Вот вам негласное правило нашей ИБ индустрии: финансовый сектор это закрытый клуб. «Лиги плюща» от кибербезопасности. Они берут только «своих». Проверенных временем, с безупречным портфолио из пяти топовых банков. У нас такого не было.
Год назад. Москва-Сити. Мне удалось уговорить на обед своего одногруппника. Тот самый случай, когда твой знакомый с вуза теперь солидный дядя в костюме за полмиллиона, технический директор одного из крупнейших банков.
Мы смеялись над историями про студенческие вечеринки, старых преподавателей и первыми провальными проектами. А потом я, запинаясь, попытался продать ему наши услуги. «Ребята, вы крутые, но у нас своя политика... В финансовый сектор так просто не попасть».
Это был вежливый, но твердый отказ. Я уехал, понимая: хоть я и «попытался», но дверь в этот элитный клуб для нас закрыта. Наверное, навсегда.
Прошло несколько месяцев. Звонок на мобильный.
Ваш знакомый, порекомендовал к Вам обратиться. Мы из финансового сектора. И, несмотря на это, у нас бюджет всего 20 млн. Возьметесь?
В трубке повисла пауза. Та самая, в которой пролетают все твои мысли: «Неужели? Те самые? С бюджетом, который для них копейки?»
Конечно, возьмемся, сказал я, стараясь, чтобы голос не дрогнул.
И знаете, что я понял, кладя трубку? Иногда самые неприступные двери открываются не тогда, когда ты в них ломишься, а когда те, кто за ними, сами понимают: пора искать тех, кто умеет воевать, а не тех, кто умеет носить дорогой костюм.
А дальше началась та самая история, которую я не мог рассказывать до сегодняшнего дня.
Это была не просто утечка данных. Заказчик столкнулся с кошмаром: тонны данных от межсетевых экранов, серверов, СУБД, которые не говорили друг с другом. Их команда безопасности была как диспетчер аэропорта, пытающийся управлять рейсами по старинной рации, пока вокруг сверхзвуковые лайнеры хакерских атак.
🎯 Фаза 1: Разведка «Слепые пятна»
Мы вошли в их сеть. Картина была удручающей:
· 17 типов источников генерировали ворох событий, но не было единого центра, который бы сводил все воедино.
· Ложные срабатывания заваливали команду, как снежная лавина.
· Наш OSINT-отдел нашел в даркнете объявление: «Продается доступ к крупной финструктуре». Это были их данные. Их уже продавали, а они об этом не знали.
Задача была не просто «поставить защиту». Задача была создать единый организм, обладающий интеллектом и реакцией.
⚙️ Фаза 2: Сборка Цифрового Хищника «Мозг и Когти»
Мы развернули операцию в 4 ключевых этапа:
1. Внедрили SIEM «Мозг» операции. Это искусственный аналитик, который пьет кофе литрами и никогда не спит. Он в реальном времени видит связь между событием на контроллере домена и подозрительным запросом к базе данных. Мы настроили 30 сценариев выявления, чтобы он не просто видел разрозненные события, а понимал логику многостадийной атаки.
2. Развернули SOAR «Когти и Зубы». Это наша автоматизированная реакция. Мозг (SIEM) увидел угрозу, SOAR мгновенно вгрызается в нее. Мы прописали плейбуки, пошаговые инструкции для любого сценария. Время реакции на высококритичный инцидент 25 минут. Не часов, а минут.
3. Запустили проактивную охоту. Вместо того чтобы ждать атаки, мы начали сами искать следы врага. 24 проактивных поиска в год по гипотезам компрометации. Это как искать иголку в стоге сена, зная, что игла намагничена.
4. Встроили в ГосСОПКА. Стали «аккредитованным центром», прямой линией связи с национальной системой кибербезопасности через ViPNet Coordinator. Теперь мы не просто тушили пожары у одного заказчика. Мы видели картину по стране и предупреждали атаки, которые только готовились.
💥 Фаза 3: Боевое крещение «Ночь Длинна»
Через три месяца после внедрения система сработала идеально. Была попытка целенаправленной атаки.
· 04:13 утра: Злоумышленник попытался проникнуть через уязвимость.
· 04:16: SIEM, используя настроенное правило корреляции, идентифицировал это как начало многостадийной атаки. Уровень критичности Высокий.
· 04:18: SOAR начал исполнять плейбук: блокировать подозрительные IP-сегменты.
· 04:31: Атака была полностью локализована. Ущерб нулевой.
Заказчик узнал об инциденте не из-за сбоя, а из нашего отчета, который начался со слов: «Попытку атаки, зафиксированную сегодня в 04:13, успешно отражена. Ваши данные в безопасности».
🎬 Финал. Не хэппи-энд, а новая реальность.
Мы не закончили проект словами «теперь вы в безопасности». Мы закончили его словами: «Теперь вы видите поле боя. Продолжаем мониторинг».
Сегодня мы обрабатываем 1200+ источников, проводим квартальные профилирования правил и выпускаем еженедельные дайджесты по угрозам. Потому что в кибервойне не бывает окончательных побед. Бывает только постоянная готовность.
P.S. Если ваш системный администратор до сих пор вручную проверяет логи он не администратор, он археолог. Пора в XXI век. Мы знаем, как.