«Прирост числа реализованных проектов обеспечили увеличение спроса на услуги и рост доверия к провайдерам сервисов по информационной безопасности, а также новые, востребованные рынком направления», — комментирует Артем Грибков, заместитель директора Angara SOC по развитию бизнеса.
В 2023 году ключевыми с точки зрения выручки стали услуги по мониторингу и расследованию инцидентов, выездные реагирования и цифровая криминалистика (DFIRMA), услуги по внедрению решений для выстраивания процессов управления инцидентами информационной безопасности (IRP, SOAR, SGRC, SIEM, TIP и др.). А также новые услуги — активное реагирование на инциденты с помощью решения класса EDR в рамках мониторинга, OSINT, ретроспективный анализ инфраструктуры на наличие фактов компрометации, поиск индикаторов и следов действий киберпреступников (compromise assessment).
Для автоматизации процессов мониторинга и повышения эффективности работы аналитиков Angara SOC начал использовать модели машинного обучения.
«Мы применяем ML-модели для выявления вредоносных скриптов PowerShell, анализа логов веб-серверов, выявления обращений к DGA-доменам и DNS-Tunneling, а также прорабатываем возможность их использования и для других сценариев. Такие технологии лаконично дополняют методы сигнатурного анализа и демонстрируют свою эффективность в тех классах СЗИ, которые обрабатывают значительные объемы данных, а выявление атак сопряжено с большой вариативностью техник злоумышленника», — дополняет Артем Грибков.
Основными заказчиками услуг DFIRMA стали компании финансового, промышленного, госсектора и фармацевтики — сфер, которые находились в особом фокусе злоумышленников в прошедшем году. В основном инциденты были связаны с использованием программ-шифровальщиков, вымогательством и кражей персональных данных. В рамках выездных расследований инцидентов информационной безопасности были собраны и переданы в правоохранительные органы материалы для инициирования пяти уголовных дел, связанных с преступлениями в сфере компьютерной информации.
На фоне выраженной сегментации атак по отраслям центр киберустойчивости запустил новую услугу — атрибуцию киберугроз на основе отраслевой принадлежности компаний. Разработанная платформа предиктивной аналитики определяет наиболее вероятные тактики, техники и процедуры хакерских группировок на основе профиля организации (кодов ОКВЭД). Для оценки потенциальных киберугроз используются российская и международная практики расследования инцидентов и действий киберпреступников в отношении отраслевых компаний. Полученные данные могут быть востребованы для разработки стратегии информационной безопасности и инвестиционных планов в развитие инфраструктуры, для адаптации и приоритизации правил выявления кибератак и разработки стандартов аудита.
Востребованной услугой среди компаний финансового сектора, e-commerce и ритейл-компаний также стал OSINT. Эксперты Angara SOC выполнили проекты по анализу информации в индексируемых и неиндексируемых сегментах сети Интернет, фактов утечек конфиденциальной информации, функционирования фишинговых ресурсов, маскирующихся под легитимные активы, фактов сбора персональных, голосовых и аудиоданных граждан и предпосылок для массовых кибератак в адрес топ-менеджеров российских компаний, а также по мониторингу информационного поля заказчиков и оценке репутации их контрагентов.