Центр кибербезопасности инфраструктуры облачных сервисов с использованием машинного обучения провайдера Облако.ру

Заказчик

Облако.ру

Руководитель проекта со стороны заказчика

Вадим Муханов

Технический директор

ИТ-поставщик

STEP LOGIC

Год завершения проекта

2022

Сроки выполнения проекта

Октябрь, 2021 - Апрель, 2022

Масштаб проекта

3600 человеко-часов

Цели

приведение инфраструктуры компании в соответствие требованиям ФСТЭК (аттестация);
снижение рисков информационной безопасности для клиентов облачных сервисов;
создание управляемой услуги мониторинга и реагирования на инциденты информационной безопасности.

Уникальность проекта

Для хранения и анализа данных в центре кибербезопасности применяется программная платформа STEP Security Data Lake, собственная разработка STEP LOGIC, реализующая функции программных решений следующих классов: мониторинг событий и выявления инцидентов (SIEM), реагирование и расследование (IRP), агрегация и анализ артефактов угроз Threat Intelligence (TIP).

Для анализа всех данных в центре кибербезопасности используются единые язык поисковых запросов, конструктор визуализаций, общие корреляционные правила и модели машинного обучения. Такой подход сокращает время реагирования в 1,5 раза и снижает эксплуатационные расходы в 2 раза.

Гибкий корреляционный движок и развитые функции машинного обучения для глубокого анализа собранных данных вместе с детальными сценариями мониторинга, наработанной практикой их применения и регламентированными рабочими процессами SOC позволяют снизить количество ложных срабатываний в 10 раз.

Проект решает задачи импортозамещения

Да

Использованное ПО

Технологическая платформа STEP Security Data Lake – собственная разработка STEP LOGIC для своевременного выявления атак на ИТ-инфраструктуру, контроля за соблюдением нормативных требований, регистрации и расследования инцидентов.

Сложность реализации

Наиболее сложной задачей стало обеспечение эффективного управления и оперативного масштабирования системы центра кибербезопасности. Для ее решения были разработаны сценарии автоматической оркестрации и автоматизации централизованного управления, обеспечен учёт и контроль изменений.

Описание проекта

Формально проект можно разделить на несколько этапов.

Специалисты Облако.ру совместно со STEP LOGIC провели обследование и анализ рынка, построили экономическую модель и выбрали концепцию центра кибербезопасности.
Затем были сформированы детальные технические требования, разработан регламент работы SOC, прописаны метрики и внутренний SLA.
На третьем этапе специалисты STEP LOGIC приступили к внедрению технологической платформы STEP Security Data Lake.
Подбор и реализация пакета наиболее актуальных сценариев мониторинга были проведены после комплексного обследования, включающего анализ применяемых программных платформ, выявление связанных с ними потенциальных угроз, идентификацию необходимых источников событий и данных.
Завершающим этапом стало обучение персонала.

В данный момент к SOC подключено более 150 источников данных в инфраструктуре Облако.ру, в числе которых не только операционные системы, сетевое оборудование и средства защиты информации, но и прикладные системы, в том числе виртуализация, оркестрация и автоматизация облачных сервисов.

Сбор событий осуществляется с использованием штатных механизмов источников данных, что позволяет снизить воздействие на работу сервисов облачного провайдера.

Помимо внутренних, SOC использует также внешние источники: данные Threat Intelligence, базы геолокационных и регистрационных данных, доменных имён и IP-адресов, сервисы анализа вредоносного кода. Действия по реагированию определяются сценариями мониторинга, разработанными в контексте методологий MITRE ATT&CK и Cyber Kill Chain. По сути, каждый из них — это отдельный алгоритм, нацеленный на противодействие заданному вектору атаки, известным техникам и тактикам злоумышленников.