RED Security SOC

Основные статьи:

• Ситуационные центры (определение, основные задачи)
• Security Information and Event Management (SIEM)

МТС RED SOC - центр мониторинга и реагирования на кибератаки. Специалисты центра анализируют происходящее в ИТ-структуре заказчика и сканируют на уязвимость к новым угрозам, блокируют вредоносное ПО и устраняют лазейки, по которым проник злоумышленник.

2025: Предоставление бесплатного страхования киберрисков

Компания RED Security будет предоставлять заказчикам сервисов мониторинга и реагирования на кибератаки бесплатное страхование киберрисков. Если заказчик понесет ущерб в результате инцидента в зоне ответственности RED Security SOC, он получит компенсацию на сумму до пяти миллионов рублей. Об этом компания сообщила 29 октября 2025 года.

Вопрос ответственности коммерческих центров мониторинга и реагирования на кибератаки за качество оказываемых услуг регулируется преимущественно метриками SLA. Ключевыми из них являются точность детектирования критичных инцидентов информационной безопасности, сроки их анализа и выдачи заказчикам рекомендаций по противодействию действиям злоумышленников. У RED Security SOC эти показатели не превышают 30 минут, что соответствует лучшим отраслевым бенчмаркам. Теперь, помимо этого, заказчикам гарантируется возмещение ущерба в случае, если в зоне ответственности RED Security SOC произойдет инцидент, который приведет к финансовым потерям организации.Алексей Федоров, WinByte: Проблема в том, что злоумышленники читают отчеты SAP об уязвимостях внимательнее, чем бизнес 23.3 т

Благодаря услуге киберстрахования в составе сервисов RED Security SOC заказчики могут не только минимизировать, но и передать третьей стороне риски ущерба от успешных кибератак, в том числе остановки бизнес-процессов, финансовых потерь или штрафов со стороны регуляторов.

Заказчики RED Security SOC получат возмещение потерь в случае утраты цифровой информации или корпоративного ПО, вымогательства со стороны злоумышленников, неправомерного использования вычислительных ресурсов, хищения денежных средств в электронной форме, а также возмещения вреда в связи с наступлением ответственности перед третьими лицами. Кроме того, страхование предусматривает компенсацию затрат на возможные издержки, связанные с рассмотрением инцидента в судебном порядке.

Заказчики доверяют нам свою защиту от киберугроз, и мы должны нести ответственность за конечный результат для бизнеса, а не только за промежуточные метрики эффективности. Мы уверены в качестве работы экспертов RED Security SOC и постоянно работаем над повышением скорости и полноты детектирования вероятных действий злоумышленников, поэтому предоставляем бесплатное страхование возможного ущерба. Фактически оно покрывает все ключевые киберриски – от заражения шифровальщиками и майнерами до незаконного вывода денег со счетов организации и регуляторных штрафов, – рассказал Михаил Климов, руководитель направления сервисов центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security.

2024

Запуск направления консалтинга в сфере выявления кибератак

Компания RED Security 4 сентября 2025 года сообщила о запуске консалтинга в области разработки правил корреляции – сценариев выявления кибератак. Данная услуга ориентирована на компании, создающие собственные корпоративные центры мониторинга и реагирования на киберугрозы (SOC), и помогает повысить эффективность противодействия киберпреступникам.

В условиях роста числа и сложности кибератак, включая таргетированные APT-атаки и хактивизм, российские компании сталкиваются с необходимостью усиления своих систем защиты. Согласно данным RED Security SOC, общее количество кибератак на российские компании с января по июнь 2025 года превысило 63 тысячи, что на 27% больше, чем за аналогичный период 2024 года. Разработка эффективных сценариев выявления инцидентов информационной безопасности становится ключевым фактором борьбы с растущими киберрисками.

Консалтинг RED Security SOC включает индивидуальную разработку правил корреляции с учетом специфики инфраструктуры и кибератак, актуальных для отрасли клиента. В качестве технологического ядра для оказания услуги могут использоваться ключевые российские SIEM-системы. В рамках оказания услуги компания оказывает методическую помощь в создании и настройке правил корреляции, а также обеспечивает их регулярное обновление. При возникновении нетиповых задач заказчики могут привлекать для их решения аналитиков RED Security SOC с опытом предотвращения сложных атак, включая атаки через подрядчиков.

Запуск услуги по разработке правил корреляции — это ответ на растущий спрос российских компаний на создание собственных центров мониторинга, которые соответствуют требованиям законодательства и отраслевым стандартам, — сказал Михаил Климов, руководитель направления сервисов RED Security SOC. — Именно написание правил обнаружения инцидентов является наиболее трудоемким этапом при создании внутрикорпоративных SOC, и мы готовы поделиться своим многолетним опытом защиты крупнейших российских компаний, чтобы обеспечить заказчикам быстрое повышение устойчивости к киберугрозам.

Наполнение правил корреляции от RED Security SOC включает описание сценария кибератаки и правила нормализации, а также непосредственно правило корреляции для SIEM-системы, используемой в компании. Также заказчик получает рекомендации по анализу и реагированию на инцидент с инструкциями, которые могут быть использованы при создании плейбука.

После создания правил корреляции они испытываются в тестовой среде путем имитации реальной атаки. Правило проверяется на точность детектирующей логики и вероятность ложноположительных срабатываний (false-posititve), а дежурную смену обучают корректным сценариям реагирования. Только после этого оно запускается в продуктивную среду.

Благодаря данной услуге российские компании могут существенно ускорить создание и запуск собственных центров мониторинга и реагирования на киберугрозы и, как следствие, снизить финансовые и репутационные рисков от последствий хакерских атак. Помимо этого, привлечение подрядчика для написания правил выявления инцидентов информационной безопасности позволяет сэкономить на обучении и повышении квалификации ИБ-специалистов в штате.

Выявление 190 тысяч инцидентов ИБ за год с помощью SIEM-системы KUMA

С помощью SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA) центр мониторинга и реагирования на кибератаки RED Security SOC выявил более 190 тысяч инцидентов информационной безопасности, в том числе 21,6 тысячу — высококритичных. Об этом RED Security сообщил 5 февраля 2025 года.

Среди атак, выявленных с помощью KUMA, — более 33 тысяч попыток обхода хакерами средств защиты, свыше 26 тысяч сетевых атак, около 21 тысячи попыток вирусных заражений и более 28 тысяч атак других векторов.

Высококритичные инциденты, выявленные RED Security SOC на базе KUMA, были зафиксированы преимущественно в промышленном секторе — совокупно более семи тысяч инцидентов. Эта отрасль на протяжении года оставалась самой атакуемой хакерами сферой российской экономики. Также 3,7 тысяч высококритичных кибератак было заблокировано в ИТ-компаниях и 3,5 тысячи — в сфере телекоммуникаций.

KUMA обладает высокой производительностью и легко масштабируется, а также "из коробки" поддерживает большой перечень коннекторов к типовым источникам событий. Это позволяет нам максимально быстро брать компании под защиту, подключая базовые сценарии выявления кибератак в самые короткие сроки. Кроме того, для нас очень важно, что KUMA может быть интегрирована с решениями любых разработчиков, поскольку мы выступаем как открытая экосистема кибербезопасности и предоставляем заказчикам максимальную свободу и гибкость в выборе поставщиков тех или иных технологий защиты, — подчеркнул Михаил Климов, руководитель направления сервисов центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security.

Совместно с RED Security мы работаем над повышением уровня защиты компаний на российском рынке, решая их актуальные задачи в области информационной безопасности. SIEM-система — один из ключевых инструментов для специалистов SOC-центров, и мы регулярно совершенствуем нашу платформу KUMA, чтобы работать с ней было максимально удобно. В частности, по запросам команды RED Security и других заказчиков в последнем обновлении помимо корреляции событий "на лету" и ретроспективного анализа добавилась функция регулярной проверки ранее собранных событий, предварительно обработанных с помощью SQL-запросов. Совместное использование аналитических функций БД ClickHouse и корреляционного движка расширяет возможности системы по обнаружению сложных атак, в которых злоумышленники стремятся быть ниже радаров. Результаты, которые с помощью KUMA получают ИБ-специалисты, — лучшее доказательство её эффективности, — отметил Илья Маркелов, руководитель направления развития единой корпоративной платформы «Лаборатории Касперского».

Внедрение Xello Deception

МТС RED заключила соглашение с компанией Xello. Благодаря этому технологическому партнерству центр мониторинга и реагирования на кибератаки МТС RED SOC поможет заказчикам снизить вероятность ущерба даже в случае, если хакеры проникнут в инфраструктуру компании. Об этом МТС RED сообщил 26 июня 2024 года.

МТС RED выступит в качестве MSSP-провайдера (Managed Security Service Provider) платформы Xello Deception, которая выявляет активность злоумышленников, предоставляя им недостоверную информацию об ИТ-инфраструктуре. Решение создаёт ложный слой из различных данных и информационных активов по сети компании, которые с большой долей вероятности будут задействованы в ходе кибератак.

Таким образом, если злоумышленник смог обойти средства защиты периметра компании, технологии Xello Deception помогают направить его по ложному следу в поиске ключевых элементов инфраструктуры или конфиденциальных данных компании-жертвы. Это позволяет выявить присутствие хакеров в ИТ-инфраструктуре заказчика до того, как они достигнут цели и нанесут компании ущерб, а также своевременно заблокировать развитие атаки.

Сервис предоставляется по облачной модели с размещением ключевых компонентов системы на площадке заказчика. В рамках оказания сервиса платформа Xello Deception передает данные о действиях злоумышленников в ложной инфраструктуре в центр мониторинга и реагирования на киберинциденты МТС RED SOC. Эти данные обрабатываются профессиональными аналитиками, которые уведомляют заказчика об инциденте и выдают рекомендации по реагированию на кибератаку.

Системы киберобмана являются высокодоверенным источником компрометации для SOC-центров и не создают большого потока ложных срабатываний. В то же время при уведомлении от системы необходимы навыки для анализа инцидента и оперативного реагирования. Специалисты МТС RED обладают необходимым опытом и компетенциями для оказания сервиса по всем направлениям, — сказал генеральный директор Xello Александр Щетинин.

В условиях, когда злоумышленники совершенствуют техники и методы для обхода классических средств защиты и долго остаются незамеченными в инфраструктуре жертвы, дополнительный уровень защиты в виде систем киберобмана становится важной составляющей при обеспечении кибербезопасности критических активов бизнеса, — отметил технический руководитель направления МТС RED SOC компании МТС RED Ильназ Гатауллин.

Добавление Kaspersky EDR

Компания МТС RED, входящая в ПАО «МТС», дополнила сервисы центра мониторинга и реагирования на кибератаки МТС RED SOC технологией защиты рабочих станций и серверов на базе решения Kaspersky EDR (Endpoint Detection and Response). Об этом МТС RED сообщил 5 апреля 2024 года. Подробнее здесь.

Доступность в гибридном формате

Компания МТС RED, входящая в ПАО «МТС» 29 февраля 2024 года сообщила о том, что сервисы центра мониторинга и реагирования на кибератаки МТС RED SOC теперь доступны заказчикам в гибридном формате.

Гибридный формат использования сервисов центра мониторинга и реагирования на кибератаки подразумевает, что его технологическое ядро – SIEM-система – внедрена непосредственно в ИТ-инфраструктуре заказчика. На аутсорсинг при этом передаются только функции администрирования, мониторинга, развития контента и формирования инструкций по реагированию на кибератаки либо непосредственно применение мер по техническому блокированию атак.

В рамках гибридной модели специалисты МТС RED SOC внедряют SIEM-систему на площадке заказчика и настраивают правила корреляции поступающих в нее событий информационной безопасности для выявления киберугроз на ранних стадиях. Специалисты МТС RED SOC подключаются к SIEM-системе заказчика по защищенному каналу связи, а все данные об инцидентах хранятся и обрабатываются в контуре компании. При этом МТС RED SOC применяет многолетнюю экспертизу, накопленную в ходе проектов по защите компаний различных отраслей, для поддержки и развития правил корреляции событий информационной безопасности, выявления кибератак, формирования инструкций или реализации мер по противодействию злоумышленникам, а также предоставлению углубленной аналитики для дальнейшего повышения уровня защищенности заказчиков.

Если в компании уже используется SIEM-система, специалисты МТС RED помогают провести аудит ее текущего состояния и оценить достаточность объема подключенных источников событий информационной безопасности. Кроме того, МТС RED SOC предоставляет заказчикам собственный набор правил корреляции событий ИБ, учитывающих отраслевую специфику и апробированных при детектировании кибератак на крупнейшие компании России. После профилирования сценариев выявления инцидентов эксперты МТС RED SOC выполняют полный объем работ по работе с SIEM-системой – от настойки и поддержки до круглосуточного выявления и реагирования на кибератаки.

Спрос на гибридную модель поставки сервисов центров мониторинга и реагирования на кибератаки как никогда высок. Крупные компании, особенно банки и субъекты КИИ, предпочитают отдавать на аутсорсинг только те функции, которые требуют крупного штата высококвалифицированных опытных специалистов, оставляя внутри ИТ-инфраструктуры системы, непосредственно хранящие и обрабатывающие данные об инцидентах, – отметил Ильназ Гатауллин, технический руководитель направления МТС RED SOC компании МТС RED.