В форуме приняли участие представители Минцифры, Роскомнадзора, ФСБ России, ФСТЭК России, а также крупнейших холдингов и предприятий ОПК, госсектора, энергетики, транспорта, связи, ритейла, разработчиков и поставщиков ИБ-услуг.
В рамках деловой программы форума, первый заместитель генерального директора АО «ИБ Реформ» проинформировал собравшихся о Едином центре компетенций по технологическому обеспечению корпоративной системы информационной безопасности государственной корпорации Ростех и ее организаций, который создан на базе АО «ИБ Реформ». На стенде Компании были продемонстрированы собственные решения в области информационной безопасности в рамках импортозамещения: RT Protect EDR (Система обнаружения целенаправленных атак и сложных угроз), антивирус RT Protect AV и криптошлюз RT Protect КШ-4000. Посетители стенда ознакомились с платформой коммуникации RT link, которая призвана заменить в корпоративном сегменте WhatsApp, Telegram и другие мессенджеры.
Согласно утвержденному положению о Едином центре компетенций по технологическому обеспечению корпоративной системы информационной безопасности государственной корпорации Ростех и ее организаций в АО «ИБ Реформ» создан Единый центр мониторинга и реагирования на компьютерные инциденты (далее SOC-центр), который находится в процессе аккредитации как центр ГосСОПКА класса А.
SOC-центр АО «ИБ Реформ» осуществляет мониторинг безопасности ИТ-инфраструктуры в режиме 24/7 и реагирование на инциденты ИБ и участвует в развитии системы информационной безопасности Заказчиков. Опираясь на современный стек технологий с собственными методиками автоматизации процессов, SOC-центр способен работать по лучшим нормативам SLA на рынке! На сегодняшний день к центру мониторинга подключено несколько клиентов в режиме пилотирования.
Помимо услуг постоянного мониторинга SOC-центр АО «ИБ Реформ» предоставляет услугу Ретроспективного анализа инфраструктуры (RT Retro). В рамках этой услуги проводится детальное исследование систем, журналов событий, дампов памяти и сетевого трафика за определенный промежуток времени в прошлом с целью выявления следов компрометации и формировании рекомендаций по устранению последствий кибератак.
Ретроспективный анализ позволяет выявлять артефакты и по ним восстановить последовательность действий потенциального злоумышленника, определить начальный вектор проникновения и перечень скомпрометированных ресурсов. Периодическое проведение ретроспективного анализа позволяет предотвращать или минимизировать ущерб от APT-атак за счет сокращения времени присутствия злоумышленников в инфраструктуре, что дает специалистам по ИБ возможность реагировать на инцидент до того, как злоумышленник получит полный контроль над критически важными ресурсами, а также контролировать уровень зрелости ИБ в организации.
Услуга включает:
- поиск индикаторов компрометации на файловой системе, в памяти процессов;
- сбор и анализ событий, ранее зарегистрированных информационными системами и СЗИ;
- корреляцию данных различных источников с целью выявления инцидентов ИБ;
- расследование (форензику) выявленных инцидентов ИБ;
- формирование рекомендаций администраторам по реагированию и устранению уязвимостей инфраструктуры.
На стенде с RT Protect EDR была продемонстрирована атака шифровальщика. RT Protect EDR успешно детектировал атаку и предотвратил ее развитие в автоматизированном режиме. При этом все чувствительные данные восстановлены благодаря функции резервирования в защищённых шифркотейнерах.
В рамках стенда услуги Ретроспективного анализа были проведены типовые атаки на машину с ОС Windows. Далее применена собственная методика их выявления посредством сбора данных инструментами с открытым исходным кодом, их обработки с помощью Apache Nifi и анализа с использованием стека ELK. Были выявлены все продемонстрированные атаки.
В настоящее время уже проводится работа по агрегированию информации о самых свежих уязвимостях и атаках, на основе которых специалисты SOC-центра могут проводить системную и эффективную работу по тестированию на проникновение. Постоянно пополняемая база знаний SOC-центра в сфере кибербезопасности реализована в виде собственного портала по аналитике угроз.
Начальник Центра мониторинга и реагирования на компьютерные инциденты поделился практическим опытом проведения работ по оценке защищённости IT-инфраструктуры в рамках исполнения Указа Президента Российской Федерации от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» в контуре Ростеха.
Решения и услуги АО «ИБ Реформ» вызвали большой интерес как представителей организаций Государственной корпорации Ростех, так и компаний-разработчиков в области информационной безопасности. Высокая профессиональная оценка продемонстрированных решений и услуг от АО «ИБ Реформ» показывает серьезный научно-технический и значительный экспортный потенциал решений компании в области информационной безопасности.