Солар: Adversary Emulation, кибероперации

Основные статьи:

• Security Information and Event Management (SIEM)
• UBA (User Behavior Analytics, Анализ поведения в сфере систем обеспечения безопасности)

2025: Представление Adversary Emulation

«Солар» смоделирует атаки и покажет компаниям слабые места в их ИБ-защите. Об этом компания сообщила 14 апреля 2025 года.

𝓲

Фото: Солар

По оценке экспертов «Солара», время между появлением новой уязвимости и началом ее эксплуатации злоумышленниками стремительно сокращается: если раньше для этого требовались дни, то теперь профессиональные хакеры реализуют атакую через «свежую брешь» всего за несколько часов. Поэтому компаниям важно не только проверять свой ИТ-периметр на наличие слабых мест, но и уровень профессионализма своих ИБ-команд, чтобы они могли вовремя увидеть кибератаку и среагировать на нее. Для решения этой задачи «Солар», архитектор комплексной кибербезопасности, выделил кибероперацию (Adversary Emulation) в отдельный тип услуг. Подобные работы наглядно демонстрируют, готова ли организация, как технически, так и ресурсно, к атаке профессиональных киберпреступников.

Adversary Emulation, или кибероперации, – это разновидность работ класса offensive security (наступательная безопасность). Она имеет сходство с Red Teaming, где главным приоритетом является тренировка команды SOC. Adversary Emulation, в свою очередь, полностью имитирует сложные атаки без уведомления команды защиты, чтобы проверить не только уровень подготовки инфраструктуры, но профессиональные навыки штатной службы реагирования на инциденты. В рамках услуги эксперты отдела анализа защищенности «Солара» моделируют целевую атаку с применением техник и тактик высококвалифицированных киберпреступников.Партнерство под крылом «Колибри-АРМ»

Работы проходят в несколько этапов. К каким именно элементам инфраструктуры необходимо получить доступ – определяет заказчик. После согласования задач проекта эксперты «Солара» начинают собирать информацию об инфраструктуре и готовить инструментарий для атаки. Далее «нападающие» реализуют сценарий атаки: ищут подходящий вектор преодоления внешнего периметра, способы закрепления внутри сети, повышения привилегий и доступа к целевым системам. При этом кибероперация позволяет cмоделировать атаку не только в цифровой среде, но и посредством физического проникновения на территорию организации.

После завершения кибероперации организация получает подробный отчет с итогами работ, деталями противодействия команды защиты и рекомендациями по исправлению найденных уязвимостей и недостатков. Работы могут длиться от 1 до нескольких месяцев в зависимости от целей.

Кибероперации – это услуга для крупных компаний, которые имеют уже сформированную и профессиональную команду реагирования или собственный центр мониторинга (SOC). Обычного пентеста (то есть базового тестирования на проникновение) для таких организаций уже мало. Им важно понять, что потенциальный злоумышленник сможет сделать с теми точками входа, которые найдет. И кибероперации как раз наглядно демонстрирует цепочки эксплуатации уязвимостей и негативные воздействия, которые смогут осуществить злоумышленники при успешном проникновении в сеть. Также важно, что такие работы позволяют оценить качество процессов мониторинга и реагирования, в том числе скорость реагирования на инциденты, и на каком этапе сотрудники и средства мониторинга смогут выявить и остановить атаку, – пояснил руководитель отдела анализа защищенности ГК «Солар» Александр Колесов.