Внедрение аналитической платформы выявления и расследования инцидентов ISOC на основе технологии Big Data в SBI Bank.

Заказчик:

Эс-Би-Ай Банк ООО

Руководитель проекта со стороны заказчика

Роман Хитров

Начальник Управления информационной безопасности

Поставщик

Общество с ограниченной ответственностью "ИНФОСЕКЬЮРИТИ" (входит в ГК Softline)

Год завершения проекта

2019

Сроки выполнения проекта

Май, 2019 - Июль, 2019

Масштаб проекта

656 человеко-часов
300 автоматизированных рабочих мест

Цели

Основными целями реализации проекта стали:

Обеспечение комплексной защиты данных при увеличении числа розничных и корпоративных клиентов;
Качественное повышение защищенности критичных бизнес-процессов Банка за кратчайшие сроки;
Осуществление круглосуточного мониторинга, выявления и расследования инцидентов путем внедрения аналитической платформы и сервиса.

Уникальность проекта

В соответствии с требованиями регуляторов, Банк обязан хранить огромный объем данных, в связи с чем, поиск информации в подобных архивах занимает около 1 дня. Внедренная платформа ISOC благодаря использованию собственных разработок на базе технологий Big Data сократила время полной обработки запроса в архивном поиске до считанных минут.

Кроме того, средний срок реализации аналогичных проектов составляет около 1 года. Команде проекте удалось запустить и настроить все процессы за 2 месяца.

Использованное ПО

Используемые технологии больших данных – Apache Hadoop, HDFS, HIVE, Spark, Kafka, ElasticSearch, InfluxDB&Grafana.

Сложность реализации

Безусловно, одной из ключевых сложностей стали крайне сжатые сроки реализации проекта, которые осложнялись наличием у заказчика нетиповых программно-аппаратных источников событий, к которым было необходимо осуществить подключение.

Кроме того, на этапе промышленной эксплуатации, выяснилось, что один из российских производителей антивирусного ПО, ложно срабатывал на работу внедренной системы мониторинга с модулем автоматизированного реагирования (IRP). После разбора сложившейся ситуации и проведения переговоров с производителем ПО, команде проекта удалось определиться в чем причина подобных срабатываний и устранить их.

Описание проекта

SBI банк выбрал сотрудничество по модели SOC as a Service. Этот подход позволяет избежать капитальных расходов на дорогостоящее оборудование и высококвалифицированный персонал, обеспечивая при этом комплексную профессиональную защиту.
В отличие от других решений и сервисов, представленных на рынке, платформа ISOC не требует наличия у заказчика существующей SIEM или покупки специализированного ПО и оборудования, что значительно уменьшает стоимость реализации проекта с сохранением всех качественных и функциональных атрибутов.

Применение во внедренной платформе технологий Big Data позволяет обрабатывать в пике сотни тысяч событий в секунду и гибко масштабировать мощности в соответствии с величиной потока данных.

Проект можно разделить на 3 основных этапа:

Предварительный аудит;
Основной этап подключения и настройки платформы;
Запуск сервиса в промышленную эксплуатацию.

После определения основных требований к реализации проекта, команда приступили к сбору информации по источникам и контролям.

На первом этапе был осуществлен предварительный аудит всех источников событий ИБ, а также проработаны сценарии реагирования на инциденты. По результатам аудита, было установлено общего количество типовых систем, подключение которых не составит проблем, и список НЕ типовых источников, для которых потребуется разработка новых уникальных коннекторов.

Во время второго этапа происходило параллельное подключение платформы к типовым источникам информации и разработка новых контролей и соответствующих индивидуальных сценариев реагирования на инциденты, а также в рамках профилирования был согласован и доработан регламент реагирования и распределения, зон ответственности.

В общей сложности, за проект было реализовано около 40 различных контролей, и подключено около 90 типовых и не типовых критичных источников банка.

Для сокращения времени обработки выявляемых угроз команда Infosecurity дополнила существующую систему мониторинга модулями автоматизированного реагирования (IRP), реализующими сбор информации с целевого узла и обогащение атрибутов инцидента с использованием репутационных баз. Как результат, внедренная платформа ISOC, построенная на технологии Big Data, позволила горизонтально масштабироваться по количеству собираемых обрабатываемых событий до 100 000 и более событий в секунду.

На заключительном этапе происходил запуск сервиса в промышленную эксплуатацию. Заказчик протестировал все сценарии реагирования на инциденты на потоке реальных данных в режиме 24/7. При этом в соответствии с пожеланиями заказчика многие процессы были существенно адаптированы под требования существующей модели безопасности SBI Банк.

География проекта

Внедрение проекта происходило в Москве.