.PNG)
SOC на F.A.C.C.T. Managed XDR (F6) для финансовой организации — 126 500 событий ИБ за год
Кейс мониторинга ИБ 24/7 для финансовой организации на F.A.C.C.T. Managed XDR (с 2024 — F6 Managed XDR). За год зафиксировано и отработано более 126 500 событий ИБ. MSSP-партнёрство КРЕДО-С.
Коротко
- — Год 2023, отрасль — финансовый сектор.
- — Развёрнут круглосуточный SOC-мониторинг на базе F.A.C.C.T. Managed XDR (с 2024 — F6 Managed XDR) в модели MSSP-партнёрства КРЕДО-С и вендора.
- — За 12 месяцев зафиксировано и отработано более 126 500 событий информационной безопасности.
Задача
Крупная российская финансовая организация, специализирующаяся на хранении и обработке информационных данных, относящихся к различным банковским организациям России. Заказчик обратился в КРЕДО-С с целью создания надёжной системы информационной безопасности, с проактивным поиском недетектируемых угроз и быстрым реагированием на выявленные инциденты. До этого в компании использовались минимальные средства защиты информации, в том числе и от иностранных вендоров, которые, хотя и соответствовали требованиям регуляторов по информационной безопасности, не были способны закрывать все уязвимые места инфраструктуры.
Это стало одной из причин отказа от них в пользу российской разработки.
Этот кейс для вас, если…
- Вы — финансовая организация и попадаете под требования Банка России (Положение 802-П, ГОСТ Р 57580).
- У вас нет выделенной круглосуточной команды SOC-аналитиков, и её найм — дорогой и долгий.
- Нужен быстрый запуск SOC без построения собственного подразделения с нуля.
- Не готовы к крупным капитальным вложениям в инфраструктуру SIEM/XDR и подбор специалистов.
- Нужна прозрачная ежемесячная тарификация без скрытых расходов на оборудование и обучение.
Почему MSSP + XDR, а не классический SIEM
MSSP (Managed Security Service Provider) — модель, при которой внешняя команда принимает на себя SOC-операции: круглосуточный мониторинг, расследование инцидентов, threat hunting и реагирование. В отличие от аутсорса «под ключ», в MSSP клиент остаётся владельцем решений и политик, а провайдер отвечает за процесс обнаружения и реагирования.
Классический SIEM собирает и коррелирует события, но дальше требуется отдельный EDR для хостов, отдельная почтовая песочница, отдельное решение для сетевого анализа. XDR (eXtended Detection and Response) объединяет телеметрию endpoint, email и network в одной платформе с централизованной корреляцией. Для банка это означает меньше «слепых зон» между инструментами и сокращение времени от детекта до реагирования.
В рамке NIST CSF 2.0 (функции Identify → Protect → Detect → Respond → Recover) MSSP + XDR закрывает прежде всего Detect и Respond: выявление аномалий и инцидентов, эскалация и локализация. Функции Identify (инвентаризация активов) и Recover (восстановление) остаются за клиентом и архитектурным партнёром.
Роли разграничены явно: КРЕДО-С — MSSP-оператор, обеспечивающий SOC-операции и реагирование; F6 — технологический вендор XDR-платформы. Это важно: клиент покупает не только софт, но и экспертизу 24/7-команды.
Решение
T. T. Managed XDR (с 2024 года — F6 Managed XDR).
Задача проекта: круглосуточное отслеживание алертов, реагирование на инциденты и внутренний и внешний хантинг за угрозами, обнаружение и предотвращение попытки утечки персональных данных, целевые атаки, нарушение политик информационной безопасности.
Архитектура F.A.C.C.T. Managed XDR (F6)
Платформа Managed XDR объединяет четыре слоя телеметрии в единой консоли с AI-корреляцией. Ниже — описание компонентов по публичной документации вендора. Детали конкретной инсталляции у заказчика остаются под NDA.
Endpoint (EDR)
Сбор и анализ событий с рабочих станций и серверов: запуск процессов, сетевые соединения, модификация файлов и реестра, загрузка модулей. Детектирование техник MITRE ATT&CK — от подозрительного запуска скриптов до попыток закрепления и эскалации привилегий.
Email Security
Антифишинг, антиспуфинг, детонация вложений в изолированной среде. Блокировка рассылок с программами-шпионами, стилерами, вредоносными макросами и цепочками загрузки банковских троянов.
Network Detection
Поведенческий анализ сетевого трафика, выявление C2-каналов, сигнатур известных кампаний, аномальных DNS-запросов и попыток туннелирования. Детект как внешних, так и внутренних латеральных перемещений.
Threat Intelligence
Фид угроз F6 с индикаторами компрометации (IoC), инфраструктурой злоумышленников, TTPs актуальных групп. Позволяет фиксировать атаки на стадии подготовки, до первых действий внутри периметра.
Единая консоль и AI-корреляция
Алерты со всех четырёх слоёв объединяются в инциденты с привязкой к MITRE ATT&CK. Алгоритмы приоритизации снижают поток ложных срабатываний для SOC-аналитика.
Описание архитектуры — по данным публичной документации вендора F6 (ранее F.A.C.C.T.). Конкретные параметры развёртывания у заказчика не раскрываются.
«Считаю, что решение F.A.C.C.T. Managed XDR на сегодняшний день является одним из лучших на рынке ИБ. Оно обеспечивает абсолютную видимость и прозрачность инцидентов информационной безопасности в инфраструктуре заказчика, включая устройства, серверы, электронную почту и сетевой трафик. Данные из каждого источника объединяются в единой панели управления, которая анализирует события ИБ и обнаруживает потенциальные угрозы с использованием алгоритмов искусственного интеллекта.»
«Разработанная совместно с коллегами из КРЕДО-С модель MSSP-партнёрства позволяет не только эффективно обнаруживать и блокировать целевые атаки и неизвестные ранее киберугрозы, но и существенно экономить время и инвестиции компании-клиента, поскольку подразумевает мониторинг 24/7 без покупки дополнительного оборудования заказчиком и затрат на найм новых ИБ-специалистов.»
Результаты
За год решение зафиксировало и отработало более 126 500 событий ИБ: около 125 000 сетевых событий и более 700 событий на хостах
Модуль MXDR для защиты корпоративной почты заблокировал более 100 опасных рассылок, содержащих программы-шпионы или стилеры для кражи данных
Обеспечена защита от широкого спектра киберрисков: программы-шифровальщики, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных
Обеспечено соответствие требованиям регуляторов по защите информации в финансовой сфере
Текущая оценка по методике приказа ФСТЭК № 117 подтверждает требуемый уровень защищённости ключевой защищаемой инфраструктуры за счёт непрерывного мониторинга
Нужен SOC-мониторинг как услуга?
Регуляторный контекст: что закрывается классом MSSP + XDR
Финансовый сектор в России регулируется Банком России, ФСТЭК и профильными федеральными законами. Класс решений «MSSP + XDR» типично закрывает требования к обнаружению и реагированию на инциденты. Ниже — действующие документы. Конкретное соответствие у заказчика подтверждается аудитом.
Положение ЦБ РФ № 802-П
Действует с 01.07.2023, заменило 719-ПТребования к обеспечению защиты информации при осуществлении переводов денежных средств. Мониторинг инцидентов и реагирование — обязательные процессы.
Положение ЦБ РФ № 787-П
Действует, заменило 382-ПТребования к операционной надёжности. Включает обязанность выявлять события операционного риска и своевременно на них реагировать.
ГОСТ Р 57580.1
Безопасность финансовых (банковских) операций — базовый состав организационных и технических мер защиты информации.
ГОСТ Р 57580.2
Методика оценки соответствия мерам защиты из ГОСТ Р 57580.1.
ГОСТ Р 57580.3
Методика оценки рисков нарушения безопасности финансовых операций.
ГОСТ Р 57580.4
Требования к обеспечению операционной надёжности.
161-ФЗ «О национальной платёжной системе»
Действует, актуальная редакция 2024 годаБазовые требования к защите информации в платёжной инфраструктуре.
Приказ ФСТЭК России № 117 от 11.04.2024
Методика оценки показателя защищённости ключевой защищаемой инфраструктуры. MSSP + XDR обеспечивает непрерывный мониторинг, необходимый для подтверждения уровня.
187-ФЗ + Приказ ФСТЭК № 239
Применимо, если финансовая организация относится к субъектам КИИ. Требования к подключению к ГосСОПКА и обмену информацией об инцидентах.
Перечень не является заключением о соответствии. Итоговая проверка соответствия требованиям регуляторов проводится по результатам аудита.
Почему 24/7-мониторинг критичен для финсектора
Финансовый сектор стабильно входит в топ целей киберпреступников. Данные публичных отчётов последних лет показывают общую картину.
- Основные направления атак на банки — целевые атаки с использованием фишинга и компрометации почты, банковские трояны и стилеры для кражи учётных данных, вымогатели, атаки через цепочки поставок и подрядчиков.
- Техники MITRE ATT&CK, массово применяемые в атаках на финсектор: T1566 (Phishing), T1078 (Valid Accounts), T1059 (Command and Scripting Interpreter), T1486 (Data Encrypted for Impact), T1071 (Application Layer Protocol для C2).
- Время от проникновения до значимого воздействия сокращается: современные операторы вымогателей шифруют инфраструктуру за часы, а не дни. Без круглосуточного SOC атаку замечают уже после последствий.
- Массовые атаки уступают место целевым: адресная подготовка, использование легитимного инструментария (Living-off-the-Land), медленные горизонтальные перемещения. Детектируются только через корреляцию множества слабых сигналов — то, для чего и нужен XDR.
Источники:
- — ФинЦЕРТ Банка России — ежегодные отчёты об обзоре угроз в финансовой сфере.
- — F6 (ранее F.A.C.C.T.) — отчёты Hi-Tech Crime Trends.
- — Positive Technologies Expert Security Center — аналитика кибератак в России.
- — Kaspersky DFIR Report — глобальная статистика реагирования на инциденты.
- — MITRE ATT&CK — публичная база техник злоумышленников.
Частые вопросы
Чем MSSP-партнёрство отличается от покупки своего SOC?
При собственном SOC клиент сам покупает платформу, нанимает 8–12 аналитиков на посменный график, выстраивает процессы и несёт все CapEx и OpEx расходы. В модели MSSP клиент платит ежемесячный тариф за услугу круглосуточного мониторинга и реагирования. Зона ответственности провайдера — выявить, локализовать, передать на реагирование. Зона клиента — политики, владение инфраструктурой и согласование контрмер.
Нужно ли докупать оборудование для F.A.C.C.T. Managed XDR (F6)?
В модели MSSP-партнёрства КРЕДО-С и F6 дополнительное «железо» со стороны заказчика не требуется — платформа управляется из инфраструктуры провайдера. От клиента нужны только агенты на конечных точках и настройка интеграций с почтой и сетью. Это снимает задачу администрирования, патчинга и масштабирования XDR-стека.
Сколько времени занимает подключение MSSP-мониторинга?
Типичный срок подключения — от двух до шести недель в зависимости от размера инфраструктуры, зрелости существующих процессов ИБ и готовности документации. За это время КРЕДО-С проводит аудит сетевого периметра, разворачивает агенты Managed XDR, настраивает интеграции с почтой и сетью, готовит runbook под специфику клиента и тестирует реагирование.
Кто отвечает за реагирование на инциденты — клиент или КРЕДО-С?
Распределение ответственности фиксируется в SLA. КРЕДО-С выполняет первичное реагирование: изоляцию скомпрометированного узла, блокировку подозрительных учётных записей, выгрузку артефактов. Решения, меняющие бизнес-процесс (остановка банковского сервиса, нотификация ЦБ или ФинЦЕРТ), согласуются с ответственными лицами клиента. В ряде инцидентов подключается команда расследования КРЕДО-С.
Как MSSP + XDR помогает закрывать требования ЦБ РФ и ФСТЭК?
Непрерывный мониторинг и фиксация событий — обязательные процессы по Положению 802-П и ГОСТ Р 57580. XDR-платформа формирует журналы событий и инцидентов, а MSSP-оператор обеспечивает 24/7 работу с ними. Для объектов КИИ данные передаются в ГосСОПКА в соответствии с 187-ФЗ и приказом ФСТЭК № 239. Итоговое соответствие всегда подтверждается аудитом.
Сколько стоит MSSP от КРЕДО-С?
Стоимость MSSP-услуги зависит от числа защищаемых хостов, количества источников событий, глубины хранения журналов и выбранного SLA по времени реагирования. Прозрачная оценка занимает 5 минут — в калькуляторе на сайте можно подставить ваши параметры и получить порядок цифр без общения с менеджером. Финальный договор фиксирует SLA и KPI.
Смежные задачи, с которыми помогаем
Аудит ИБ
Независимая оценка зрелости процессов и готовности к аудиту ЦБ по ГОСТ Р 57580.
ПодробнееЗащита КИИ
Если банк относится к субъектам КИИ — подключение к ГосСОПКА по 187-ФЗ.
ПодробнееПроверка утечки данных
Проактивный мониторинг упоминаний клиента и сотрудников в теневом сегменте интернета.
ПодробнееЗадействованные услуги
Другие проекты
MSSP-мониторинг информационной безопасности финансовой компании
Круглосуточный мониторинг и реагирование на инциденты ИБ по модели MSSP для финансовой компании — переход на отечественные СЗИ, соответствие ГОСТ Р 57580 и Положению ЦБ 802-П без покупки оборудования.
- Развёрнут круглосуточный мониторинг событий ИБ по модели MSSP
- Выполнен переход на отечественные средства защиты информации
- Обеспечено оперативное реагирование на инциденты без найма штатных ИБ-специалистов
Защита КИИ и АСУ ТП химического предприятия: 6 этапов по 187-ФЗ и Приказу ФСТЭК №31
Комплексная защита КИИ и АСУ ТП химического предприятия по 187-ФЗ и Приказу ФСТЭК №31: аудит, класс защищённости, модель угроз, проектирование и внедрение Kaspersky, Secret Net Studio, Check Point, Кибер Бэкап.
- Обеспечена защита промышленной сети предприятия согласно 187-ФЗ и Приказу ФСТЭК № 31
- Определён класс защищённости АСУ ТП, разработана модель угроз
- Внедрены сертифицированные СЗИ: Kaspersky, Secret Net Studio, Check Point, «Кибер Бэкап»
Тестирование на проникновение в инфраструктуру аэрокосмического университета
Пентест методом «серого ящика» для выявления уязвимостей ИС национального аэрокосмического университета: четыре этапа тестирования, ранжирование уязвимостей по критичности, рекомендации по устранению.
- Проверены все системы и цифровые сервисы на уязвимости
- Определены «слабые места» ИТ-инфраструктуры университета
- Совместно с КРЕДО-С намечены меры по устранению уязвимостей для сохранения конфиденциальных данных, репутации и бюджета организации
Нужен похожий проект?
Оставьте заявку — обсудим задачу и предложим оптимальное решение