Центр мониторинга и реагирования на кибератаки (Security Operation Center)

Заказчик
Трубная металлургическая компания (ТМК)
Руководитель проекта со стороны заказчика
Год завершения проекта
2020
Сроки выполнения проекта
Ноябрь, 2019 - Июнь, 2020
Масштаб проекта
10000 автоматизированных рабочих мест
Цели
Повышение защищенности ИТ-инфраструктуры за счет мониторинга ИБ 24/7; - Снижение рисков, связанных с кибератаками; - Проактивное обнаружение атак на ранних стадиях; - Обеспечение взаимодействия с центром ГосСОПКА в рамках Федерального закона №187-ФЗ; - Выработка единых подходов к мониторингу ИБ на всех предприятиях группы.

Уникальность проекта

Проект реализуется по гибридной модели, объединяющей ресурсы организации и внешнего подрядчика – Центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар». Аппаратные мощности SIEM-системы и сопровождение средств защиты находятся в зоне ответственности ТМК, а мониторинг и разработка сценариев реагирования – на стороне партнера. Такой подход позволил достичь поставленных целей в предельно сжатые сроки (первая очередь проекта запущена всего за 6 недель!).

Благодаря сервисной модели группа компаний ТМК обеспечила высокий уровень ИБ для своих информационных ресурсов в cжатые сроки. Реализованное решение дает возможность выявлять и блокировать в том числе деятельность таких высококвалифицированных злоумышленников, целью которых может быть скрытый шпионаж или нарушение производственных процессов. Сегодня специалисты Центра противодействия кибератакам Solar JSOC не только закрывают задачи выявления, мониторинга и анализа инцидентов, но также разрабатывают и адаптируют для ТМ
Проект решает задачи импортозамещения
Нет
Использованное ПО
В проекте используется решение MaxPatrol SIEM. В качестве источников информации к системе мониторинга SOC подключены: контроллеры домена, периметровые межсетевые экраны, средства антивирусной защиты, инфраструктурные сервисы (DHCP-серверы, DNS, прокси-серверы), системы динамического анализа кода, серверы электронной почты, антиспам-системы, VPN-шлюзы, коммутаторы и сетевое оборудование, серверы виртуализации, CMDB-системы, критичные серверы и рабочие станции
Сложность реализации
Ключевая сложность проекта была связана с необходимостью одновременного запуска мониторинга 5 геораспределенных площадок в предельно сжатые сроки, что потребовало предельно слаженного взаимодействия и эффективных процессов на уровне служб ИТ, ИБ и сервис-провайдера. Дополнительная сложность заключалась в проработке эффективной ролевой модели взаимодействия в рамках гибридной схемы работы. Необходимо было обеспечить соблюдение SLA и прозрачность процесса мониторинга для обеих сторон.
Описание проекта
Проект включал себя: - Предварительное внедрение SIEM-системы на 5 крупнейших геораспределенных площадках компании - Проработку способа реализации SOC, в том числе: схемы работы, SLA, объём и порядок подключение источников, определение приоритетности и порядка подключение сценариев; - Проработку ролевой модели и схемы взаимодействия; - Разработку схемы реагирования инцидентов; - Разработку схемы взаимодействия с ГосСОПКА; - Подключение источников и сценариев; - Проработку взаимодействия в рамках киберразведки. Базовое подключение и запуск первой очереди уникальных и проверенных на практике отраслевых сценариев выявления инцидентов занял всего 6 недель. За это время проведено полное обследование инфраструктуры предприятия, к мониторингу подключены ключевые источники информации о событиях ИБ. На сегодня для обнаружения подозрительной активности на каждой из площадок задействовано более 30 сценариев мониторинга, которые адаптированы к бизнес-процессам организации, и продолжается запуск новых.

Для того чтобы обеспечить возможность выявления сложных и скрытых кибератак, в ТМК были развернуты решения по анализу сетевого трафика, внедрен углубленный анализ событий информационной безопасности на рабочих станциях с помощью бесплатно распространяемых инструментов расширенного журналирования и выявления атак. Совокупно с наработками Solar JSOC это позволяет детектировать нападения кибергруппировок самого высокого уровня со сложным инструментарием, который не выявляют базовые средства защиты. Чтобы гарантировать ТМК самую актуальную и полную информацию о новых киберугрозах, собирающая такие данные платформа Threat Intelligence Solar JSOC интегрирована с аналогичной платформой у ТМК. Таким образом, компании осуществляют двусторонний обмен данными об индикаторах компрометации информационных систем, что взаимно обогащает их базы и помогает выявлять атаки на самом раннем этапе. Для того чтобы в полной мере использовать логику работы сценариев мониторинга Solar JSOC, которая учитывает сетевую модель, критичность хостов, учетных записей и т.д., на каждой площадке произведена интеграция SIEM с базой конфигурационных единиц (CMDB) ТМК. Это позволило практически в режиме реального времени получать актуальную информацию о критичностях новых ИТ-активов компании, оперативно подстраивая и приоритизируя работу сценариев.
География проекта
На первом этапе к SOC подключено 5 геораспределенных площадок группы компаний, в т.ч. исполнительный аппарат и основные центры обработки данных. География проекта на сегодня: Москва, Таганрог (Ростовская обл.), Волжский (Волгоградская обл.), Полевской и Каменск-Уральский (Свердловская область). В дальнейшем масштабный проект охватит все площадки ТМК и информационные системы предприятия.
Коментарии: 3
  • Михаил Петров
    Рейтинг: 806
    Счетная палата Российской Федерации
    Директор департамента цифровой трансформации
    15.11.2021 19:12

    можете как-то, в каких-то цифрах оценить эффективность внедрения (если возможно)?

    • Дмитрий Якоб Михаил
      Рейтинг: 1004
      Трубная металлургическая компания (ТМК)
      Директор по ИТ
      23.11.2021 20:55

      Добрый день, Михаил!
      По понятным причинам всех деталей раскрыть не могу. Тем не менее, выделил бы два, на мой взгляд, важных параметра. Мы выбрали именно гибридную модель построения SOC, поскольку в сравнении с in-house моделью:
      1. Получили экономию по совокупной стоимости владения около 100 млн. руб. за 5 лет.
      2. С нуля создали и вывели на целевой уровень SOC за 1 год (по самым оптимистичным оценкам в случае in-house речь шла бы 2-3 годах).

      • Михаил Петров Дмитрий
        Рейтинг: 806
        Счетная палата Российской Федерации
        Директор департамента цифровой трансформации
        23.11.2021 22:01

        Дмитрий, спасибо! если можно - еще немного деталей: за счет чего совокупная стоимость оказалась меньше?

Год
Предметная область
Отрасль
Управление