Для получения аккредитации FIRST «Ростелеком-Солар» должен был доказать высокий уровень экспертизы и профессионализма своего CERT. Среди критериев: оперативность реагирования, качество сбора информации об инцидентах, безопасность хранения и обработки заявок от клиентов, а также поручительство других членов FIRST.
В рамках FIRST «Ростелеком-Солар» представлен командой RTSCERT, которая состоит из экспертов центра Solar JSOC CERT. Центр был создан в 2018 году и на данный момент в нем работает около 70 специалистов. За 2020 год они провели более 40 расследований, включая расследования атак, организованных проправительственными кибергруппировками. Динамически обновляемая база индикаторов и знаний о новых угрозах (Threat Intelligence) Solar JSOC CERT обновляется за счет собственной аналитики центра противодействия кибератакам Solar JSOC, информации с сети сенсоров и ханипотов по всей стране, данных от сторонних SOC и CERT, вендорских коммерческих подписок, а также данных регуляторов.
«Участие в FIRST является важной составляющей для эффективного расследования киберпреступлений. В базе сообщества содержится информация о типах вирусного ПО, актуальных уязвимостях, выявленных ботнетах, а также данные, определяющие региональную привязку атаки, уровень ее опасности и потенциальные последствия. Все это позволяет членам сообщества обогащать собственные базы знаний и формировать превентивные рекомендации для компаний. Кроме того, у нас появляется возможность эффективнее анализировать развитие векторов атак в иностранных юрисдикциях, закрывая таким образом потребности компаний, имеющих международную сеть филиалов, а также прогнозировать, какие из атак, наблюдаемых зарубежными коллегами, могут стать актуальными для российского рынка», — отметил директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков.
Помимо обмена технической информацией, FIRST дает возможность напрямую коммуницировать с командами CERT из других стран. Согласно политике организации, ее члены должны оказывать друг другу содействие при расследовании инцидентов, что расширяет возможность получения информации из разных зон ответственности. Кроме взаимодействия по оперативным вопросам, участники сообщества организуют рабочие группы (сейчас их более 10, включая направления Big Data, TI, оценка уязвимостей и др.). Участие в них позволяет не только обмениваться опытом, но и совместно вырабатывать актуальные подходы к решению задач в сфере ИБ.