Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Разбор актуальных тем по информационной безопасности от экспертов УЦСБ
Вебинары
Регулярные ответы на вопросы по инфомационной безопасности
FAQ ИБ
Последние новости и мероприятия Центра кибербезопасности УЦСБ
Новости
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
MFA
Многофакторная аутентификация
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
FAQ по вебинару «Компрометация удаленного доступа: увидеть и обезвредить»
10 июня 2026
27 мая состоялся вебинар экспертов УЦСБ и R-Vision. На нем разобрали, как атакующий получает удаленный доступ к инфраструктуре и как системы SIEM, TIP, SOAR помогают его обнаружить и остановить.
Мы собрали ключевые вопросы участников — о применении MITRE ATT&CK для OT/ICS-сетей, автоматической блокировке действий злоумышленника, ложных срабатываниях, накоплении контекста, deception-архитектурах и интеграциях с SIEM других вендоров. Ниже — развернутые ответы.
27 мая состоялся вебинар экспертов УЦСБ и R-Vision. На нем разобрали, как атакующий получает удаленный доступ к инфраструктуре и как системы SIEM, TIP, SOAR помогают его обнаружить и остановить.
Мы собрали ключевые вопросы участников — о применении MITRE ATT&CK для OT/ICS-сетей, автоматической блокировке действий злоумышленника, ложных срабатываниях, накоплении контекста, deception-архитектурах и интеграциях с SIEM других вендоров. Ниже — развернутые ответы.
Матрица MITRE в SOAR от R-Vision только для Enterprise-сети? Насколько актуально рассматривать ваше решение для PCN (OT/ICS) сетей?
На вебинаре основной фокус действительно был на enterprise-инфраструктуре: корпоративные сети, VPN, Active Directory, почтовые сервисы, веб-приложения и классические ИТ-системы.
Но сам подход применим и для PCN / OT / ICS-сетей. SIEM, SOAR и TIP могут использоваться в промышленной инфраструктуре, если есть источники событий: SCADA, промышленные шлюзы, сетевые сенсоры, системы мониторинга OT-сегмента и другие средства защиты.
При этом важно учитывать, что OT-среда требует отдельной настройки. Нельзя просто взять enterprise-правила и без изменений перенести их в промышленную сеть. Для PCN нужны свои источники событий, свои сценарии корреляции, учет технологических процессов и адаптация техник MITRE под OT/ICS.
Здесь недостаточно коробочного подхода. Но архитектурно решение актуально: SIEM помогает собирать и коррелировать события, TIP — обогащать артефакты, а SOAR — формализовать расследование и запускать безопасные сценарии реагирования с учетом критичности технологической инфраструктуры.
Но сам подход применим и для PCN / OT / ICS-сетей. SIEM, SOAR и TIP могут использоваться в промышленной инфраструктуре, если есть источники событий: SCADA, промышленные шлюзы, сетевые сенсоры, системы мониторинга OT-сегмента и другие средства защиты.
При этом важно учитывать, что OT-среда требует отдельной настройки. Нельзя просто взять enterprise-правила и без изменений перенести их в промышленную сеть. Для PCN нужны свои источники событий, свои сценарии корреляции, учет технологических процессов и адаптация техник MITRE под OT/ICS.
Здесь недостаточно коробочного подхода. Но архитектурно решение актуально: SIEM помогает собирать и коррелировать события, TIP — обогащать артефакты, а SOAR — формализовать расследование и запускать безопасные сценарии реагирования с учетом критичности технологической инфраструктуры.
Если злоумышленник скомпрометировал легитимную учетную запись администратора и начал применять легитимные инструменты (технику Living off the Land), как R-Vision SOAR сможет отделить автоматический ответ от действий реального администратора, чтобы не парализовать работу ИТ-инфраструктуры?
В таких сценариях важно смотреть не на один отдельный признак, а на общий контекст инцидента.
Система может учитывать источник подключения, репутацию IP-адреса, нетипичное время входа, новую географию, новый хост, нехарактерные действия администратора и связь с предыдущими событиями. Даже если злоумышленник использует легитимные инструменты Windows, подозрительной может быть сама цепочка действий.
При этом SOAR не обязан сразу выполнять жесткую блокировку. Реакция может быть поэтапной: сначала уведомление SOC или эскалация инцидента, затем запрос подтверждения аналитика, и только при высокой уверенности — ограничение доступа или блокировка.
Главная задача автоматизации — не остановить бизнес-процесс, а быстрее выявить атаку и помочь аналитикам принять решение.
Система может учитывать источник подключения, репутацию IP-адреса, нетипичное время входа, новую географию, новый хост, нехарактерные действия администратора и связь с предыдущими событиями. Даже если злоумышленник использует легитимные инструменты Windows, подозрительной может быть сама цепочка действий.
При этом SOAR не обязан сразу выполнять жесткую блокировку. Реакция может быть поэтапной: сначала уведомление SOC или эскалация инцидента, затем запрос подтверждения аналитика, и только при высокой уверенности — ограничение доступа или блокировка.
Главная задача автоматизации — не остановить бизнес-процесс, а быстрее выявить атаку и помочь аналитикам принять решение.
Предположим, SIEM обнаружил подозрительный AnyDesk-сеанс на сервере AD (рейтинг высокий). SOAR инициирует блокировку, но злоумышленник уже успел поднять себе второй вход через другой протокол. Как ваша связка гарантирует, что обезвреживание происходит быстрее, чем эскалация атаки? Есть ли в SOAR предустановленные плейбуки с ядерной изоляцией узла от сети сбросом всех активных сессий?
Полностью гарантировать блокировку всех действий злоумышленника невозможно, потому что атака и защита всегда развиваются параллельно.
Но за счет SIEM и SOAR можно значительно сократить время реакции. Система анализирует не только одну AnyDesk-сессию, а всю связанную активность: VPN-подключения, новые сессии, сетевые аномалии, DNS/ICMP-туннели, повторные обращения с того же IP и другие признаки атаки. Если злоумышленник пытается открыть второй канал доступа, эти события могут быть связаны в единую цепочку инцидента.
Дальше SOAR может запустить сценарий реагирования: изолировать узел, завершить активные сессии, заблокировать учетную запись или VPN-доступ, уведомить SOC и запустить дополнительное расследование.
Главная задача здесь — не обещать стопроцентную защиту, а максимально быстро выявить развитие атаки и сократить время до реакции.
Но за счет SIEM и SOAR можно значительно сократить время реакции. Система анализирует не только одну AnyDesk-сессию, а всю связанную активность: VPN-подключения, новые сессии, сетевые аномалии, DNS/ICMP-туннели, повторные обращения с того же IP и другие признаки атаки. Если злоумышленник пытается открыть второй канал доступа, эти события могут быть связаны в единую цепочку инцидента.
Дальше SOAR может запустить сценарий реагирования: изолировать узел, завершить активные сессии, заблокировать учетную запись или VPN-доступ, уведомить SOC и запустить дополнительное расследование.
Главная задача здесь — не обещать стопроцентную защиту, а максимально быстро выявить развитие атаки и сократить время до реакции.
Достаточно просто поставить эти перечисленные средства защиты информации (SIEM,SOAR,TIP), и они будут нас защищать?
На вебинаре рассматривалась связка из трех классов систем:
Такие системы требуют постоянного сопровождения: актуализации правил, подключения новых источников событий, контроля покрытия инфраструктуры и проверки сценариев реагирования.
Для этого можно использовать пентесты, эмуляцию атак и BAS-платформы. BAS позволяет регулярно проверять, видит ли SOC нужные действия злоумышленника, срабатывают ли правила детектирования и корректно ли запускаются сценарии реагирования.
Поэтому информационная безопасность — это не просто набор установленных продуктов, а постоянный процесс проверки, анализа и улучшения защиты.
- SIEM (Security Information and Event Management) — собирает и коррелирует события со всей инфраструктуры;
- SOAR (Security Orchestration, Automation and Response) — автоматизирует реагирование на инциденты;
- TIP (Threat Intelligence Platform) — обогащает данные об угрозах внешней информацией.
Такие системы требуют постоянного сопровождения: актуализации правил, подключения новых источников событий, контроля покрытия инфраструктуры и проверки сценариев реагирования.
Для этого можно использовать пентесты, эмуляцию атак и BAS-платформы. BAS позволяет регулярно проверять, видит ли SOC нужные действия злоумышленника, срабатывают ли правила детектирования и корректно ли запускаются сценарии реагирования.
Поэтому информационная безопасность — это не просто набор установленных продуктов, а постоянный процесс проверки, анализа и улучшения защиты.
На основании каких сигналов и с каким уровнем уверенности SOAR-система принимает решение о блокировке или завершении сессии? И как вы минимизируете риск ложного срабатывания, чтобы не выбить легитимного пользователя, администратора или не остановить критичный бизнес-процесс?
Автоматическая блокировка не должна срабатывать по одному событию. Решение принимается по совокупности сигналов: данные SIEM, EDR, VPN, AD, сетевых средств защиты, а также обогащение через TIP.
Например, если IOC имеет высокий рейтинг вредоносности в TIP, это повышает уверенность системы. Кроме того, несколько слабых сигналов могут усиливать друг друга: подозрительная активность пользователя, нетипичное поведение, связь с другими инцидентами или ранее накопленным контекстом.
Чтобы не заблокировать легитимного пользователя или не повлиять на критичный процесс, действия настраиваются по уровням:
Например, если IOC имеет высокий рейтинг вредоносности в TIP, это повышает уверенность системы. Кроме того, несколько слабых сигналов могут усиливать друг друга: подозрительная активность пользователя, нетипичное поведение, связь с другими инцидентами или ранее накопленным контекстом.
Чтобы не заблокировать легитимного пользователя или не повлиять на критичный процесс, действия настраиваются по уровням:
- при низкой уверенности — только уведомление SOC;
- при средней — подтверждение аналитиком;
- при высокой — автоматическая блокировка, завершение сессии или изоляция узла.
Ведется ли в вашем сценарии профиль пользователя или актива с накоплением контекста по его активности? И как работать с событиями, разнесенными во времени: например, если первичный доступ был получен сегодня, а дальнейшая активность или эскалация привилегий произошла только через несколько недель или месяц — сохраняется ли такая цепочка как единый инцидент или она уже распадается на отдельные события?
Да, накопление контекста, активные списки и данные из TIP помогают связывать события между собой.
Например, подозрительные IP-адреса, учетные записи, домены, хеши или другие артефакты могут сохраняться и использоваться в последующей корреляции, а также обогащаться данными из TIP. Это позволяет не терять связь между разнесенными во времени действиями в рамках одного инцидента.
Например, подозрительные IP-адреса, учетные записи, домены, хеши или другие артефакты могут сохраняться и использоваться в последующей корреляции, а также обогащаться данными из TIP. Это позволяет не терять связь между разнесенными во времени действиями в рамках одного инцидента.
Можно ли рассматривать deception-архитектуры как следующий слой после SIEM/SOAR: не только обнаруживать компрометацию, но и управляемо сопровождать злоумышленника в контролируемой среде?
Да, deception-подход может дополнять классические средства мониторинга и реагирования.
Такие решения помогают раньше выявлять активность злоумышленника внутри инфраструктуры, фиксировать внутреннюю разведку и получать дополнительный контекст для расследования.
При этом deception требует качественной настройки: ловушки должны выглядеть естественно, соответствовать логике сети и быть похожими на реальные системы.
Сигналы от deception-систем могут передаваться в SIEM и SOAR для корреляции, обогащения инцидентов и автоматизации реагирования.
Таким образом, deception можно рассматривать как дополнительный слой защиты, который усиливает возможности SOC по раннему обнаружению атак.
Такие решения помогают раньше выявлять активность злоумышленника внутри инфраструктуры, фиксировать внутреннюю разведку и получать дополнительный контекст для расследования.
При этом deception требует качественной настройки: ловушки должны выглядеть естественно, соответствовать логике сети и быть похожими на реальные системы.
Сигналы от deception-систем могут передаваться в SIEM и SOAR для корреляции, обогащения инцидентов и автоматизации реагирования.
Таким образом, deception можно рассматривать как дополнительный слой защиты, который усиливает возможности SOC по раннему обнаружению атак.
Есть возможность интегрировать SOAR R-Vision с SIEM другого вендора?
Да, архитектура SOAR строится вокруг интеграций и обмена событиями между разными системами.
SOAR может взаимодействовать с SIEM других вендоров, NGFW, EDR, антивирусами, WAF, VPN-шлюзами, CMDB, TIP-платформами и другими средствами защиты.
Отдельно стоит отметить, что в R-Vision есть возможность настраивать интеграции в упрощенном режиме — без полноценной разработки кода. Это позволяет быстрее подключать внешние системы, настраивать обмен данными и автоматизировать типовые действия в рамках сценариев реагирования.
SOAR может взаимодействовать с SIEM других вендоров, NGFW, EDR, антивирусами, WAF, VPN-шлюзами, CMDB, TIP-платформами и другими средствами защиты.
Отдельно стоит отметить, что в R-Vision есть возможность настраивать интеграции в упрощенном режиме — без полноценной разработки кода. Это позволяет быстрее подключать внешние системы, настраивать обмен данными и автоматизировать типовые действия в рамках сценариев реагирования.
Напишите нам на cybersec@ussc.ru или оставьте заявку
Нужна консультация
по внедрению безопасной разработки?
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных