Автоматизация реагирования на инциденты кибербезопасности в ФК «Открытие»
- Заказчик:
- Банк «ФК Открытие»
- Руководитель проекта со стороны заказчика
-
- Поставщик
- ГК «Интеллектуальная безопасность» (бренд Security Vision)
- Год завершения проекта
- 2019
- Сроки выполнения проекта
- Сентябрь, 2018 - Июнь, 2019
- Масштаб проекта
- 3000 человеко-часов
25000 автоматизированных рабочих мест - Цели
- Роботизация [24х7x365] выполнения дежурных процедур оператора ИБ в режиме реального времени.
- Снижение риска человеческого фактора и ошибок персонала, привлекаемого к реагированию на инциденты кибербезопасности.
- Автоматическое насыщение и обогащение инцидента информацией о событиях со смежных ИТ и ИБ систем.
- Расширение границ мониторинга и контроля.
- Значительное повышение глубины (количества и качества) проверок инцидентов.
- Уменьшение силы воздействия инцидентов ИБ за счёт сокращения времени реагирования.
- Систематизация интеграций с ИТ и ИБ системами.
- Удобство и наглядность:
- Картина активных инцидентов на географической карте;
- Построение графических схем инцидентов (взаимосвязь объектов в рамках расследования);
- Интеграция с SIEM системами, зонтичная технология;
- Построение отчетов и дашбордов для разных ролей;
- Оповещение о критичных инцидентах – email, sms, IM.
Уникальность проекта
Потенциал и опыт Банка в вопросах кибербезопасности получили инструмент акселерации и снятия большой доли рутинных операций, связанных с реагированием на инциденты кибербезопасности. С помощью Security Vision IRP автоматизированы более 30 сценариев реагирования на инциденты ИБ, проведено более 50 интеграций со средствами защиты Банка. Это напрямую повлияло на эффективность работы сотрудников. Раньше специалисту банка нужно было не менее двух часов для проверки 1-2 сложных параметров, а сейчас система осуществляет по 200+ проверок за несколько секунд. Повысились не только ширина охвата (при подключении компаний ФК «Открытие»), но и глубина проверок параметров ИБ. За счет использования технологий IRP развитие ИБ приобрело интенсивный характер, когда качество не теряется от расширения области ИБ, а скорее зависит от компетентности сотрудников. Теперь 19 сотрудников Службы мониторинга и реагирования на инциденты ИБ могут обслуживать более 25 тысяч рабочих мест группы без потери качества.- Использованное ПО
Security Vision Incident Response Platform (разработка ГК «Интеллектуальная безопасность») – платформа автоматизации реагирования на инциденты кибербезопасности.
В ФК «Открытие» Security Vision IRP осуществляет автоматический сбор и формирование базы активов с регулярным обновлением и использованием в реагировании. На внедренной платформе Security Vision IRP автоматизированы более 30-ти процедур реагирования на инциденты ИБ, включая автоматическое получение данных, сбор дополнительной информации и анализ во внешних и внутренних «песочницах» Банка. Проведено более 50 интеграций платформы с ИТ и ИБ системами банка. Визуально представлено на прилагаемой схеме.
- Описание проекта
Для банков, являющихся наиболее привлекательной мишенью для кибератак, обеспечение надежной защиты информационных активов – обязанность перед клиентами и значительное конкурентное преимущество. Решение этой задачи возможно путем комплексной автоматизации ключевых процессов информационной безопасности.
Банк «Открытие», входящий в топ-10 крупнейших банков России и список системообразующих банков ЦБ, реализовал проект не только автоматизации, но и роботизации реагирования на инциденты кибербезопасности путем внедрения системы Security Vision Incident Response Platform (Security Vision IRP). По результатам открытого многоэтапного конкурса среди российских и иностранных IRP-систем партнером Банка по запуску этого IT-решения стала компания «Интеллектуальная безопасность» - разработчик Security Vision IRP и ряда других IT-продуктов на базе ИБ-платформы Security Vision.
В рамках проекта были поэтапно реализованы:
1. Формализация основных процессов и сценариев реагирования на инциденты кибербезопасности;
2. Систематизация безопасного подключения основных источников событий ИТ и ИБ систем, таких как:
- Межсетевые экраны;
3. Автоматическое донасыщение инцидента информацией о событиях безопасности. Двусторонний обмен между ИТ и ИБ системами с целью обеспечения отсутствия «белых пятен» покрытия;
- Антивирусные средства защиты;
- Системы контроля изменений межсетевых экранов;
- Системы контроля целостности данных;
- Системы защиты от фишинговых атак;
- Системы предотвращения вторжений (IPS);
- Системы анализа угроз;
- Системы хранения журналов событий;
- Системы обеспечения безопасности электронной почты;
- Сервис-деск системы;
- Сервера и рабочие станции;
- Служба каталогов;
- Внешние сервисы и системы (VirusTotal, UrlScan.io, FinCert, MXToolBox и др.);
- Службы мгновенных сообщений;
- Песочницы;
- Системы защиты конечных станций;
- SIEM системы;
4. Обеспечение обработки и управления данными на платформе;
5. Настройка глубины проверок достаточной для достоверного обеспечения уровня защиты, принятого в ФК «Открытие»;
6. Настройка витрин и отчетности платформы;
7. Тестирование системы с целью отработки сценариев реагирования и набора Базы знаний;
8. Целевые рекомендации по технологическому совершенствованию в следующих вопросах:
- Расширение области покрытия IRP-системы на множество систем защиты Финансовой Корпорации.
- Задачи, связанные с подключением и аналитикой безопасности в системах обработки BigData с модулем семантического анализа инцидентов, содержащим модель машинного обучения.
- Автоматизация взаимодействия с регуляторами, обеспечение полного жизненного цикла во взаимодействии с FinCERT (АСОИ, Фид-АнтиФрод).
- Переход к вопросам Auto-Compliance на базе внедренных инструментов IRP, автоматизация соответствия важнейшим в финансовой отрасли нормативам и стандартам. Например, автосоответствие финансовым Стандартам ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.
- География проекта
Инфраструктура ФК «Открытие» на всей территории РФ.
- Дополнительные презентации:
- Security Vision IRP.pdfСхема взаимодействий с Security Vision.pdf
