MaxPatrol SIEM помог Solar JSOC выявить десять целевых атак (APT)

MaxPatrol SIEM помог Solar JSOC выявить десять целевых атак (APT)

MaxPatrol SIEM помог Solar JSOC выявить десять целевых атак (APT)

Специалисты компании «Ростелеком-Солар», отвечающие за работу центра мониторинга и реагирования на киберинциденты Solar JSOC, оценили использование системы MaxPatrol SIEM, разрабатываемой экспертами Positive Technologies. Уже более двух лет MaxPatrol SIEM помогает выявлять опасные кибератаки APT-группировок.

В частности, как отметили представители «Ростелеком-Солар», с помощью решения от Positive Technologies удалось обнаружить десять целевых кибератак, а также несколько сотен рассылок вредоносных программ, целью которых были госкорпорации и КИИ.

MaxPatrol SIEM обеспечивает Solar JSOC непрерывным потоком обрабатываемых событий, который на сегодняшний день составляет более 150 тыс. в секунду.

В «Ростелеком-Солар» подчеркнули, что центр мониторинга и реагирования на киберинциденты задействует MaxPatrol SIEM с конца 2017 года. В числе заказчиков, использующих это решение, есть более 30 крупных госорганизаций и ведомств, а также ряд промышленных компаний.

Помимо этого, эксперты Solar JSOC сообщили, что MaxPatrol SIEM в ходе внедрения прошёл тестирование на высоконагруженных системах. Более того, благодаря специальной адаптации к процессам SOC специалисты смогли создавать собственные способы выявления киберугроз.

За время работы с MaxPatrol SIEM эксперты «Ростелеком-Солар» смогли написать более 300 правил выявления атак. Дополнительно подчёркивается, что решение Positive Technologies интегрировали с тремя IRP.

Что касается самих атак, Максим Филиппов из Positive Technologies отметил следующие тенденции:

«68% APT-атак группировки направляют на государственные учреждения, 59% — на промышленные компании и 41% — на ТЭК».

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru