Внедрение автоматизированной системы реагирования на инциденты информационной безопасности

14 ноября 2017

Заказчик  
Банк «Открытие»
Руководитель проекта со стороны заказчика  
Мартынов Михаил Владимирович
ИТ-поставщик  
ГК ГК "Инфосекьюрити" (http://gk-is.ru/)
Сроки выполнения проекта   Май, 2017 — Июль, 2017
Масштаб проекта   1200 человеко-часов 
15000 автоматизированных рабочих мест
Цели проекта   1. Near Real-Time обнаружение событий (пользовательские действия, изменения ИТ-инфраструктуры), имеющих признаки инцидентов информационной безопасности (ИБ).
2. Near Real-Time автоматическое реагирование на события, имеющие признаки событий ИБ. 
3. Использование существующих ИБ систем Заказчика в качестве источников данных. Возможность подключения новых источников данных к существующей системе.
4. Операции регистрации инцидентов ИБ и реагирования на угрозы ИБ должны происходить автоматически 24/7 с минимальным привлечением обслуживающего персонала.
Использованное ПО, оборудование и вспомогательные системы   Система MessilaBot (программно-аппаратная платформа является собственной разработкой ГК инфосекьюрити)
В качестве источников данных используются следующие решения, уже используемые Заказчиком:
- Service Desk с открытым исходным кодом для регистрация событий на инфраструктуре Заказчика;
- PaloAlto (выявление фактов обращения к Command and Control Server (С&C) ботнет сетей, обращенйи к зараженным внешним ресурсам);
- FireEye EX (выявление спам рассылок с зараженными объектами);
- FireEye NX (выявление аномалий сетевого трафика);
- Kaspersky Endpoint Security (выявление заражений на конечных АРМ);
- Symantec Endpoint Protection (выявление заражений на серверной инфраструктуре);
- Существующая инфраструктура ActiveDirectory (обогащение данных о зараженных объектах, возможности ограничения привилегий и блокировки учетных записей пользователей);
- Внешние источники данных об актуальных угрозах ИБ (Проверка индикаторов компрометации (IoC)).
Направление/область и тип работ   Эксплуатация и управление ИТ
Информационная безопасность
Важность проекта   Поддерживающая ИС
Возможность тиражируемости   Да
Масштабируемость   Да

Описание проекта

Ключевыми направлениями работ стали:
1. создание единого хранилища инцидентов ИБ, агрегирующего и дедуплицирующего информацию существующих систем ИБ Заказчика.
2. "обучение" системы автоматическому реагированию на события, имющие признаки инцидентов ИБ.
3. Интеграция с Инфраструктурой Заказчика для обеспечения автоматической блокировки зараженных объектов, внешних ресурсов по результатам проверки индикаторов компрометации (IoC).
4. Интеграция с системой регистрации заявок Заказчика, внедрение процессов реагирования на события ИБ (оповещение, локализация зараженных объектов, процедуры проверки зараженных объектов, отчетность).

Уникальность проекта

Для внедрения системы MessilaBot не требуется существенных изменений ИТ-ИБ ландшафта Заказчика.
Работа с системой не требует дополнительных человеческих ресурсов, а наоборот, сокращает время реакции и трудозатраты на анализ и устранение последствий инцидентов ИБ.
Система предоставляется в виде облачного сервиса, хранение и обработка больших массивов данных не требует дополнительных вложений в инфраструктуру Заказчика, а вынос обрабатываемых данных на облачную инфраструктуру ГК «Инфосекьюрити» высвободил дополнительные вычислительные ресурсы для реализации основных бизнес-задач Заказчика.
В рамках реализации проекта ГК «Инфосекьюрити» предоставляет сервис круглосуточного мониторинга Инфраструктуры Заказчика на предмет обнаружения и реагирования на события ИБ, силами Security Operation Center ГК «Инфосекьюрити».
Благодаря универсальной шине подключения внешних источников – любая новая система ИБ Заказчика может быть оперативно подключена к MessilaBot.
Время обработки 90% инцидентов от момента регистрации до устранения - не более 60 секунд.

География проекта

География проекта - инфраструктура на всей территории РФ.

4957
Поделиться

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

Предметная область
Отрасль
Управление