| Разработчики: | Газинформсервис (ГИС) |
| Дата премьеры системы: | 2024.05.24 |
| Отрасли: | Информационная безопасность |
| Технологии: | ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Основные статьи:
2024: Выход на рынок коммерческих SOC
Интегратор и вендор «Газинформсервис» объявил 24 мая 2024 года о выходе на рынок коммерческих SOC со своим центром мониторинга и реагирования. Он будет предоставлять услуги по анализу событий информационной безопасности (SIEM), по обслуживанию средств безопасности с возможностью расследования инцидентов (IRP/SOAR), по управлению активами (AM) и уязвимостями (VM) для соответствия требований регуляторов (Compliance) на конечных точках (EDR), по контролю и анализу поведения как обычных (UEBA), так и привилегированных пользователей (PAM).
Собственно, компания уже 20 лет занимается построением систем информационной безопасности для своих клиентов и уже накопила необходимую для построения коммерческого SOC экспертизу – в компании только разработкой контента для SIEM-систем занимаются 50 человек. По словам Николая Нашивочникова, заместителя генерального директора - технического директора «Газинформсервиса», ровно год назад проект стартовал, и с мая 2023 года были собраны и оттестированы все необходимые для коммерческого SOC компоненты. В частности, был построен центр мониторинга. Хотя изначально проект был рассчитан на полгода.
 | «С одной стороны мы были готовы сказать: «Да. Давайте запускать», а с другой — был определённый скепсис, — пояснил долгие сомнения с предложением услуг коммерческого SOC Николай Нашивочников. — Но мы прочувствовали некоторый нажим со стороны наших и бизнес-заказчиков, потому что возникли ограничения по кадрам, о которых мы много говорим. Квалифицированный персонал так просто не подготовить. Поэтому мы не устояли и построили свой центр мониторинга. У нас есть для этого всё». |  |
При этом компания рассчитывает на консервативный подход в построении защиты клиентов на базе своего центра мониторинга, не увлекаясь искусственным интеллектом и сложной корреляцией событий. Например, основным инструментом для выполнения атак стал Ankey SIEM NG, а уникальным дополнением к нему - Ankey ASAP, который занимается анализом поведения пользователей и сущностей (UEBA). Практика использования показала, что он способен выявлять такие атаки на инфраструктуру, которые не видит SIEM. Изначально продукт создавался для корреляции событий и выявления сложных атак. Цифровизация в условиях Крайнего Севера. Интервью TAdviser с замгубернатора ЯНАО Константином Оболтиным 
Ещё одной особенностью SOC от «Газинформсервис» является ориентация на промышленные инфраструктуры, что обусловлено особенностью самой компании — ее клиенты в основном связаны с промышленностью. Поэтому системы корреляции SIEM будут учитывать особенности как промышленных протоколов, так и получать данные от популярных SCADA, таких как Simatic WinCC, CoDeSys, Yokogawa и других. При этом в качестве базовой матрицы реагирования на инциденты может использоваться ICS | MITRE ATT&CK.
Компания не собирается останавливаться на достигнутом и в течении этого года планирует активно развивать набор предоставляемых сервисов. В частности, предполагается наращивать команду аналитиков угроз, которая будет анализировать ситуацию в целом по SOC и готовить информацию для сервисов киберразведки (TI). В компании есть и команда активных исследователей ИБ (Red Team), которые будут проверять работу SOC, их услуги доступны и клиентам.
Также в составе SOC «Газинформсервис» планируется развивать третью линию аналитиков, которые уже займутся расследованием кибератак и устранением последствий инцидентов, в том числе и рекомендациями по перестройке защитных механизмов. Кроме того, предполагается участие специалистов компании в конвейерах DevSecOps и MLSecOps клиентов для обеспечения безопасной разработки веб-приложений и технологий искусственного интеллекта. В перспективе же компания рассчитывает предложить рынку услуги по моделированию атак и аварийных ситуаций (Breach and attack simulation — BAS) и по валидации информационной безопасности платформ (Platform security validation — PSV).
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (91) Positive Technologies (Позитив Текнолоджиз) (22) Инфосистемы Джет (16) SearchInform (СёрчИнформ) (14) Softline (Софтлайн) (12) Другие (134) Интеллектуальная безопасность ГК (бренд Security Vision) (6) R-Vision (Р-Вижн) (3) Softline (Софтлайн) (3) Инфосекьюрити (Infosecurity) (2) Инфосистемы Джет (2) Другие (10) Интеллектуальная безопасность ГК (бренд Security Vision) (13) Positive Technologies (Позитив Текнолоджиз) (6) CyberOK (СайберОК) (4) InnoSTage (Инностейдж) (4) Уральский центр систем безопасности (УЦСБ) (2) Другие (11)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (11, 91) Positive Technologies (Позитив Текнолоджиз) (15, 38) SearchInform (СёрчИнформ) (2, 15) Лаборатория Касперского (Kaspersky) (8, 13) ArcSight (5, 13) Другие (263, 104) Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6) Positive Technologies (Позитив Текнолоджиз) (2, 3) R-Vision (Р-Вижн) (1, 3) Инфосекьюрити (Infosecurity) (2, 2) IBM (2, 2) Другие (7, 8) Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13) InnoSTage (Инностейдж) (2, 4) Positive Technologies (Позитив Текнолоджиз) (2, 3) Уральский центр систем безопасности (УЦСБ) (1, 2) SearchInform (СёрчИнформ) (1, 2) Другие (5, 5) Лаборатория Касперского (Kaspersky) (3, 3) SearchInform (СёрчИнформ) (1, 3) Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2) МТС RED (Серенити Сайбер Секьюрити) ранее МТС Кибербезопасность (1, 1) Спейсбит (Spacebit) (1, 1) Другие (9, 9) SearchInform (СёрчИнформ) (1, 7) Positive Technologies (Позитив Текнолоджиз) (2, 3) Лаборатория Касперского (Kaspersky) (3, 2) Перспективный мониторинг (1, 2) ARinteg (АРинтег) (1, 1) Другие (1, 1)Распределение систем по количеству проектов, не включая партнерские решения
Security Vision Security Operation Center (SOC) - 37 MaxPatrol SIEM - 32 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 28 СёрчИнформ SIEM - 15 HPE ArcSight ESM (Security Information and Event Management, SIEM) - 11 Другие 146 R‑Vision SOAR (ранее R-Vision IRP) - 3 MaxPatrol SIEM - 2 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2 Ngenix Облачная платформа - 2 Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 2 Другие 13 Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью - 9 CyberART Сервисная служба киберзащиты - 4 Innostage SOAR (ранее Innostage IRP) - 4 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 4 PT Network Attack Discovery (PT NAD) - 2 Другие 13 СёрчИнформ SIEM - 3 Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC) - 2 Spacebit X-Config Решение для управления уязвимостями конфигураций - 1 Киберполигон Мультифункциональный программно-аппаратный комплекс для проведения киберучений - 1 R-Vision Threat Intelligence Platform (TIP) - 1 Другие 11 
