Сопровождение и техподдержка системы управления событиями безопасности
По мере роста бизнеса растут и требования к системам ИБ. Участник конкурса «Проект Года», компания «Инфосекьюрити» (ГК Softline) реализовала проект создания ситуационного центра на базе облачного подключения к ISOC и уже существующей SIEM системы заказчика – ПАО «ГТЛК». Благодаря «гибридной» модели подключения заказчик избежал капитальных расходов на дорогостоящее оборудование и высококвалифицированный персонал, а также получил комплексную профессиональную защиту.
Проект реализуется в период с января по декабрь 2020 года. Масштаб - 300 автоматизированных рабочих мест. География - Москва + подключение источников событий, находящихся в филиалах. Использованное ПО - ПО PT SIEM, Система обработки инцидентов OTRS, система обработки и расследования инцидентов ISOC.
Какие цели ставились перед проектом?
-
Качественное повышение защищенности критичных бизнес-процессов за кротчайшие сроки;
-
Обеспечение комплексной защиты данных при стремительно растущей филиальной сети компании;
-
Полное соответствие требованиям 187-ФЗ и ГосСОПКА;
-
Минимизация рисков экономики компании и информационной безопасности.
Как проходила реализация?
Проект можно разделить на три основных этапа. На первом этапе «Инфосекьюрити» провела предварительный аудит всех источников событий ИБ, а также проработала сценарии реагирования на инциденты. По результатам аудита, было установлено общее количество типовых систем и определен список нетиповых источников, для которых потребуется разработка новых уникальных коннекторов.
Во время второго этапа мы параллельно подключили платформы к типовым источникам информации, разработали новые контроли и соответствующие индивидуальные сценарии реагирования на инциденты. В рамках профилирования «Инфосекьюрити» совместно с ГТЛК согласовали и доработали регламент реагирования и распределения зон ответственности для оптимизации процессов выявления и реагирования на инциденты. В общей сложности, на этапе запуска «Инфосекьюрити» реализовала около 30 различных критичных контролей.
Для оптимизации сбора событий с серверов и рабочих станций под управлением ОС перевели все системы на механизмы Windows Event Forwarding. В итоге, мы существенно упростили процессы постановки серверов и рабочих станций на мониторинг.
На заключительном этапе происходил запуск сервиса в промышленную эксплуатацию. ГТЛК протестировала все сценарии реагирования на инциденты на потоке реальных данных в режиме 24/7. При этом в соответствии с пожеланиями заказчика многие процессы были существенно адаптированы под требования существующей модели безопасности.
В настоящее время мы продолжаем подключать различные источники событий к ISOC и расширяем функционал системы.
В чем заключается уникальность проекта?
Отличительной особенностью этого проекта стало построение ситуационного центра на базе облачного подключения к ISOC и уже существующей SIEM системы Заказчика. Эксперты «Инфосекьюрити» осуществляют мониторинг и реагирование на инциденты в режиме реального времени, что позволяет обеспечить непрерывность бизнеса и усовершенствовать внутренние механизмы анализа событий.
Благодаря «гибридной» модели подключения Заказчик избежал капитальных расходов на дорогостоящее оборудование и высококвалифицированный персонал, а также получил комплексную профессиональную защиту.
«Инфосекьюрити» подключила Заказчика к системе ISOC всего за месяц, что считается очень коротким сроком.
С какими сложностями столкнулись во время реализации?
Главной сложностью проекта стало неожиданное введение нерабочих дней в связи с распространением коронавирусной инфекции. «Инфосекьюрити» столкнулась с необходимостью подключения на мониторинг системы удаленного доступа ГТЛК, которая не поддерживалась производителем SIEM решения. Благодаря собственной экспертизе «Инфосекьюрити» оперативно решила данный вопрос. От момента развертывания аналогичной системы удаленного формата в лаборатории «Инфосекьюрити» до полной её поддержки в SIEM и отправки регулярных отчетов о состоянии системы Заказчику прошло не более двух недель. Теперь ГТЛК контролирует не только защищенность удаленного периметра, но и отслеживает активность своих сотрудников во время удаленной работы. Для обеспечения полной защиты руководство ГТЛК совместно с «Инфосекьюрити» приняли решение о проведении сторонней компанией тестирования на проникновение. По итогам теста мы выявили узкие места в системе аудита и мониторинга событий и доработали систему с учетом новых данных.