Подключение банка к облачному SOC

Заказчик
ПАО "Норвик Банк"
Руководитель проекта со стороны заказчика
ИТ-поставщик
Infosecurity (ГК Softline)
Год завершения проекта
2021
Сроки выполнения проекта
Ноябрь, 2020 - Март, 2021
Масштаб проекта
1340 человеко-часов
Цели

Основными целями проекта стали:

  1. Выполнение требований ГОСТ Р 57580;
  2. Повышение кибербезопасности ИТ-инфраструктуры банка;
  3. Внедрение дополнительных контролей и организация реагирования при инцидентах нарушения правил безопасности критичных узлов ИТ-инфраструктуры банка.

Уникальность проекта

Изначально банк рассматривал построение собственного SOC или гибридной модели, когда SIEM-система располагается в инфраструктуре заказчика, а сервис осуществляется силами сторонней организации.

В результате исследования вариантов построения SOC был выбран облачный. Основным аргументом в пользу облачного SOC стала значительная финансовая выгода. Если в цифрах, ежегодно банк сможет сохранять от 3 до 5 млн рублей, а при гибридной модели к этой сумме еще добавились бы затраты на специалистов по безопасности и покупку лицензий на SIEM.

Другим весомым фактором в пользу «облака» стал временной показатель: подключение к облачному SOC обычно занимает 3-4 месяца, тогда как на построение гибрида или внутреннего SOC может уйти от 6 месяцев и больше.
Проект решает задачи импортозамещения
Нет
Использованное ПО

Используемые технологии больших данных – Apache Hadoop, HDFS, HIVE, Spark, Kafka, ElasticSearch, InfluxDB&Grafana.

Сложность реализации

1. Ограниченное время на реализацию проекта.

Сжатые сроки диктовали свои условия - было решено отказаться от пилота, который добавил бы к основным срокам реализации проекта дополнительные несколько месяцев.

2. Смена команды заказчика в середине проекта.

На втором этапе реализации проекта произошла полная смена команды специалистов по информационной безопасности банка.

3. Наличие у заказчика нетиповых программно-аппаратных источников событий.

Подключение нетиповых программно-аппаратных источников событий потребовало больше времени на работу. Они были реализованы и кастомизированы в рамках сервиса.

На итоговый результат работ по внедрению ISOC трудности не повлияли – для этого были все инструменты и опытная команда.

Описание проекта

Для Норвик Банка главными критериями выбора в пользу системы мониторинга и реагирования на инциденты ISOC стало обеспечение скорости, технологичности и безопасности без снижения производительности и качества бизнес-процессов. Подключение финансовой организации к облачной системе было реализовано по схеме SOC-as-a-Service, когда обработка событий и выявление угроз происходит на мощностях Infosecurity с использованием собственной платформы ISOC SIEM. Такой подход позволил избежать капитальных расходов на дорогостоящее оборудование и высококвалифицированный персонал, обеспечив комплексную защиту ИТ-инфраструктуры банка.

Проект можно разделить на 3 основных этапа:

  • Предварительный аудит;

  • Основной этап подключения и настройки платформы;

  • Запуск сервиса в промышленную эксплуатацию.

После определения основных требований к реализации проекта команда приступили к сбору информации по источникам и контролям.

На первом этапе был осуществлен предварительный аудит всех источников событий ИБ, а также проработаны сценарии реагирования на инциденты. По результатам работ было установлено общее количество типовых систем и список не типовых источников, для подключения которых потребовались бы больше времени, а также разработка новых уникальных коннекторов для трех информационных систем Банка.

Во время второго этапа происходило параллельное подключение платформы ISOC к типовым источникам информации и разработка новых контролей и соответствующих индивидуальных сценариев реагирования на инциденты.

На заключительном этапе сервис был запущен в промышленную эксплуатацию. Заказчик протестировал все сценарии реагирования на инциденты на потоке реальных данных в режиме 24/7. В соответствии с пожеланиями заказчика многие процессы были адаптированы под требования существующей модели безопасности.

География проекта
Москва, Киров
Год
Предметная область
Отрасль
Управление