и возможных угроз.

Действуя порой на опережение, специалисты Центра мониторинга информационной безопасности защищают ресурсы компании и обеспечивают непрерывную доступность всех сервисов для миллионов пользователей.

Записала Наталия ТРОФИМОВА

Рекламодатель ПАО «Ростелеком»
ИНН 7707049388 Реклама