Команда GIS CYBERTEAM представила «Газинформсервис» на The Standoff

Команда GIS CYBERTEAM представила «Газинформсервис» на The Standoff

Команда GIS CYBERTEAM представила «Газинформсервис» на The Standoff

16-19 мая 2022 г. совместно с форумом Positive Hack Days прошли киберучения The Standoff. От имени компании «Газинформсервис» в соревнованиях выступила команда GIS CYBERTEAM.

На площадке мероприятия собрались более 150 белых хакеров, чтобы найти уязвимости в защите виртуальных компаний из разных отраслей экономики, и попытались парализовать жизнь внутри модели государства, представленной на гексагоне. Взломщикам были противопоставлены пять команд защитников, которые в режиме реального времени отслеживали и расшифровывали проводимые атаки.

Компанию «Газинформсервис» представила сборная специалистов по информационной безопасности GIS CYBERTEAM. Она традиционно выступила в синем углу команд-защитников, главными задачами которых на протяжении четырех дней кибербитвы стали обнаружение, регистрация и расследование произошедших инцидентов, а также подготовка отчетов с подробным описанием цепочек действий злоумышленников. За специалистами была закреплена энергетическая отрасль.

«В нашу команду вошли высококлассные специалисты нескольких направлений: систем мониторинга, выявления уязвимостей, поведенческого анализа и анализа сетевого трафика. Каждый из них выложился на максимум и, я уверен, приобрел уникальный опыт работы в обороне», — говорит капитан команды Сергей Носков.

За четыре дня киберучений команды атакующих 63 раза реализовали недопустимые события — 30 из них были уникальными. За это же время защитники сдали 287 отчетов об инцидентах, 45 из которых зафиксировала команда GIS CYBERTEAM.

Участники команды оценивают прошедшие соревнования крайне положительно, хотя и случались всевозможные заминки — техника вещь ненадежная и может подвести в самый неподходящий момент, особенно когда по другую сторону находятся настоящие профессионалы своего дела. В остальном же Государство F — это вполне реальная инфраструктура с хорошо настроенными рабочими процессами.

«Для нас это хороший опыт работ с продуктами, предложенными для работы, — делится специалист по системам мониторинга информационных систем Сергей Варлапов. — Можно хорошо понять, как они работаю изнутри: как с их помощью можно детектировать работу злоумышленников, как заводить и расследовать инциденты. Все это невероятно затягивает».

Основной целью The Standoff заявлено объединение усилий белых хакеров, бизнеса и государства, чтобы выявить возможные сценарии кибератак и разработать стратегии их предотвращения. Действительно, после прохождения таких масштабных киберучений появляется не только пища для размышлений, но и практическая база для написания дополнительных правил политик безопасности.

«Experience – must have, особенно для тех, кто предпочитает работать в SOC-центрах на стороне синих. Такого количества событий за короткий промежуток времени вы больше нигде не увидите», — говорит специалист по системам мониторинга информационных систем Дмитрий Ньорба.

Solar SIEM получил правила Solar JSOC, TI Feeds и расширенного ИИ-агента

ГК «Солар» выпустила Solar SIEM 2026.2. Главное изменение — в продукт добавили полную библиотеку правил детектирования Solar JSOC, сформированную за 14 лет мониторинга и расследования инцидентов в инфраструктурах примерно 300 заказчиков.

Идея проста: компаниям больше не нужно месяцами собирать собственную базу правил под конкретную инфраструктуру. Готовые сценарии должны помочь обнаруживать сложные атаки уже на первых этапах внедрения системы.

По данным Solar JSOC, в 2025 году центр зафиксировал 1,16 млн событий информационной безопасности после фильтрации ложных срабатываний. Заказчики подтвердили более 33 тыс. инцидентов. Чаще всего встречались вредоносное ПО — 36% случаев — и попытки несанкционированного доступа — 23%.

В обновлении также появилась поддержка TI Feeds. Solar SIEM может загружать индикаторы компрометации из базы Solar 4RAYS и сторонних источников клиента, а затем автоматически сопоставлять их с событиями в инфраструктуре.

Расширили и возможности ИИ-агента. Раньше он анализировал только информацию из карточки инцидента, теперь может самостоятельно обращаться к исходным данным, изучать их и предлагать дальнейшие действия. Это должно ускорить первичный разбор и снять часть рутины с аналитиков.

Ещё одно нововведение — мультитенантность. Несколько организаций можно подключить к одной инсталляции SIEM, разделив их потоки событий. Такой вариант рассчитан прежде всего на холдинги, MSSP-провайдеров и структуры с большим количеством подразделений.

В пилотировании новой версии приняли участие более 40 компаний разного масштаба. По сути, Solar SIEM пытается сместить акцент с бесконечной ручной настройки на готовую базу знаний, которую можно использовать без собственного огромного SOC и армии аналитиков.

RSS: Новости на портале Anti-Malware.ru