Глубокая защита страны: стратегия, лежащая в основе SOC Antel и Urudata Кибербезопасность

Antel, владелец крупнейшей в стране инфраструктуры мониторинга кибербезопасности, недавно организовал завтрак по кибербезопасности SecOps Uy. Мероприятие было посвящено важности и методам проведения операций по обеспечению безопасности (SecOps), которые включают в себя превентивные, детективные и корректирующие меры, необходимые для обеспечения устойчивости бизнеса. В знак долгосрочного стратегического партнерства Antel пригласила в качестве основного докладчика компанию Urudata Ciberseguridad, чей Центр оперативной безопасности (SOC) на протяжении последних трех лет является опорой для круглосуточного обнаружения угроз и реагирования на них со стороны государственной компании. В мероприятии также приняла участие IBM, технологический партнер, чья платформа QRadar является центральным инструментом в архитектуре защиты. «Киберпреступники не глупы; они наносят удары по выходным, зная, что на другом конце никого нет», — пояснил Клаудио Лопес, менеджер по консалтингу Urudata Ciberseguridad, в интервью о мероприятии. Решение Antel передать эту важную услугу на аутсорсинг отражает мировую тенденцию к обеспечению непрерывности работы. Примеры недавних кибератак, которые Лопес продемонстрировал во время своего выступления, показали их частоту и масштаб как на национальном, так и на международном уровне. В начале мероприятия Алехандро Рейна, менеджер по безопасности операций в Antel, объяснил сложность защиты критически важной инфраструктуры учреждения такого размера. Он подчеркнул, что модель Antel является гибридной, сочетая собственный персонал с сотрудничеством с Urudata Ciberseguridad, чтобы обеспечить круглосуточную поддержку без перерывов. Рейна подчеркнул, что современный SOC выходит за рамки мониторинга: он требует анализа угроз, управления уязвимостями и, что особенно важно, надежной системы реагирования на инциденты (CSIRT). Решение QRadar SIEM, которое IBM предоставляет для этого процесса, функционирует как «центральная нервная система» операции. SIEM (Security Information and Event Management) — это платформа, которая централизует и анализирует огромные объемы данных (журналов) из всех источников организации. Как пояснил Леопольдо Агирре из IBM, ее основная функция — сопоставлять, казалось бы, не связанные между собой события, чтобы выявлять сложные схемы атак, которые были бы незаметны для отдельного аналитика. Алехандро Рейна из Antel подтвердил доверие к этому инструменту, отметив, что «QRadar еще имеет большой потенциал», особенно когда он дополняется другими инструментами, такими как EDR (Endpoint Detection and Response) и NDR (Network Detection and Response). Речь идет о двух инструментах, предназначенных для совместного обнаружения угроз и реагирования на них, хотя они работают в разных местах инфраструктуры. В центре внимания презентации Urudata Ciberseguridad была проактивная стратегия, демонстрирующая, почему Antel выбрала именно этот SOC. Клаудио Лопес использовал историческую военную аналогию: кибербезопасность не должна быть «линией Мажино» (линия обороны союзников во Второй мировой войне, которая была прорвана нацистами), а «глубокой обороной» с несколькими уровнями, призванными измотать и сбить с толку атакующего. Лопес поделился примерами такого подхода, начиная с необходимости знать врага. Он продемонстрировал, как Urudata Ciberseguridad использует открытые источники информации (OSINT) для устранения угроз до того, как они нанесут удар, подробно описав реальный случай так называемого романтического мошенничества (цифровые мошенничества с использованием фальшивых личностей), в котором была раскрыта истинная личность злоумышленника. Эти знания затем применяются для защиты критически важных активов клиента, известных как «королевские драгоценности», адаптируя защиту к конкретным потребностям учреждений и компаний. Исходя из этого, SOC Urudata Ciberseguridad практикует проактивную охоту (search and destroy), ища признаки взлома в сетях своих клиентов, а не пассивно ожидая предупреждений. Мероприятие завершилось максимой, которая определяет эту комплексную стратегию: активная подготовка, выраженная в исторической фразе «Si vis pacem, para bellum» (Если хочешь мира, готовься к войне). Для такой крупной организации, как Antel, операционные возможности столь же важны, как и стратегия. SOC Urudata Ciberseguridad является крупнейшим в стране как в государственном, так и в частном секторе, с около 25 техническими специалистами, занимающимися исключительно мониторингом, реагированием на инциденты и сбором информации об угрозах без перерывов. Лопес выделил отличительные черты, лежащие в основе этой деятельности. Первый — это скорость, усиленная с помощью ИИ. «При реагировании на инциденты каждая минута имеет решающее значение», — заявил Лопес, пояснив, что искусственный интеллект используется в качестве ускорителя для автоматизации обнаружения и позволяет аналитикам реагировать быстрее. Второй компонент — это непрерывное обучение; Urudata Ciberseguridad поддерживает строгий цикл обучения и международной сертификации для всего своего персонала. «Никто на рынке не имеет такого количества международных сертификатов», — заключил он. Конференция «SecOps Uy» послужила публичным подтверждением модели безопасности, принятой Antel, где синергия между зрелым клиентом, таким как это государственное учреждение, надежной технологией (IBM QRadar) и опытным крупным партнером (Urudata Ciberseguridad) создает проактивную защиту, способную противостоять передовым транснациональным угрозам.