Автоматизация реагирования на инциденты кибербезопасности в ФК «Открытие»

Заказчик
Банк «ФК Открытие»
Руководитель проекта со стороны заказчика
ИТ-поставщик
ГК «Интеллектуальная безопасность» (бренд Security Vision)
Сроки выполнения проекта
Сентябрь, 2018 - Июнь, 2019
Масштаб проекта
3000 человеко-часов
25000 автоматизированных рабочих мест
Цели
  • Роботизация [24х7x365] выполнения дежурных процедур оператора ИБ в режиме реального времени.
  • Снижение риска человеческого фактора и ошибок персонала, привлекаемого к реагированию на инциденты кибербезопасности.
  • Автоматическое насыщение и обогащение инцидента информацией о событиях со смежных ИТ и ИБ систем.
  • Расширение границ мониторинга и контроля.
  • Значительное повышение глубины (количества и качества) проверок инцидентов.
  • Уменьшение силы воздействия инцидентов ИБ за счёт сокращения времени реагирования.
  • Систематизация интеграций с ИТ и ИБ системами.
  • Удобство и наглядность:
  • - Картина активных инцидентов на географической карте;
    - Построение графических схем инцидентов (взаимосвязь объектов в рамках расследования);
    - Интеграция с SIEM системами, зонтичная технология;
    - Построение отчетов и дашбордов для разных ролей;
    - Оповещение о критичных инцидентах – email, sms, IM.

Уникальность проекта

Потенциал и опыт Банка в вопросах кибербезопасности получили инструмент акселерации и снятия большой доли рутинных операций, связанных с реагированием на инциденты кибербезопасности. С помощью Security Vision IRP автоматизированы более 30 сценариев реагирования на инциденты ИБ, проведено более 50 интеграций со средствами защиты Банка. Это напрямую повлияло на эффективность работы сотрудников. Раньше специалисту банка нужно было не менее двух часов для проверки 1-2 сложных параметров, а сейчас система осуществляет по 200+ проверок за несколько секунд. Повысились не только ширина охвата (при подключении компаний ФК «Открытие»), но и глубина проверок параметров ИБ. За счет использования технологий IRP развитие ИБ приобрело интенсивный характер, когда качество не теряется от расширения области ИБ, а скорее зависит от компетентности сотрудников. Теперь 19 сотрудников Службы мониторинга и реагирования на инциденты ИБ могут обслуживать более 25 тысяч рабочих мест группы без потери качества.
Использованное ПО

Security Vision Incident Response Platform (разработка ГК «Интеллектуальная безопасность») – платформа автоматизации реагирования на инциденты кибербезопасности.

В ФК «Открытие» Security Vision IRP осуществляет автоматический сбор и формирование базы активов с регулярным обновлением и использованием в реагировании. На внедренной платформе Security Vision IRP автоматизированы более 30-ти процедур реагирования на инциденты ИБ, включая автоматическое получение данных, сбор дополнительной информации и анализ во внешних и внутренних «песочницах» Банка. Проведено более 50 интеграций платформы с ИТ и ИБ системами банка. Визуально представлено на прилагаемой схеме.

Описание проекта

Для банков, являющихся наиболее привлекательной мишенью для кибератак, обеспечение надежной защиты информационных активов – обязанность перед клиентами и значительное конкурентное преимущество. Решение этой задачи возможно путем комплексной автоматизации ключевых процессов информационной безопасности.

Банк «Открытие», входящий в топ-10 крупнейших банков России и список системообразующих банков ЦБ, реализовал проект не только автоматизации, но и роботизации реагирования на инциденты кибербезопасности путем внедрения системы Security Vision Incident Response Platform (Security Vision IRP). По результатам открытого многоэтапного конкурса среди российских и иностранных IRP-систем партнером Банка по запуску этого IT-решения стала компания «Интеллектуальная безопасность» - разработчик Security Vision IRP и ряда других IT-продуктов на базе ИБ-платформы Security Vision.

В рамках проекта были поэтапно реализованы:

1. Формализация основных процессов и сценариев реагирования на инциденты кибербезопасности;
2. Систематизация безопасного подключения основных источников событий ИТ и ИБ систем, таких как:
- Межсетевые экраны;
- Антивирусные средства защиты;
- Системы контроля изменений межсетевых экранов;
- Системы контроля целостности данных;
- Системы защиты от фишинговых атак;
- Системы предотвращения вторжений (IPS);
- Системы анализа угроз;
- Системы хранения журналов событий;
- Системы обеспечения безопасности электронной почты;
- Сервис-деск системы;
- Сервера и рабочие станции;
- Служба каталогов;
- Внешние сервисы и системы (VirusTotal, UrlScan.io, FinCert, MXToolBox и др.);
- Службы мгновенных сообщений;
- Песочницы;
- Системы защиты конечных станций;
- SIEM системы;
3. Автоматическое донасыщение инцидента информацией о событиях безопасности. Двусторонний обмен между ИТ и ИБ системами с целью обеспечения отсутствия «белых пятен» покрытия;
4. Обеспечение обработки и управления данными на платформе;
5. Настройка глубины проверок достаточной для достоверного обеспечения уровня защиты, принятого в ФК «Открытие»;
6. Настройка витрин и отчетности платформы;
7. Тестирование системы с целью отработки сценариев реагирования и набора Базы знаний;
8. Целевые рекомендации по технологическому совершенствованию в следующих вопросах:

- Расширение области покрытия IRP-системы на множество систем защиты Финансовой Корпорации.
- Задачи, связанные с подключением и аналитикой безопасности в системах обработки BigData с модулем семантического анализа инцидентов, содержащим модель машинного обучения.
- Автоматизация взаимодействия с регуляторами, обеспечение полного жизненного цикла во взаимодействии с FinCERT (АСОИ, Фид-АнтиФрод).
- Переход к вопросам Auto-Compliance на базе внедренных инструментов IRP, автоматизация соответствия важнейшим в финансовой отрасли нормативам и стандартам. Например, автосоответствие финансовым Стандартам ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.

География проекта

Инфраструктура ФК «Открытие» на всей территории РФ.

Дополнительные презентации:
Security Vision IRP.pdf
Схема взаимодействий с Security Vision.pdf
Коментарии: 7
  • Сергей Фомиченко
    Рейтинг: 14
    АО Корпорация МСП
    Начальник отдела информационной безопасности
    23.12.2019 11:44

    Илья, добрый день!

    Очевидно, что без автоматизации никуда, особенно там, где реакция должна быть мгновенной. Могли бы Вы описать участки, которые наиболее восприимчивы к автоматизации? Подключение каких систем было необходимым и какие сценарии реагирования были самыми удачными?

    С уважением,
    С.Фомиченко!

  • Илья Короткин
    Рейтинг: 56
    Банк «ФК Открытие»
    Руководитель службы мониторинга и реагирования на инциденты информационной безопасности Департамента информационной безопасности
    23.12.2019 18:17

    Сергей, добрый день.
    В части автоматизации более всего подходят современные средства защиты, благодаря функциям API, но автоматизировать необходимо самые трудозатратные процессы/операции. По сценариям аналогично, наиболее действенные сценарии те, которые жизненные, и которые отрабатывают Ваши сотрудники ежедневно. Также очень эффективным инструментом является ретро поиск, когда сотруднику система автоматически показывает аналогичные заявки в прошлом и аналитик может посмотреть, как такой инциденты был разобран ранее и принять решение на основании большего количества информации.

    С уважением,
    Илья Короткин

  • Сергей Фомиченко
    Рейтинг: 14
    АО Корпорация МСП
    Начальник отдела информационной безопасности
    24.12.2019 09:38

    Спасибо, Илья за ответ.
    Обогащение информацией и знания по ранее разобранным инцидентам это прям must have считаю. У самих набралось ежедневных рутинных операций по инцидентам, хотелось бы отдать это на обработку "роботам").

    Благодарю, Илья, и успехов в развитии проекта!

    С уважением,
    С.Фомиченко!

  • Дмитрий Цыганков
    Рейтинг: 166
    ООО "А101"
    Директор по ИТ
    26.12.2019 16:45

    Добрый день.

    В описании сказано, что по завершении проекта Security Vision дал ряд рекомендаций по технологическому совершенствованию. Планируете ли реализовывать что-то из них? Вообще, планируется ли дальнейшее развитие проекта?

    Дмитрий.

  • Илья Короткин
    Рейтинг: 56
    Банк «ФК Открытие»
    Руководитель службы мониторинга и реагирования на инциденты информационной безопасности Департамента информационной безопасности
    27.12.2019 15:46

    Дмитрий, спасибо за вопрос. Действительно развитие платформы актуально.
    Целевые рекомендации по технологическому совершенствованию:
    - Расширение области покрытия IRP-системы на множество систем защиты Группы Открытие.
    - Задачи, связанные с подключением и аналитикой безопасности в системах обработки BigData с модулем семантического анализа инцидентов, содержащим модель машинного обучения.
    - Автоматизация взаимодействия с регуляторами, обеспечение полного жизненного цикла во взаимодействии с FinCERT (АСОИ, Фид-АнтиФрод).
    - Переход к вопросам Auto-Compliance на базе внедренных инструментов IRP, автоматизация соответствия важнейшим в финансовой отрасли нормативам и стандартам. Например, автосоответствие финансовым Стандартам ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.
    Это несколько крупных направлений развития. Безусловно не полный перечень, есть заделы в новом стандарте SWIFT, изменяющимся положениям ЦБ, автоматизации смежных процессов в банке и т.д.

    С уважением,
    Илья Короткин

  • Дмитрий Цыганков
    Рейтинг: 166
    ООО "А101"
    Директор по ИТ
    27.12.2019 17:40

    Илья, спасибо за ответ. Вы говорили, что для автоматизации реагирования лучше всего подходят инструменты обладающие API. А как быть с СЗИ, для которых API не предоставляются? У вас получилось с ними взаимодействовать или они остаются за скобками?

  • Илья Короткин
    Рейтинг: 56
    Банк «ФК Открытие»
    Руководитель службы мониторинга и реагирования на инциденты информационной безопасности Департамента информационной безопасности
    30.12.2019 12:05

    Дмитрий, действительно, наличие API значительно облегчает настройку взаимодействия с целевыми системами и большая часть интеграций реализована посредством API. Однако при реализации проекта мы столкнулись с ситуациями, когда интеграция через API оказывалась несостоятельной. Во-первых, возможности API не всегда достаточны для решения поставленных нами задач. Во-вторых, в инфраструктуре имеется ряд систем, для которых не предусмотрено API, и тем не менее их хотелось бы задействовать в процессе автоматизированного реагирования. Внедряемая система позволяет успешно разрешить обе проблемы. Платформа умеет обращаться к внешним системам посредством различных механизмов, к примеру, для выполнения автоматизированных действий в Cisco IronPort производилось обращение к Comand line целевой системы по протоколу SSH для передачи и выполнения команд. В планах - расширение охвата платформы и соответственно увеличение числа интеграций, часть из которых не предполагает использование API.

Предметная область
Отрасль
Управление