Внедрение аналитической платформы выявления и расследования инцидентов ISOC на основе технологии Big Data в SBI Bank.

Заказчик
Эс-Би-Ай Банк ООО
Руководитель проекта со стороны заказчика
ИТ-поставщик
Общество с ограниченной ответственностью "ИНФОСЕКЬЮРИТИ" (входит в ГК Softline)
Сроки выполнения проекта
Май, 2019 - Июль, 2019
Масштаб проекта
656 человеко-часов
300 автоматизированных рабочих мест
Цели

Основными целями реализации проекта стали:

  • Обеспечение комплексной защиты данных при увеличении числа розничных и корпоративных клиентов;
  • Качественное повышение защищенности критичных бизнес-процессов Банка за кратчайшие сроки;
  • Осуществление круглосуточного мониторинга, выявления и расследования инцидентов путем внедрения аналитической платформы и сервиса.

Уникальность проекта

В соответствии с требованиями регуляторов, Банк обязан хранить огромный объем данных, в связи с чем, поиск информации в подобных архивах занимает около 1 дня. Внедренная платформа ISOC благодаря использованию собственных разработок на базе технологий Big Data сократила время полной обработки запроса в архивном поиске до считанных минут.

Кроме того, средний срок реализации аналогичных проектов составляет около 1 года. Команде проекте удалось запустить и настроить все процессы за 2 месяца.
Использованное ПО
Используемые технологии больших данных – Apache Hadoop, HDFS, HIVE, Spark, Kafka, ElasticSearch, InfluxDB&Grafana.
Сложность реализации
Безусловно, одной из ключевых сложностей стали крайне сжатые сроки реализации проекта, которые осложнялись наличием у заказчика нетиповых программно-аппаратных источников событий, к которым было необходимо осуществить подключение.

Кроме того, на этапе промышленной эксплуатации, выяснилось, что один из российских производителей антивирусного ПО, ложно срабатывал на работу внедренной системы мониторинга с модулем автоматизированного реагирования (IRP). После разбора сложившейся ситуации и проведения переговоров с производителем ПО, команде проекта удалось определиться в чем причина подобных срабатываний и устранить их.

Описание проекта
SBI банк выбрал сотрудничество по модели SOC as a Service. Этот подход позволяет избежать капитальных расходов на дорогостоящее оборудование и высококвалифицированный персонал, обеспечивая при этом комплексную профессиональную защиту.
В отличие от других решений и сервисов, представленных на рынке, платформа ISOC не требует наличия у заказчика существующей SIEM или покупки специализированного ПО и оборудования, что значительно уменьшает стоимость реализации проекта с сохранением всех качественных и функциональных атрибутов.

Применение во внедренной платформе технологий Big Data позволяет обрабатывать в пике сотни тысяч событий в секунду и гибко масштабировать мощности в соответствии с величиной потока данных.

Проект можно разделить на 3 основных этапа:
  1. Предварительный аудит;
  2. Основной этап подключения и настройки платформы;
  3. Запуск сервиса в промышленную эксплуатацию.
После определения основных требований к реализации проекта, команда приступили к сбору информации по источникам и контролям.

На первом этапе был осуществлен предварительный аудит всех источников событий ИБ, а также проработаны сценарии реагирования на инциденты. По результатам аудита, было установлено общего количество типовых систем, подключение которых не составит проблем, и список НЕ типовых источников, для которых потребуется разработка новых уникальных коннекторов.

Во время второго этапа происходило параллельное подключение платформы к типовым источникам информации и разработка новых контролей и соответствующих индивидуальных сценариев реагирования на инциденты, а также в рамках профилирования был согласован и доработан регламент реагирования и распределения, зон ответственности.

В общей сложности, за проект было реализовано около 40 различных контролей, и подключено около 90 типовых и не типовых критичных источников банка.

Для сокращения времени обработки выявляемых угроз команда Infosecurity дополнила существующую систему мониторинга модулями автоматизированного реагирования (IRP), реализующими сбор информации с целевого узла и обогащение атрибутов инцидента с использованием репутационных баз. Как результат, внедренная платформа ISOC, построенная на технологии Big Data, позволила горизонтально масштабироваться по количеству собираемых обрабатываемых событий до 100 000 и более событий в секунду.

На заключительном этапе происходил запуск сервиса в промышленную эксплуатацию. Заказчик протестировал все сценарии реагирования на инциденты на потоке реальных данных в режиме 24/7. При этом в соответствии с пожеланиями заказчика многие процессы были существенно адаптированы под требования существующей модели безопасности SBI Банк.

География проекта
Внедрение проекта происходило в Москве.
Коментарии: 2
  • Владимир Фишер
    Рейтинг: 32
    ФБУ Авиалесоохрана
    Заместитель начальника ОИТ, руководитель направления Информационные системы
    22.11.2019 21:59

    Один из российских производителей антивирусного ПО с названием на букву К?) Тоже намучались в свое время с ложными срабатываниями...

  • Михаил Левашов
    Рейтинг: 12
    Национальный удостоверяющий центр
    Advisor CEO
    09.01.2020 12:59

    ИНФОСЕКЬЮРИТИ имеет значительный опыт разработки и внедрения SOC, в которых постоянно увеличивается процент инцидентов, обработанных в автоматическом режиме. Количество ложных срабатываний автоматических систем напрямую влияет на объем материала для ручной обработки. И здесь компания добилась хороших результатов. Голосую за этот проект.

Предметная область
Отрасль
Управление