«Газинформсервис»: GSOC усиливает экспертность и расширяет портфель услуг

По заявлению технического директора компании «Газинформсервис» Николая Нашивочникова, команда GSOC с момента запуска центра увеличилась в два раза. Помимо расширения штата, компания приложила большие усилия к развитию внутреннего кадрового потенциала и повышению экспертности сотрудников. В GSOC практикуется обучение в формате наставничества, а самые талантливые специалисты первой линии быстро переводятся на более ответственные позиции второй и третьей линий поддержки клиентов.

Рост компетенций и профессиональное признание

По статистике GSOC, количество кибератак на российские организации за последний год в целом выросло на 15%, причем в большинстве случаев (65%) они были осложнены применением вредоносного программного обеспечения. В таких условиях центр мониторинга компании сохраняет достойные показатели SLA по времени реагирования: клиентам гарантируется обработка типовых инцидентов за 30 минут, а сложных — за 120. «В среднем типовой инцидент мы «раскручиваем» за 18 минут, то есть у нас еще остается определенный запас прочности», — уточнил спикер.

Технический директор компании «Газинформсервис» Николай Нашивочников
Фото: «Газинформсервис»

В 2024 году в GSOC был развернут внутренний киберполигон — тестовая среда для моделирования кибератак, в том числе APT и атак с применением технологий ИИ, и проработки всей цепочки реагирования на угрозы: от их анализа и настройки правил обнаружения (detection engineering) до проверки эффективности защитных мер и корректировки логики реагирования. Полигон позволяет еще больше повысить экспертность команды GSOC, готовить специалистов к новым типам атак и различным методам действия злоумышленников. «Все актуальные угрозы, информацию о которых мы получаем из внешних технических отчетов, из Threat Intelligence Report, мы обрабатываем, анализируем, пишем детекты. Также на киберполигоне проходит их валидация, то есть мы выстраиваем всю цепочку. Мы добиваемся того, что в рамках полигона практически уходим от ложнопозитивных срабатываний», — прокомментировал Николай Нашивочников.

Высокую квалификацию команды GSOC подтвердили результаты ее участия в престижных в международных киберчемпионатах Solar Cyber Cup и Standoff (в рамках ПМЭФ). Так, в рамках кибербитвы Standoff компания стала лидером по количеству выявленных атак (101 атака) и получила награду за «Самое большое количество принятых отчетов». Кроме того, в 2024 году GSOC был удостоен премии РБК Digital Awards в номинации «Безопасность и кибербезопасность».

Центр мониторинга поддерживал и другие крупные ИБ-мероприятия. Первое из них — традиционный ежегодный форум компании «Газинформсервис» GIS DAYS. В 2024 году в рамках этого ивента GSOC организовал сопровождение «Киберарены»: специалисты вендора вели постоянный мониторинг инфраструктуры, обеспечивали судейство Blue Team, осуществляли поддержку команд и настройку СЗИ. Несмотря на то, что на «Киберарену» были приглашены топовые игроки Red Team, целевая инфраструктура была защищена.

Второе мероприятие — Международная ИТ-олимпиада 2025, прошедшая под эгидой Правительства Нижнего Новгорода и при поддержке Правительства РФ. В мероприятии участвовали представители примерно 50 стран. Задачами GSOC были сопровождение всех этапов олимпиады, поддержка CTF-платформы (Capture The Flag) и защита от угроз, обеспечение устойчивости и безопасности соревнования.

Развитие GSOC компании «Газинформсервис»: главные итоги первого года работы
Источник: презентация компании «Газинформсервис»

Новые решения, услуги и знаковые проекты

«На что нас всё это подтолкнуло? Ввиду того, что мы активно развиваем свою Blue Team, мы постоянно проверяем ее компетенции, то, насколько качественно справляется центр мониторинга со своими задачами. Для этого мы привлекаем свою Red Team. Понимая, что это очень важная рутинная задача, которой нужно заниматься на постоянной основе, мы пришли к идее выпуска своего продукта, который бы автоматизировал эти функции», — подытожил Николай Нашивочников.

Одной из главных новостей компании «Газинформсервис» на нынешнем Positive Hack Days стал анонс нового продукта компании класса Breach and Attack Simulation (моделирование нарушений и атак) — BAS SimuStrike. Он предназначен для автоматизации проведения тестов на проникновение в ИТ-инфраструктуру, для чего задействует, в том числе, технологии искусственного интеллекта.

BAS SimuStrike – новый продукт в портфеле GSOC компании «Газинформсервис»
Источник: презентация компании «Газинформсервис»

Спикер подчеркнул, что «Газинформсервис» активно развивает направление искусственного интеллекта в отрасли ИБ и обогащает свои продукты этими технологиями. Компания использует ИИ, в первую очередь, для автоматизации внутренних рутинных задач и прогнозирует, что благодаря им сможет сократить расходы на первую линию GSOC примерно на 25% уже в перспективе 1-1,5 лет.

Кроме того, компания является участником Консорциума исследований безопасности искусственного интеллекта и возглавляет в нем рабочую группу, занимающуюся созданием и поддержанием реестра доверенных ИИ-решений. Спикер уточнил, что на текущий момент все рабочие группы консорциума подготовили дорожные карты и предоставили их для рассмотрения в Аппарат Правительства.

Итак, BAS SimuStrike необходим для имитации различных видов кибератак, включая сложные многоэтапные сценарии. «Сначала мы думали, что наш новый продукт будет нужен в основном для Red Team. Но первый месяц его эксплуатации показал, что он востребован также сотрудниками центра мониторинга: они используют его, чтобы убедиться в том, что инфраструктура защищена, чтобы проверять качество своих детектов. Поэтому сфера применения этого продукта на текущий момент уже широка. Думаю, что он будет востребован рынком», — заключил спикер. По его словам, «Газинформсервис» заинтересован в том, чтобы развитие BAS SimuStrike происходило максимально быстро, поэтому компания готова безвозмездно предоставить этот продукт трем партнерам, чтобы получать конструктивную обратную связь по его работе.

Помимо нового программного продукта, реагируя на запросы рынка, GSOC расширил портфель предоставляемых сервисов. Услуга расследования и глубокого анализа инцидентов (форензики) для увеличения точности расследования предоставляется на базе собственной методики компании. Она включает в себя сбор и анализ цифровых следов, определение методов и инструментов атаки, установление причин инцидента и минимизацию последствий. Услуга поиска следов компрометации (Compromise Assessment) необходима для снижения бизнес-рисков и организации проактивной безопасности — выявления компрометации до того, как угроза вызовет ощутимый ущерб.

Николай Нашивочников рассказал об одном из ярких проектов, которые GSOC реализовал в 2024 году: «К нам обратился клиент, у которого было подозрение на то, что в его инфраструктуре присутствует злоумышленник. Команда квалифицированных специалистов центра мониторинга в течение двух месяцев провела колоссальную работу, проверив всю инфраструктуру — порядка 3000 хостов. Причем там был не только Microsoft Windows, но и FreeBSD, и много самописного ПО. В итоге мы подтвердили три случая присутствия вредоносного ПО и злоумышленников в инфраструктуре заказчика».

Преимущества GSOC компании «Газинформсервис»
Источник: презентация компании «Газинформсервис»

После первого года деятельности GSOC технический директор компании «Газинформсервис» оценил зрелость процессов центра мониторинга примерно в 78–80% и выразил уверенность в том, что в следующем году этот показатель поднимется до 85%. Компания подключила первых клиентов, развивает экспертность команды GSOC и формирует новые услуги.

Заметим, что в рамках Positive Hack Days 2025 представители компании «Газинформсервис» подготовили целый ряд докладов и мастер-классов. Некоторые из них так же были посвящены деятельности GSOC: например, менеджер по продукту Ankey ASAP компании «Газинформсервис» Яна Заковряжина рассказала о связке UEBA + SIEM и переходе к проактивному мониторингу угроз.