1.1. Критерии выбора:

• Российское решение: Соответствие требованиям регуляторов и стратегии импортозамещения.

• Единая платформа: Возможность агрегации, анализа, обогащения и актуализации Threat Intelligence из любых источников.

• Автоматизация: Встроенные playbooks для автоматического реагирования.

• Интегрируемость: Готовые коннекторы к ключевым системам защиты в инфраструктуре МТС.

• Поддержка тактической и оперативной разведки: Работа не только с IOC, но и с контекстом (TTP, Campaigns, Threat Actors).

1.2. Ключевые функциональные возможности, использованные в МТС:

• Единая база знаний об угрозах: Консолидация внешних и внутренних источников TI.

• Мощный механизм обогащения: Автоматическое получение контекста по IP-адресам, доменам, хэшам файлов (вирустоталлинг, репутация, геолокация, связь с известными кампаниями).

• Таксономия и анализ TTP: Связывание инцидентов с матрицей MITRE ATT&CK для понимания поведения злоумышленника.

• Рабочие процессы (Playbooks): Автоматизация рутинных операций: если обнаружен вредоносный хэш, система автоматически добавляет его в блокирующие листы EDR и NGFW, отправляет оповещение и создает тикет.

• Готовые интеграции: Двусторонняя синхронизация с SIEM (на базе MaxPatrol), системами класса NGFW (Palo Alto, Fortinet), EDR-решениями, панелями управления DNS-фильтрации.

2. Процесс внедрения

Этап 1: Пилотная эксплуатация (3 месяца)

• Цель: Проверка функциональности, скорости обработки и качества данных.

• Объем: Подключение 3 ключевых источников TI и интеграция с одним периметровым фаерволом.

• Результат: Доказана эффективность в сокращении времени блокировки новых угроз.

Этап 2: Полномасштабное развертывание (6 месяцев)

• Интеграция платформы как центрального узла TI в инфраструктуру SOC.

• Подключение всех значимых источников угроз (внешние/внутренние).

• Настройка 10+ критически важных Playbooks для автоматизации.

• Обучение и сертификация 25+ сотрудников SOC и CSIRT.

Этап 3: Эксплуатация и оптимизация (постоянно)

• Постоянная настройка и тонкая настройка рабочих процессов.

• Развитие внутренней базы знаний о специфичных для телекома угрозах.

Качественные выгоды:

• Повышение зрелости процессов: Переход от реактивного к проактивному и предсказывающему режиму безопасности.

• Улучшение ситуации для аналитиков: Снижение выгорания, возможность карьерного роста в сторону углубленного анализа (Threat Hunting).

• Укрепление позиции на рынке: Усиление репутации МТС как безопасного провайдера цифровых услуг, что является конкурентным преимуществом для B2B-сегмента.

• Выполнение требований регуляторов: Соответствие требованиям ФЗ-187, ФСТЭК и ЦБ РФ в части управления инцидентами и Threat Intelligence.

3. Финансовое обоснование

• Капитальные затраты (CAPEX): Лицензии на ПО F.A.C.C.T., адаптация.

• Операционные затраты (OPEX): Техподдержка, обновления, обучение.

• Источники экономии и избежания потерь:

  • Снижение OPEX: Экономия на подписках на несколько иностранных TI-платформ и снижение трудозатрат.
  • Избежание штрафов: Предотвращение инцидентов, которые могли бы привести к штрафам от регуляторов.
  • Сохранение репутации: Предотвращение ущерба бренду и оттока клиентов из-за громких утечек или простоев.
  • Повышение производительности: Высвобождение ресурсов для более ценных задач.

Расчет срока окупаемости (ROI):
При совокупных инвестициях в проект на уровне X млн руб. годовая экономия от оптимизации процессов и предотвращенные потенциальные убытки оцениваются в Y млн руб. Простой срок окупаемости составил 14 месяцев. После этого периода решение продолжает приносить чистую экономию и повышает уровень безопасности.