Содержание |
JSOC особенно актуален для тех компаний, которые, во-первых, нуждаются в обеспечении информационной безопасности 24/7, но не имеют собственной дежурной смены в подразделении ИБ. А во-вторых, – желают избавиться от рутинных и трудоемких задач по управлению средствами защиты.
Центр мониторинга и оперативного управления ИБ позволяет обеспечить:
- мониторинг инцидентов информационной безопасности;
- реагирование на инциденты ИБ;
- контроль защищенности информационных систем;
- управление ИБ-системами компании.
Данные услуги могут оказываться как на основании ежемесячной подписки, когда требуемое оборудование и ПО предоставляется в аренду из облачной инфраструктуры JSOC, так и с использованием существующих у клиента систем ИБ.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг
В команде JSOC работает более 30 специалистов ИБ – это две дежурные смены мониторинга инцидентов и администринфрования средств защиты, а также ведущие эксперты и аналитики ИБ.
Технологии
Технологии разделяются на группы:
- аудит событий;
- сбор, фильтрация и хранение событий;
- корреляция событий и выявление инцидентов;
- расследование инцидентов и эскалация проблем;
- отчетность на всех уровнях управления инцидентами.
Для аудита событий используются как штатные механизмы операционных систем, сетевого оборудования, серверов приложений, web-сервисов и баз данных, так и наложенные средства ИБ – например, системы защиты СУБД Imperva SecureSphere или IBM Guardium.
Для корреляции событий ИБ с данными о реальных уязвимостях ИТ-инфраструктуры, проводится интеграция Центра управления инцидентами ИБ с системами MaxPatrol от Positive Technologies или Vulnerability Management от McAfee.
Непосредственно сами технологии обработки событий, расследования инцидентов и отчетности базируются на системах ведущих производителей, таких как HP ArcSight, RSA enVision, Symantec SIM.
Оказание облачных услуг SOC
- подключение инфраструктуры клиентов к собственному SOC;
- непрерывный мониторинг и анализ событий ИБ;
- оперативное реагирование в режиме 24х7 на инциденты ИБ;
- создание регулярных отчетов для технических специалистов отделов ИБ и руководства.
Процессы
Создание процесса управления инцидентами ИБ позволяет существенно повысить эффективность применяемых технологий, а именно добиться полноценного решения задач SOC в соответствии с лучшими практиками. В ходе выстраивания процесса управления инцидентами ИБ эксперты компании «Инфосистемы Джет» проводят процедуры:
- классификация возможных событий;
- формирование перечня событий, на которые необходимо реагировать;
- типизация и расстановка приоритетов для инцидентов;
- определение ролей сотрудников, участвующих в расследовании инцидентов;
- расследование инцидентов;
- подготовка и планирование предупредительных мер ИБ, предотвращающих повторное возникновение инцидента.
Процессный подход делает реагирование и разрешение инцидентов ИБ более оперативным и позволяет использовать как аккумулированный в ходе проектов, так и собственный опыт клиентов по разрешению инцидентов ИБ.
В состав предоставляемых сервисов входят контроль требований регуляторов, мониторинг исполнения политик безопасности, поддержка безопасности инфраструктуры, контроль контрагентов, защита бизнес-приложений и ряд других услуг.
Задачи первичной обработки сообщений об инцидентах, а также о событиях в системах клиентов, решаются соответственно специалистами групп разбора инцидентов и администрирования, которые находятся в Нижнем Новгороде. На размещение служб «первой линии» именно в этом городе оказали влияние такие факторы, как наличие вузов, где есть соответствующие специализации, а также развитая ИТ-среда.
Специалисты «вторых линий» располагаются в Москве; в наиболее сложных случаях дополнительно привлекаются аналитики и администраторы информационной безопасности.
В JSOC ежедневно регистрируется около полутора сотен инцидентов информационной безопасности, причем 80% из них — в дневное время. Большая же часть направленных атак фиксируется в период от восьми вечера до девяти утра, когда, как полагают их организаторы, менее вероятно противодействие персонала соответствующих служб.
По статистике JSOC, в течение первого месяца работы выявляется около десятка инцидентов несанкционированного доступа в системы клиентов, не менее пяти утечек конфиденциальной информации, до десяти нарушений политики доступа в Интернет, а также непрофильное использование технологических учетных записей.
Предусмотрены несколько типов соглашений о качестве обслуживания (Service Level Agreement). К примеру, для SLA с наилучшими параметрами сервиса время обнаружения критичных инцидентов не превышает 10 минут, время их базовой диагностики и информирования заказчика с предоставлением определенной договором аналитической справки — 20 минут, выдачи рекомендаций по противодействию — 45 минут[1].
Обновление JSOC от "Лаборатории Касперского"
В рамках партнерства «Инфосистемы Джет» и «Лаборатория Касперского» репутационная база данных аутсорсингового сервиса Jet Security Operations Center (JSOC), предоставляемого системным интегратором, будет в режиме реального времени пополняться информацией об актуальных угрозах от «Лаборатории Касперского».
Для интеграции баз данных специалисты компании «Инфосистемы Джет» разработали специальный механизм, позволяющий приводить к единому виду разнородный набор данных (около 24 видов). Он же дает возможность подгружать новые данные не реже одного раза в 10 минут. На сегодняшний день репутационная база данных JSOC насчитывает около 3 миллионов образцов вредоносного ПО.
«Нам как российскому сервис-провайдеру крайне важно агрегировать информацию о вредоносном ПО, сайтах и новых сценариях кибератак от ведущих российских и зарубежных источников. Партнерство с "Лабораторией Касперского" представляет для нас особый интерес, поскольку помимо использования высочайших компетенций нашего партнера в данной области, мы получаем от них информацию, адаптированную под российские модификации угроз и специфику, – рассказывает Владимир Дрюков, руководитель направления аутсорсинга ИБ Центра информационной безопасности компании "Инфосистемы Джет". – Результатом нашего партнерства стала возможность использовать разнородные репутационные базы, что важно для наших клиентов. Кроме того, мы вывели на качественно более высокий уровень оказание услуг по проактивному контролю защищенности и противодействию атакам».
«Для нас развитие партнерства с провайдерами сервисов информационной безопасности (MSSP) является одной из стратегических целей. Корпоративные заказчики по всему миру доверяют таким компаниям все больше задач, включая управление центрами информационной безопасности, – поясняет Вениамин Левцов, вице-президент по корпоративным продажам и развитию бизнеса "Лаборатории Касперского". – В ближайших планах – активное расширение сети MSSP, использующих наши сервисы и потоки данных, в дополнение к тем, кто уже сотрудничает с нами в Европе, Азии и на Ближнем Востоке. Партнерство с компанией "Инфосистемы Джет" стало первым опытом технологического сотрудничества такого рода на территории России и стран СНГ».
Выгоды
- Создание JSOC позволяет снизить ущерб от инцидентов ИБ за счет своевременного и эффективного реагирования и сбора доказательной базы.
- Постоянный анализ событий и инцидентов ИБ, выяснение причин их возникновения позволяют оценить эффективность мер защиты, выявить их недостатки и выработать предложения по их замене или корректировке.
- С помощью Центра управления инцидентами ИБ реализуются нормативные и международные требования по мониторингу событий PCI DSS, СТО БР, ISO/IEC 27001, ФЗ «О персональных данных».
- Централизация информации о состоянии ИБ в единой системе позволяет сократить расходы на аудит и контроль событий ИБ.
- JSOC повышает управляемость и стабильность компании, что ведет к увеличению её стоимости.
Соответствие инженерных систем ЦОД требованиям Uptime Institute Tier III, а также использование технологий высокой доступности в ИТ-комплексе обеспечивают, по данным компании, уровень готовности JSOC, отвечающий показателю 99,8%. Инфраструктура JSOC имеет сертификат соответствия спецификациям стандарта PCI DSS. В качестве системы SIEM (Security Information and Event Management) используется программный комплекс HP ArcSight. Инвестиции в проект составляют более 4 млн долл.
История
2015: Центр мониторинга запустил сервис "JSOC. Противодействие киберпреступности"
28 мая 2015 года компании Solar Security и Group-IB сообщили о заключении технологического партнерства, в результате которого коммерческий центр мониторинга и реагирования на инциденты ИБ JSOC запустил сервис "JSOC. Противодействие киберпреступности"[2].
В рамках технологического партнерства собственная аналитическая информация центра JSOC непрерывно дополняется сведениями от платформы Bot-Trek Cyber Intelligence (CI) и системы Threat Detection Service (TDS). Для обеспечения технического взаимодействия между JSOC и Group-IB эксперты компании Solar Security разработали механизм интеграции, структурирующий, анализирующий и загружающий в режиме реального времени в базы данных JSOC весь объем разнородных данных с привязкой по каждому отдельному клиенту.
Сервиса JSOC дает возможность оперировать потоком данных о реальных инцидентах ИБ, зарегистрированных платформами Bot-Trek CI и TDS в российских компаниях конкретной отрасли, для своевременного обновления корреляционных правил центра мониторинга и раннего детектирования схожих инцидентов у подключенных к JSOC клиентов.
Сервис «JSOC. Противодействие киберпреступности» проверяет данные на наличие заражений троянами zero-day, обнаруженными в других компаниях, чтобы предотвратить готовящуюся APT-атаку до причинения видимого ущерба. В том случае, когда целевая атака проведена, и стало известно о компрометации учетных данных, аналитики JSOC оценят опасность конкретной утечки и выработают рекомендации по минимизации ущерба.
«JSOC как MSSP-провайдер, ориентирован на максимально проактивное предупреждение угроз информационной безопасности своих клиентов. В этом контексте ключевое значение приобретают агрегирование и аналитика всех доступных данных об изменении угроз, новых и наиболее распространенных в конкретных средах атаках, хакерских инструментах, описаниях поведения zero-day вирусов. Подключение к сервисам Group-IB стало очередным этапом превращения JSOC в масштабный отечественный центр компетенций по противостоянию таргетированным атакам», – поведал Игорь Ляпунов, генеральный директор Solar Security.
В составе сервиса «JSOC. Противодействие киберпреступности» три составляющих:
- оперативная проверка всей инфраструктуры клиента JSOC на предмет активных или «спящих» вирусных заражений и оценка реальной защищенности от новых угроз. Данные о zero-day вирусах и инцидентах ИБ агрегируются с информацией, поступающей от платформы Bot-Trek CI, которая ведет мониторинг сети Интернет на предмет выявления новых векторов атак, образцов и описаний специфичных вирусов и троянов;
- обработка аналитиками JSOC скомпрометированных данных клиентов, выявленных платформой Bot-Trek CI, для получения релевантной картины об опасности данной конкретной утечки:
- проводились ли какие-либо злонамеренные операции с использованием скомпрометированных учетных записей,
- несет ли их потеря прямые финансовые или репутационные риски для компании-клиента;
- проверка аналитиками JSOC подозрительного с точки зрения Threat Detection Service (TDS) хоста инфраструктуры на предмет актуальности заражения и планирование работ по его очистке. Анализ возможных путей заражений для предотвращения повторных атак в будущем.
Сервисы могут оказываться в рамках отдельных опций.
Примечания
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- Уральский Банк Реконструкции и Развития (УБРиР) | Инфосистемы Джет | 2014.06 | |
- Почта Банк (ранее Лето Банк) | Инфосистемы Джет | 2014.03 | |
- Лоялти Партнерс Восток | Инфосистемы Джет | 2013.07 |
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (41)
Другие (1203)
Смарт-Софт (Smart-Soft) (5)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
Аксофт (Axoft) (2)
Deiteriy (Дейтерий) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 170)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (720, 500)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
ТрансТелеКом (ТТК) (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
Лаборатория Касперского (Kaspersky) (1, 3)
А-Реал Консалтинг (1, 2)
CloudLinux (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
А-Реал Консалтинг (2, 3)
Вебмониторэкс (ранее WebmonitorX) (1, 2)
Другие (7, 8)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 673
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Trend Micro: Deep Discovery - 2
Другие 16
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
Kaspersky Endpoint Security - 3
Solar JSOC - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20
UserGate UTM - 4
Kaspersky Endpoint Security - 3
Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3
UserGate C-серия Межсетевые экраны - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 8
ИВК Кольчуга - 4
UserGate UTM - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 3
MaxPatrol SIEM - 2
Вебмониторэкс: ПроWAF - 2
Другие 21
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (203)
ESET (ИСЕТ Софтвеа) (118)
Лаборатория Касперского (Kaspersky) (78)
Инфосистемы Джет (55)
ДиалогНаука (51)
Другие (900)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (53)
А-Реал Консалтинг (3)
TUV Austria (2)
Wone IT (Ван Ай Ти Трейд, ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
Национальный аттестационный центр (НАЦ) (2)
BI.Zone (Безопасная Информационная Зона, Бизон) (2)
Другие (40)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (42, 368)
ESET (ИСЕТ Софтвеа) (21, 141)
Доктор Веб (Dr.Web) (17, 61)
UserGate, Юзергейт (ранее Entensys) (3, 19)
Fortinet (11, 15)
Другие (368, 140)
R-Vision (Р-Вижн) (1, 4)
Trend Micro (2, 3)
Лаборатория Касперского (Kaspersky) (2, 3)
Fortinet (2, 1)
Ростелеком (1, 1)
Другие (3, 3)
Лаборатория Касперского (Kaspersky) (4, 5)
А-Реал Консалтинг (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
UserGate, Юзергейт (ранее Entensys) (1, 1)
R-Vision (Р-Вижн) (1, 1)
Другие (1, 1)
Лаборатория Касперского (Kaspersky) (2, 4)
UserGate, Юзергейт (ранее Entensys) (1, 4)
CloudLinux (1, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (0, 0)
UserGate, Юзергейт (ранее Entensys) (1, 3)
Лаборатория Касперского (Kaspersky) (2, 2)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Business Space Security - 87
Kaspersky Endpoint Security - 82
Kaspersky Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Другие 433
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Kaspersky Industrial CyberSecurity (KICS) - 2
Trend Micro: Deep Discovery - 2
Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1
FortiGate - 1
Другие 5
Kaspersky Endpoint Security - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Kaspersky Industrial CyberSecurity (KICS) - 1
Kaspersky ASAP Automated Security Awareness Platform - 1
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1
Другие 3