Сопровождение и техническая поддержка системы управления событиями безопасности, обнаружения и реагирования на инциденты ИБ
- Заказчик:
- Государственная транспортная лизинговая компания (ПАО «ГТЛК»)
- Поставщик
- INFOSECURITY (ГК Softline)
- Год завершения проекта
- 2020
- Сроки выполнения проекта
- Январь, 2020 - Декабрь, 2020
- Масштаб проекта
- 300 автоматизированных рабочих мест
- Цели
Основными целями реализации проекта стали:
-
Качественное повышение защищенности критичных бизнес-процессов за кротчайшие сроки;
-
Обеспечение комплексной защиты данных при стремительно растущей филиальной сети компании;
-
Полное соответствие требованиям 187-ФЗ и ГосСОПКА;
-
Минимизация рисков экономики компании и информационной безопасности.
-
Уникальность проекта
Рост бизнеса непременно ведет к росту его запросов, в частности на концептуальный подход к развитию и автоматизации систем ИБ. Security Operation Center от «Инфосекьюрити» (ISOC) решает неординарные задачи и гарантирует услуги высокого качества с учётом всех требований законодательства.Отличительной особенностью этого проекта стало построение ситуационного центра на базе облачного подключения к ISOC и уже существующей SIEM системы Заказчика. Эксперты «Инфосекьюрити» осуществляют мониторинг и реагирование на инциденты в режиме реального времени, что позволяет обеспечить непрерывность бизнеса и усовершенствовать внутренние механизмы анализа событий.
Благодаря «гибридной» модели подключения Заказчик избежал капитальных расходов на дорогостоящее оборудование и высококвалифицированный персонал, а также получил комплексную профессиональную защиту.
«Инфосекьюрити» подключила Заказчика к системе ISOC всего за месяц, что считается очень коротким сроком.
- Использованное ПО
ПО PT SIEM, Система обработки инцидентов OTRS, система обработки и расследования инцидентов ISOC.
- Сложность реализации
- Главной сложностью проекта стало неожиданное введение нерабочих дней в связи с распространением коронавирусной инфекции. «Инфосекьюрити» столкнулась с необходимостью подключения на мониторинг системы удаленного доступа ГТЛК, которая не поддерживалась производителем SIEM решения. Благодаря собственной экспертизе «Инфосекьюрити» оперативно решила данный вопрос. От момента развертывания аналогичной системы удаленного формата в лаборатории «Инфосекьюрити» до полной её поддержки в SIEM и отправки регулярных отчетов о состоянии системы Заказчику прошло не более двух недель. Теперь ГТЛК контролирует не только защищенность удаленного периметра, но и отслеживает активность своих сотрудников во время удаленной работы. Для обеспечения полной защиты руководство ГТЛК совместно с «Инфосекьюрити» приняли решение о проведении сторонней компанией тестирования на проникновение. По итогам теста мы выявили узкие места в системе аудита и мониторинга событий и доработали систему с учетом новых данных.
- Описание проекта
- Проект можно разделить на три основных этапа. На первом этапе «Инфосекьюрити» провела предварительный аудит всех источников событий ИБ, а также проработала сценарии реагирования на инциденты. По результатам аудита, было установлено общее количество типовых систем и определен список нетиповых источников, для которых потребуется разработка новых уникальных коннекторов.
Во время второго этапа мы параллельно подключили платформы к типовым источникам информации, разработали новые контроли и соответствующие индивидуальные сценарии реагирования на инциденты. В рамках профилирования «Инфосекьюрити» совместно с ГТЛК согласовали и доработали регламент реагирования и распределения зон ответственности для оптимизации процессов выявления и реагирования на инциденты. В общей сложности, на этапе запуска «Инфосекьюрити» реализовала около 30 различных критичных контролей.
Для оптимизации сбора событий с серверов и рабочих станций под управлением ОС перевели все системы на механизмы Windows Event Forwarding. В итоге, мы существенно упростили процессы постановки серверов и рабочих станций на мониторинг.
На заключительном этапе происходил запуск сервиса в промышленную эксплуатацию. ГТЛК протестировала все сценарии реагирования на инциденты на потоке реальных данных в режиме 24/7. При этом в соответствии с пожеланиями заказчика многие процессы были существенно адаптированы под требования существующей модели безопасности.В настоящее время мы продолжаем подключать различные источники событий к ISOC и расширяем функционал системы.
- География проекта
- Внедрение проекта в Москве + подключение источников событий находящихся в филиалах