Сопровождение и техподдержка системы управления событиями безопасности

16 ноября 2020

По мере роста бизнеса растут и требования к системам ИБ. Участник конкурса «Проект Года», компания «Инфосекьюрити» реализовала проект создания ситуационного центра на базе облачного подключения к ISOC и уже существующей SIEM системы заказчика – ПАО «ГТЛК». Благодаря «гибридной» модели подключения заказчик избежал капитальных расходов на дорогостоящее оборудование и высококвалифицированный персонал, а также получил комплексную профессиональную защиту.

Infosecservice_ЛОГО.png


Проект реализуется в период с января по декабрь 2020 года. Масштаб - 300 автоматизированных рабочих мест. География -  Москва + подключение источников событий, находящихся в филиалах. Использованное ПО - ПО PT SIEM, Система обработки инцидентов OTRS, система обработки и расследования инцидентов ISOC.

Какие цели ставились перед проектом?

  • Качественное повышение защищенности критичных бизнес-процессов за кротчайшие сроки;

  • Обеспечение комплексной защиты данных при стремительно растущей филиальной сети компании;

  • Полное соответствие требованиям 187-ФЗ и ГосСОПКА;

  • Минимизация рисков экономики компании и информационной безопасности.

Как проходила реализация?

Проект можно разделить на три основных этапа. На первом этапе «Инфосекьюрити» провела предварительный аудит всех источников событий ИБ, а также проработала сценарии реагирования на инциденты. По результатам аудита, было установлено общее количество типовых систем и определен список нетиповых источников, для которых потребуется разработка новых уникальных коннекторов.

Во время второго этапа мы параллельно подключили платформы к типовым источникам информации, разработали новые контроли и соответствующие индивидуальные сценарии реагирования на инциденты. В рамках профилирования «Инфосекьюрити» совместно с ГТЛК согласовали и доработали регламент реагирования и распределения зон ответственности для оптимизации процессов выявления и реагирования на инциденты. В общей сложности, на этапе запуска «Инфосекьюрити» реализовала около 30 различных критичных контролей.

Для оптимизации сбора событий с серверов и рабочих станций под управлением ОС перевели все системы на механизмы Windows Event Forwarding. В итоге, мы существенно упростили процессы постановки серверов и рабочих станций на мониторинг.

На заключительном этапе происходил запуск сервиса в промышленную эксплуатацию. ГТЛК протестировала все сценарии реагирования на инциденты на потоке реальных данных в режиме 24/7. При этом в соответствии с пожеланиями заказчика многие процессы были существенно адаптированы под требования существующей модели безопасности.

В настоящее время мы продолжаем подключать различные источники событий к ISOC и расширяем функционал системы.

В чем заключается уникальность проекта?

Отличительной особенностью этого проекта стало построение ситуационного центра на базе облачного подключения к ISOC и уже существующей SIEM системы Заказчика. Эксперты «Инфосекьюрити» осуществляют мониторинг и реагирование на инциденты в режиме реального времени, что позволяет обеспечить непрерывность бизнеса и усовершенствовать внутренние механизмы анализа событий.

Благодаря «гибридной» модели подключения Заказчик избежал капитальных расходов на дорогостоящее оборудование и высококвалифицированный персонал, а также получил комплексную профессиональную защиту.

«Инфосекьюрити» подключила Заказчика к системе ISOC всего за месяц, что считается очень коротким сроком.

С какими сложностями столкнулись во время реализации?

Главной сложностью проекта стало неожиданное введение нерабочих дней в связи с распространением коронавирусной инфекции. «Инфосекьюрити» столкнулась с необходимостью подключения на мониторинг системы удаленного доступа ГТЛК, которая не поддерживалась производителем SIEM решения. Благодаря собственной экспертизе «Инфосекьюрити» оперативно решила данный вопрос. От момента развертывания аналогичной системы удаленного формата в лаборатории «Инфосекьюрити» до полной её поддержки в SIEM и отправки регулярных отчетов о состоянии системы Заказчику прошло не более двух недель. Теперь ГТЛК контролирует не только защищенность удаленного периметра, но и отслеживает активность своих сотрудников во время удаленной работы. Для обеспечения полной защиты руководство ГТЛК совместно с «Инфосекьюрити» приняли решение о проведении сторонней компанией тестирования на проникновение. По итогам теста мы выявили узкие места в системе аудита и мониторинга событий и доработали систему с учетом новых данных.

 

736
Поделиться
Предметная область
Отрасль
Управление