Компания «Газинформсервис» представила результаты первого года работы центра мониторинга GSOC. Достигнутые метрики эффективности оказались выше среднерыночных. Как удалось достичь такого роста? Процессы и продукты для GSOC: как использовать их для безопасности АСУ ТП?
- Введение
- Время реагирования GSOC на инциденты
- Внутренний полигон GSOC
- BAS SimuStrike и расследование инцидентов в GSOC
- Метрики и реальное качество работы SOC
- Безопасность АСУ ТП
- GSOC и АСУ ТП
- Выводы
Введение
23 мая в рамках профессиональной части киберфестиваля Positive Hack Days 2025 состоялась пресс-конференция компании «Газинформсервис», на которой были объявлены итоги первого года развития центра мониторинга и реагирования GSOC. Старт его работы произошел год назад на PHDays 2024.
Николай Нашивочников, технический директор компании «Газинформсервис», объявил о достигнутых показателях в оценке эффективности работы GSOC. Объявленные значения метрик реагирования на инциденты можно назвать превосходными: они практически в два раза превышают средние показатели по рынку. Отметим, что эти показатели прописываются как SLA в договорах компании «Газинформсервис» с заказчиками, что значительно повышает ценность их достижения.
Среди других анонсов – новые услуги GSOC по 1) расследованию инцидентов для глубокого анализа кибератак и 2) выявлению индикаторов компрометации (Indicators of Compromise, IoC) в ИТ-инфраструктуре — в целях проактивной безопасности.
Рисунок. 1. Выступление компании «Газинформсервис» в деловой части фестиваля Positive Hack Days 2025
«Газинформсервис» объявил также о создании киберполигона для проактивного внутреннего исследования признаков воздействия новых угроз и запуске пилотного внедрения продукта BAS SimuStrike.
Анонс достижений компании «Газинформсервис» интересен не только фактурно. Базовый костяк клиентов компании — предприятия ТЭК. Новые предложения касаются всего рынка безопасности АСУ ТП. Нарастающие угрозы в этом сегменте и непростая ситуация с импортозамещением требует сейчас незамедлительного реагирования этих компаний. Они должны детально анализировать предложения на рынке. Анонсы компании «Газинформсервис» — это значимое для них событие. Об этом мы расскажем ниже.
Время реагирования GSOC на инциденты
Рассказывая о достижениях первого года эксплуатации GSOC, Николай Нашивочников отметил, что «на фоне роста количества инцидентов на 15% и увеличения на 65% доминирования вредоносной составляющей в кибератаках GSOC сумел обеспечить очень высокую скорость реагирования на инциденты:
- типовые инциденты обрабатываются за 30 минут;
- сложные инциденты требуют не более 120 минут».
Типовое время обработки инцидентов в SOC зависит от уровня критичности инцидента и внутренних регламентов организации. Поэтому обычно процесс их обработки делится на несколько этапов: обнаружение, анализ, определение типа и серьезности угрозы с последующей классификацией по уровням приоритета обработки, реагирование. Сложность оценки при такой многоэтапной обработке ведет к тому, что многие компании, предоставляющие услуги SOC, часто не называют их публично. Но в целом на российском рынке сложилось понимание о средних показателях временных затрат, на которые ориентируются вендоры услуг ИБ. Время обработки инцидентов составляет в них:
- высокого уровня опасности — менее 1 ч;
- среднего уровня опасности — около 4 ч;
- низкого уровня опасности — примерно 8–12 ч.
Видно, что показатели GSOC практически вдвое превышают «типовые» показатели.
Как отметил Николай Нашивочников, несмотря на рост сложности кибератак в 2024 году, GSOC «сумел удерживать свои нормативы в рамках SLA. Реальная внутренняя статистика показывает еще более высокие результаты: среднее время отработки типовых инцидентов составило 18 минут, обработка сложных инцидентов укладывалась в 120 минут».
Для достижения такого высокого уровня реагирования большое значение сыграла оптимизация бизнес-процессов. Сейчас в GSOC выстроено около 40-45 бизнес-процессов, связанных с мониторингом и реагированием на инциденты. Внедрены современные СЗИ, применяются средства командного взаимодействия и контроля эффективности по различным метрикам. «Фактически мы достигли 75-80% уровня показателей эффективности для наших процессов. Это обеспечило сокращение времени реакции и повышение прозрачности внутри GSOC», — отметил Николай Нашивочников.
Рисунок. 2. Николай Нашивочников, технический директор компании «Газинформсервис»
«Мы приземляем большинство наших продуктов на методологию MITRE, опираемся на нее, потому что она активно поддерживается мировым сообществом. Но пользователям хочется видеть у себя не только разрозненные техники/тактики, а готовые последовательности оборонительных действий (defense keychains). Мы составляем их самостоятельно, опираясь на свою экспертизу».
«Для оценки эффективности применяемых мер защиты мы используем около трех десятков метрик. Они позволяют оценить доступность услуги, ее компонентов, оценить характеристики применения, — добавил Александр Михайлов, руководитель GSOC компании «Газинформсервис». — Метрики были собраны из разных источников, но мы используем их через собственные агрегированные показатели. В итоге, имея порядка 150 параметров, оцениваемых по 5-бальной шкале, мы получаем итоговую скоринговую оценку для оценки эффективности работы GSOC».
Внутренний полигон GSOC
Только мониторинг процессов, конечно, не описывает полностью, как удалось добиться повышения эффективности работы GSOC. «Газинформсервис» проделал большую работу по разбору и оптимизации бизнес-процессов на базе собираемых показателей.
«Мы создали собственный киберполигон — тестовую среду, где моделируются реальные кибератаки, включая APT-кампании и атаки с применением ИИ. Он необходим для роста экспертности членов команды, развития навыков коллективной работы, эффективной реализации функции Detection», — отметил Николай Нашивочников.
Методология разбора инцидентов в GSOC выстроена на матрице техник и угроз MITRE. Для выбора приоритетов и периодического пересмотра детектов используется статистика реальных инцидентов, которые специалисты компании «Газинформсервис» собирают от заказчиков, а также через TI-репорты по партнерским каналам. «Мы прорабатываем все этапы работы с угрозами: от их анализа и настройки правил обнаружения до проверки эффективности защитных мер и корректировки логики реагирования».
Благодаря киберполигону специалисты GSOC постоянно обучаются техническому анализу по текущему набору на базе реальных инцидентов. Они учатся выявлять кибератаки по поведенческим паттернам, подключают новые методы социальной инженерии, выявляемые на рынке. Это помогает отделять спам и избавляться от ложно-положительных срабатываний.
Свою квалификацию «Газинформсервис» подтвердил в 2024 году на участии в международных киберчемпионатах: Solar Cyber Cup и Standoff (в рамках ПМЭФ). Важное значение имела организация собственного чемпионата на форуме GIS DAYS 2024 — Киберарены, где в команду красных были приглашены ведущие специалисты по кибербезопасности.
«Газинформсервис» принимал также активное участие в международной ИТ-олимпиаде 2025, которая прошла при поддержке правительства РФ в Нижнем Новгороде и привлекла представителей около 50 стран мира.
Рисунок. 3. Отличительные признаки GSOC компании «Газинформсервис»
BAS SimuStrike и расследование инцидентов в GSOC
Современный уровень ИБ требует разделения рутинных операций и аналитической работы. Первый этап в этом процессе — поиск IoC для проактивной безопасности. Теперь он предлагается заказчикам как отдельная услуга.
Услуга Compromise Assessment выстроена на собственной методике компании «Газинформсервис». Она ориентирована на выявление методов кибератак из матрицы MITRE и признаков применения ИБ-инструментов. Для ее поддержки был разработан также собственный инструмент BAS SimuStrike, который помогает проверять готовность компании к противостоянию на примерах моделирования кибератак.
Первоначально BAS SimuStrike рассматривался как инструмент для работы Red Team. Но уже первый месяц эксплуатации сотрудниками GSOC показал, что он может быть полезен и компаниям на рынке. Он позволяет:
- моделировать проведение автоматизированных кибератак;
- проводить откат вносимых изменений;
- поддерживать сложные, многоэтапные сценарии кибератак;
- применяться как изнутри, так и извне инфраструктуры.
Среди новых направлений исследований компании «Газинформсервис» следует выделить ИИ. Компания уделяет большое внимание изучению его применения для задач безопасности. Со слов Николая Нашивочникова, в течение ближайших полутора лет уровень автоматизации на первой линии GSOC достигнет 25% за счет применения ИИ.
В 2024 году компания вступила в Консорциум исследований информационной безопасности ИИ, где сейчас возглавляет рабочую группу «РГ-3». Она отвечает за формирование государственной политики по созданию и применению реестра доверенных решений ИИ.
Метрики и реальное качество работы SOC
Прежде чем перейти к теме безопасности АСУ ТП, следует остановиться на использовании метрик. Это важно, потому что достоверность оценки эффективности работы SOC имеет критическое значение для этого сегмента рынка.
Метрики оценки SOC бывают трех типов: 1) стратегические, которые предназначены для заказчиков и отчетности; 2) операционные (для CISO); 3) тактические (для группы SecOps). Часто для оценки SOC используют следующий набор метрик:
- среднее время обнаружения (MTTD, mean time to detect);
- количество инцидентов;
- доля пропущенных атак / активности атакующих;
- точность обнаружения вторжений;
- количество новых обнаружений;
- время присутствия атакующего в инфраструктуре.
Если при выборе SOC принимается во внимание только одна метрика, то этого недостаточно для получения полной оценки. Например, более низкого среднего времени обнаружения (MTTD) можно добиться за счет понижения точности выявления инцидентов. Или наоборот, можно пойти на небольшое увеличение MTTD, обеспечив за счет этого сбор расширенного контекста для инцидентов и повысив качество и скорость работы аналитиков форензика.
Заявленный компанией «Газинформсервис» низкий MTTD не является самоцелью. Он отражает объем проделанной работы по оптимизации работы GSOC. Но при выборе SOC для АСУ ТП надо принимать во внимание и другие метрики.
Безопасность АСУ ТП
Тема кибератак на промышленную сферу является сейчас одной из значимых для ИБ. Рост активности кибератак на АСУ ТП произошел по всему миру, не только в России. Причины связаны с развитием цифровизации предприятий, применением облачных услуг, расширением горизонтальных связей в цепочке поставок и пр.
Перед вами данные о киберугрозах для SCADA-систем в IV кв. 2024 г., представленные «Лабораторией Касперского» в марте 2025 года. Исследователи называют вирусные атаки главными при эксплуатации АСУ ТП.
Рисунок. 4. Угрозы для систем промышленной автоматизации за IV кв. 2024 г. («Лаборатория Касперского»)
Другой пример получен из данных исследования угроз для промышленных предприятий в тот же период времени, проведенный Forescout Research Vedere Labs. В них дана оценка мотивации киберпреступников, атакующих АСУ ТП. Почти половина кибератак в этом сегменте происходят с целью выкупа и связаны с эксплуатаций модели «вымогатель как услуга» (Ransomware-as-a-Service, RaaS).
Рисунок. 5. Угрозы для систем промышленной автоматизации, 2024-2025 Q1 (Forescout)
У многих руководителей российских объектов КИИ, большинство из которых относится к АСУ ТП, до сих пор наблюдается успокоенность в отношении ИБ. Их мнение опирается на то, что значительная часть оборудования на таких объектах изолирована от внешнего мира, поэтому они не ощущают угрозу напрямую.
«По нашей внутренней статистике, — отметил на PHDays 2025 Николай Нашивочников, — рост киберугроз для предприятий ТЭК составил в 2024 году около 30-35%. На текущий момент они находятся в фокусе внимания злоумышленников. Существующая изоляция оборудования в целом является половинчатой для безопасности предприятий или даже псевдозащитой».
GSOC и АСУ ТП
Доверить защиту предприятий АСУ ТП можно только компаниям, которые обладают накопленным опытом защиты подобных объектов, а также подтвержденной квалификацией в области ИБ. Эти составляющие и достигнутые результаты дают компании «Газинформсервис» возможность активно развиваться в этом направлении.
Многие ИБ-компании, предоставляющие услуги SOC, стараются избегать проекты для АСУ ТП из-за повышенной ответственности на фоне многочисленных особенностей защищаемых инфраструктур. Они делают безопасность для АСУ ТП неклассической формой ИБ. «Компания «Газинформсервис» уже 20 лет занимается безопасностью предприятий ТЭК, поэтому она готова брать на себя такую ответственность», — отметил Николай Нашивочников.
Большую сложность в поддержке АСУ ТП представляет наличие западных решений в инфраструктуре. Для них не предоставляется техническая поддержка. В то же время государство требует скорейшего перехода на отечественные аналоги, но сделать это, не рискуя поломать основной бизнес, промышленным компаниям очень сложно.
Рисунок. 6. Александр Михайлов, руководитель GSOC компании «Газинформсервис»
«В такой ситуации, — отметил Александр Михайлов,– надо умело осуществлять «хандеринг», обеспечивая безопасную настройку используемого программного и аппаратного обеспечения и сопровождая их дополнительными системами безопасности». Системы АСУ ТП обретают «нестандартную архитектуру», это сказывается на сложности поддержки их безопасности.
Особенностью безопасности предприятий АСУ ТП сейчас является уход на второй план защиты конфиденциальности данных. В первую очередь компаниям важна сейчас их киберустойчивость к инцидентам. Это требует подбирать для них соответствующие решения ИБ и средства защиты информации.
«Опыт, накопленный на предприятиях ТЭК, позволяет нам понимать, что происходит внутри АСУ ТП. Поэтому мы готовы заниматься этим, понимая, как работают подобные системы, где нередко используются проприетарные или устаревшие протоколы. Эти моменты необходимо учитывать и предпринимать необходимые меры, чтобы система могла работать безопасно», — добавил Александр Михайлов.
В проектах для АСУ ТП GSOC берет на себя функции мониторинга и расследования инцидентов. Реализацию мер по безопасности проводят ИТ-службы компании-заказчика. Такая модель вписывается в принятую на таких предприятиях модель безопасности.
Выводы
«Мы долго шли к созданию собственного центра мониторинга и реагирования GSOC», — отметил Николай Нашивочников.
Если в прошлом году компанию «Газинформсервис» ожидали многочисленные сложности впереди, то на PHDays 2025 она сообщила о своих достижениях. Компания выстроила внутренние процессы, добилась высоких показателей метрик эффективности. Теперь она готова предложить рынку опыт и квалификацию. Эти признаки имеют большую значимость на рынке, а для промышленных компаний особенно.
