Сопровождение и техническая поддержка системы управления событиями безопасности, обнаружения и реагирования на инциденты ИБ

Заказчик
Государственная транспортная лизинговая компания (ПАО «ГТЛК»)
ИТ-поставщик
INFOSECURITY (ГК Softline)
Год завершения проекта
2020
Сроки выполнения проекта
Январь, 2020 - Декабрь, 2020
Масштаб проекта
300 автоматизированных рабочих мест
Цели

Основными целями реализации проекта стали:

  • Качественное повышение защищенности критичных бизнес-процессов за кротчайшие сроки;

  • Обеспечение комплексной защиты данных при стремительно растущей филиальной сети компании;

  • Полное соответствие требованиям 187-ФЗ и ГосСОПКА;

  • Минимизация рисков экономики компании и информационной безопасности.

Уникальность проекта

Рост бизнеса непременно ведет к росту его запросов, в частности на концептуальный подход к развитию и автоматизации систем ИБ. Security Operation Center от «Инфосекьюрити» (ISOC) решает неординарные задачи и гарантирует услуги высокого качества с учётом всех требований законодательства.

Отличительной особенностью этого проекта стало построение ситуационного центра на базе облачного подключения к ISOC и уже существующей SIEM системы Заказчика. Эксперты «Инфосекьюрити» осуществляют мониторинг и реагирование на инциденты в режиме реального времени, что позволяет обеспечить непрерывность бизнеса и усовершенствовать внутренние механизмы анализа событий.

Благодаря «гибридной» модели подключения Заказчик избежал капитальных расходов на дорогостоящее оборудование и высококвалифицированный персонал, а также получил комплексную профессиональную защиту.

«Инфосекьюрити» подключила Заказчика к системе ISOC всего за месяц, что считается очень коротким сроком.
Использованное ПО

ПО PT SIEM, Система обработки инцидентов OTRS, система обработки и расследования инцидентов ISOC.

Сложность реализации
Главной сложностью проекта стало неожиданное введение нерабочих дней в связи с распространением коронавирусной инфекции. «Инфосекьюрити» столкнулась с необходимостью подключения на мониторинг системы удаленного доступа ГТЛК, которая не поддерживалась производителем SIEM решения. Благодаря собственной экспертизе «Инфосекьюрити» оперативно решила данный вопрос. От момента развертывания аналогичной системы удаленного формата в лаборатории «Инфосекьюрити» до полной её поддержки в SIEM и отправки регулярных отчетов о состоянии системы Заказчику прошло не более двух недель. Теперь ГТЛК контролирует не только защищенность удаленного периметра, но и отслеживает активность своих сотрудников во время удаленной работы. Для обеспечения полной защиты руководство ГТЛК совместно с «Инфосекьюрити» приняли решение о проведении сторонней компанией тестирования на проникновение. По итогам теста мы выявили узкие места в системе аудита и мониторинга событий и доработали систему с учетом новых данных.
Описание проекта
Проект можно разделить на три основных этапа. На первом этапе «Инфосекьюрити» провела предварительный аудит всех источников событий ИБ, а также проработала сценарии реагирования на инциденты. По результатам аудита, было установлено общее количество типовых систем и определен список нетиповых источников, для которых потребуется разработка новых уникальных коннекторов.

Во время второго этапа мы параллельно подключили платформы к типовым источникам информации, разработали новые контроли и соответствующие индивидуальные сценарии реагирования на инциденты. В рамках профилирования «Инфосекьюрити» совместно с ГТЛК согласовали и доработали регламент реагирования и распределения зон ответственности для оптимизации процессов выявления и реагирования на инциденты. В общей сложности, на этапе запуска «Инфосекьюрити» реализовала около 30 различных критичных контролей.

Для оптимизации сбора событий с серверов и рабочих станций под управлением ОС перевели все системы на механизмы Windows Event Forwarding. В итоге, мы существенно упростили процессы постановки серверов и рабочих станций на мониторинг.

На заключительном этапе происходил запуск сервиса в промышленную эксплуатацию. ГТЛК протестировала все сценарии реагирования на инциденты на потоке реальных данных в режиме 24/7. При этом в соответствии с пожеланиями заказчика многие процессы были существенно адаптированы под требования существующей модели безопасности.

В настоящее время мы продолжаем подключать различные источники событий к ISOC и расширяем функционал системы.


География проекта
Внедрение проекта в Москве + подключение источников событий находящихся в филиалах
Коментарии: 4
  • Алексей Лукацкий
    Рейтинг: 170
    Сisco
    Независимый эксперт
    11.12.2020 11:34

    Мониторинг информационной безопасности сегодня является очень важной задачей, особенно в условиях перевода ряда сотрудников на удаленный режим работы, когда они выходят из под контроля периметровых средств защиты и остаются один на один с злоумышленниками в Интернет. И заведение таких пользоватетей и их средств защиты на SOC - это очень важная задача, которую решить не так просто. В описываемом проекте для решения этой задачи было решено использовать аутсорсинг, что тоже является современной тенденцией в тех случаях, когда заказчик и аутсорсер доверяют друг другу и имеют четко проработанный договор, содержащий и детальный SLA и раздел об ответственности за пропущенные инциденты. Надеюсь, в данном проекте этому вопросу было уделено внимание также, как и технической стороне вопроса, связанной с подключением новых источников событий ИБ (либо логи ОС, либо логи EDR и иных средств хостовой защиты) к платформе мониторинга аутсорсера. И, конечно, при аутсорсинге функции мониторинга очень важно понимать, кто будет реагировать на выявленные инциденты. Обычно внешние SOC берут на себя только функцию выявления инцидентов и не имеют доступа во внутреннюю инфраструктуру и на компьютеры удаленных пользователей для реагирования и расследования инцидентов (иначе раздел SLA и ответственности будет еще объемнее). По описанию не до конца понятно, кто отвечает за реагирование на инциденты, а это, на мой взгляд, одна из интереснейших частей любого проекта по аутсорсингу ИБ. Часто этот сервис остается на стороне заказчика, что не позволяет ему реально сэкономить на аутсорсинге (если, конечно, такая задача ставилась).

    • Александр Дворянский Алексей
      Рейтинг: 15
      ООО Инфосекьюрити
      Директор по стратегическим коммуникациям
      17.12.2020 17:26

      Алексей, добрый день!

      О функции по реагированию на инциденты аутсорсер обычно договаривается с Заказчиком на начальном этапе отношений. Действительно, часто функция внешнего мониторинга заканчивается на уведомлении об инциденте. В случае данного проекта часть средств защиты также находится на нашем аутсорсинге, и реагирование в инфраструктуре Заказчика более полное. К сожалению, всех деталей проекта мы здесь раскрыть не сможем.

  • Михаил Левашов
    Рейтинг: 5
    Национальный удостоверяющий центр
    советник
    22.12.2020 14:53

    Голосую за этот проект. Аутсорсинг сейчас это - фактически основной метод обеспечения ИБ на высоком уровне для большинства компаний - потребителей. Компания Инфосекьюрити обладает большим опытом реализации подобных проектов, поэтому она вполне в состоянии это сделать и для ГТЛК.

  • Максим Часовиков
    Рейтинг: 1020
    МГУ имени М.В.Ломоносова, Центр цифровой экономики
    Заместитель руководителя службы управления проектами
    06.01.2021 03:42

    Проект интересный. В рамках его реализации и по результатам экспуотации решения предполагается ли внести изменения в модель угроз и модель нарушителя?
    Вы пишите, что происходит мониторинг активности удаленных пользователей. Это предполагает перехват всего пользовательского трафика, на удаленном месте и установку ПО на его рабочее место?

Год
Предметная область
Отрасль
Управление