Як працює система кіберзахисту групи компаній «ФОКСТРОТ»
від Octava Defence
Розповідає СІО В'ячеслав Нехороших
Під час карантину навесні минулого року група компаній «Фокстрот», як і багато інших рітейлерів стикнулась з викликом зміни споживацької поведінки. Були періоди, коли 60% продажів групи здійснювалося онлайн, а за день сайт відвідували до 270 000 користувачів.

Перехід більшості співробітників на дистанційну роботу сприяв збільшенню навантаження на IT-департамент та на відділ боротьби з кіберзагрозами. Водночас, кількість власних кібераналітиків залишалася незмінною. У таких умовах було необхідно забезпечити стабільну роботу бізнесу.

Через це у «Фокстрот» задумалися над посиленням системи кіберзахисту. Зрештою, вирішили звернутися до оператора кібербезпеки Octava Defence.

Сьогодні оператор на базі власного Security Operational Center відповідає за повний цикл роботи з кіберзагрозами: моніторинг та аналіз, бере участь у розслідуваннях, надає рекомендації щодо реагування й усунення причин виникнення загроз. Тепер кібераналітики Octava Defence активно співпрацюють з фахівцями з кібербезпеки групи «Фокстрот» задля боротьби з кіберзагрозами.

Докладніше про наявні кіберзагрози та інструменти, які використовує «Фокстрот» для роботи з ними говоримо з CIO В'ячеславом Нехороших, COO Octava Defence Олександром Волощуком та Олексієм Севонькіним, менеджером з розвитку бізнесу Octava Defence.
«Ми виявляємо та гасимо пожежу ще задовго до того, як вона розгориться», — пояснює Нехороших
01
Octava Defence — оператор кібербезпеки. Компанія пропонує сучасні рішення з кібербезпеки, які надає в форматі керованих послуг на базі власного Security Operational Center.

Головна послуга компанії — це Security Operational Center (SOC) у форматі послуги, або SOC as a Service. Він складається з трьох головних елементів, які забезпечують найшвидший шлях для досягнення кіберстійкості. Це:

технічні засоби;
процеси;
кібераналітики.
Як працює SOC Octava Defence ?
Octava Defence —
оператор кібербезпеки. Компанія пропонує сучасні рішення з кібербезпеки, які надає в форматі керованих послуг на базі власного Security Operational Center.
Становлення повноцінного SOC передбачає три етапи, які в Octava Defence представили у вигляді «піраміди кіберcтійкості».
Ці рівні показують зрілість системи кібербезпеки та водночас відповідають 5 функціям системи КБ, запропонованих Національним Інститутом Стандартів і Технологій США (NIST): ідентифікація, захист, моніторинг, розслідування та реагування, відновлення.
0 РІВЕНЬ: розуміння, що треба захищати
Це передбачає проведення аудиту об'єктів захисту та виділення критичних для бізнесу сервісів, створення карти ризиків та моделі вразливостей. За результатами формується портфель проектів — заходів посилення кіберстійкості.
1 РІВЕНЬ: базовий та SOC-ready-захист — створення «щиту», який заважає реалізовуватися простим кібератакам
На цьому рівні відбувається підвищення ефективності використання основних рішень кібербезпеки та впровадження додаткових «SOC-ready» рішень для забезпечення моніторингу.
2 РІВЕНЬ: SOC-моніторинг — забезпечення спостережуваності та виявлення потенційних загроз 24/7
На цьому етапі забезпечується нормалізація подій, усунення false-positive та можливого «шуму» систем ІТ та КБ, запроваджуються процеси базового розслідування та реагування, а також передбачається формування регулярних аналітичних звітів.
3 РІВЕНЬ: SOC MDR (Managed Detection Response)
Попередження кібератак та оперативне відновлення роботи після настання 0-day. А також створення BLUE TEAM — єдиної професійної команди реагування із замовником, яка здатна забезпечити повноцінний цикл з розслідування, реагування та усунення усіх потенційних причин виникнення інцидентів — вразливостей, а також Thread Hunting.

В межах 3-го рівня проводиться аудит і розробка стратегій резервування, написання плану відновлення на випадок кібератак та реалізується функція резервування даних.
Технічні засоби формують «щит», який не дозволяє кіберзагрозам реалізуватися, тому компанія може бути спокійною. Однак найчастіше виявляється, що за таких умов з системою захисту ніхто не працює і не використовує її можливості на повну потужність.

Через це бізнес просто не знає, з якими загрозами стикається у режимі реального часу, адже:

1. Технічні засоби не забезпечують наскрізний моніторинг подій: їх або недостатньо, або вони неякісно налаштовані.

2. Немає кваліфікованих спеціалістів, які здатні відстежити злий намір у низці не пов'язаних, на перший погляд, між собою подій.

Унаслідок зазначених факторів, збільшується час виявлення та реагування на загрози. Це призводить до значного зростання ризиків серйозних інцидентів, адже система не зможе виявити загрози й зловмисник залишатиметься непоміченим. Саме з цим стикнулися в групі компаній «Фокстрот» до початку роботи з Octava Defence.

На сьогодні у відділі кібербезпеки «Фокстрот» працює двоє співробітників, які активно співпрацюють з командою SOC від Octava Defence. Це було б неможливо, якби вони мали щодня лише моніторити інциденти. Але завдяки співпраці з Octava Defence, більшу частину роботи з моніторингу інцидентів вдалося вивести на аутсорс.
Проблема: наявність базових технічних систем захисту не забезпечує справжній кіберзахист
02
Системний адміністратор, IT-спеціаліст або навіть спеціаліст з систем кіберзахисту не завжди готовий та може якісно виконувати роботу щодо аналізу подій, виявлення потенційних інцидентів, розслідування та реагування.

«Це одна з помилок багатьох компанії інвестувати в придбання технічних засобів, але зовсім не думати про те, ХТО і ЯК буде з ними працювати: розв'язувати всі наявні проблеми та інциденти. Можливо, в майбутньому роботу аналітиків також робитимуть машини. Однак, поки що без людського інтелекту системи кібербезпеки не будуть працювати ефективно», — наголошує Олексій Севонькін.

Для цього необхідно мати значний досвід експлуатації як базових систем кіберзахисту, так і більш просунутих (SOC-ready) систем, розумітися на рішеннях інфраструктурного (Windows/Linux) та мережевого рівня (DNS, HTTPS, PROXY, DHCP тощо).

Починаючи з 2-го рівня «піраміди кіберстійкості», роль кібераналітиків стає дуже важливою, а на етапах розслідування та реагування стає критичною.

Сьогодні в компанії Octava Defence працює команда з 25+ досвідчених фахівців різного рівня. Всі вони мають досвід роботи та експлуатації систем кіберзахисту.
Проблема: нестача кваліфікованих кібераналітиків
03
Є бізнеси, де необхідно мати власний SOC. Наприклад, банківська сфера, де атаки відбуваються частіше, а вартість інформаційних активів набагато більша. Але побудова та обслуговування SOC потребує значних фінансових та людських ресурсів, часу й досвіду.

Тому у «Фокстроті» вирішили провести власний внутрішній тендер, в якому обрали компанію Octava Defence. Компанія працює повністю на своєму обладнанні та технологіях. Оператор кіберзахисту Octava Defence пропонує найсучасніші рішення щодо забезпечення кібербезпеки по моделі підписки, без необхідності великих стартових капіталовкладень.

«Ми вже другий рік співпрацюємо з компанією Octava Defence і маємо хороші результати щодо реалізації функції моніторингу та запобігання загрозам», — підкреслює В'ячеслав Нехороших, CIO Групи компаній «ФОКСТРОТ».
Проблема: будувати власний SOC дуже дорого і не завжди є сенс
04
Під'єднати групу компаній «Фокстрот» до SOC вдалося протягом двох тижнів. А вже за декілька днів стало можливим бачити та аналізувати процеси, які відбувалися в мережі з наявними технічними засобами групи. Повне підключення та налаштування для «Фокстроту» SOC в Octava Defence зайняло півроку. Цей час був необхідний, щоб вивчити інфраструктуру замовника, підібрати необхідні заходи кібербезпеки, налагодити співпрацю між співробітниками оператора послуг кібербезпеки та замовника.


«За короткий період нам вдалося повністю налагодити співпрацю. На цей момент у нас вже є всі необхідні технічні засоби. Наша задача зараз — аналізувати загрози і відбивати кібератаки як внутрішні, так і зовнішні», — пояснює В'ячеслав Нехороших, CIO Групи компаній «ФОКСТРОТ».
Проблема: систему кібербезпеки потрібно розгорнути якомога швидше, адже загрози чекають на компанію щодня
05
На жаль, жодна система кібербезпеки не захищає на 100%. Навіть якщо вона здається над надійною, завжди може знайтися хакер, який її зламає. До того ж злочинці знаходяться в більш вигідному становищі. Їм достатньо знайти одну єдину шпаринку в системі КБ та скористатися нею. В той час та сторона, яка захищається, змушена стежити за всім периметром та аналізувати всі події.

«У таких умовах лише функції захисту недостатньо. Потрібно, щоб була можливість постійного моніторингу, розслідування та реагування на інциденти. Якщо обмежитися лише одним захистом — це означає свідомо програти», — пояснює Олексій Севонькін, менеджер з розвитку бізнесу Octava Defence.

Підхід SOC Octava Defence передбачає вивчення потреб клієнтів та знаходження критичних вразливостей захисту від кібератак. Саме на ці прогалини будуть спрямовані основні зусилля безпеки з урахуванням найкращих світових практик та досвіду компанії Octava Defence. Завдяки такому підходу до послуги, бізнес отримує найкращі результати від використання SOC.
Проблема: кіберзагрози постійно змінюються і стають все більш небезпечними
06

Давайте ми розповімо, як SOC може допомогти підсилити кіберстійкість вашого бізнесу!
ТЕКСТ
Наталя Міняйло
ПАРТНЕР
Матеріал підготовлено за підтримки Octava Defence
Що це означає?
ВЕРСТКА
Юля Трофименко
ПРОДЮСЕР
Олександра Герт
ФОТО
Octava Defence
Ірина Насильнєва
МЕНЕДЖЕР
ПРЕДСТАВНИК OCTAVA DEFENCE
Анна Пригода
Матеріал виготовлено за підтримки рекламодавця
Під час використання матеріалів сайту обов'язковим є наявність гіперпосилання в межах першого абзацу на сторінку розташування вихідної статті із зазначенням бренду видання AIN.UA. Матеріали з позначками «Новини компаній», PR, «Спецпроект», «Промо» і «Блоги» публікуються на правах реклами.
© 1999-2021 AIN.UA