Центр мониторинга и реагирования GIS. Запущен SOC компании "Газинформсервис"

Компания “Газинформсервис" в этом году отмечает 20 лет с момента основания и является одним из крупнейших вендоров на рынке информационной безопасности России. 24 мая в Лужниках компания сообщила о запуске собственного коммерческого SOC. Анонс нового центра мониторинга провел заместитель генерального директора, технический директор компании “Газинформсервис" Николай Нашивочников.

Появление Центра мониторинга и реагирования в структуре "Газинформсервиса" – логичный и ожидаемый этап развития сервисов компании: за годы работы накоплена огромная экспертиза, запущен масштабный центр компетенций для мониторинга событий. Но решающую роль в вопросе создания коммерческого SOC сыграл запрос от заказчиков на аутсорсинг ИБ: понимание требований к качеству процессов и квалификации специалистов позволили им преодолеть избыточную осторожность в вопросах предоставления доступа к своей инфраструктуре и чувствительным данным.

SOC. Надежно

Технологический стек Центра мониторинга и реагирования "Газинформсервис" включает SIEM, IRP/SOAR, а также UEBA, PAM, Asset Management, Vulnerability Management и EDR. Принципиально решено не использовать в стеке слабоинтегрируемые и сырые продукты: надежность поставлена во главу угла. Отдельно стоит отметить применение слоя поведенческой аналитики в дополнение к традиционному SIEM. Такое технологическое решение позволит более качественно и эффективно выявлять закономерности, давать корректные прогнозы и, как следствие, более надежно выявлять инциденты. Наборы обучающих данных для поведенческой аналитики накоплены аналитиками компании "Газинформсервис" за годы работы.

Весь набор ИБ-решений позволяет компании уже сейчас полноценно оказывать следующие услуги:

• контроль ИТ-активов – сбор и поддержание в актуальном состоянии инвентаризационной информации об активах, сетях и сервисах, определение их взаимозависимостей и критичности;
• управление уязвимостями – сканирование инфраструктуры на предмет наличия известных уязвимостей, приоритизация, информирование, предоставление рекомендаций по устранению и контроль устранения;
• мониторинг событий безопасности – централизованный сбор, обработка, анализ и хранение данных от источников автоматическое выявление потенциальных инцидентов и оповещение персонала SOC;
• анализ и обработка инцидентов – анализ информации о потенциальных инцидентах и проверка их состоятельности для своевременного подтверждения инцидентов, обогащение дополнительными сведениями о затронутых активах и источниках возникновения, характере воздействия, возможных негативных последствиях, приоритизация и т.д.;
• реагирование на инциденты – выполнение действий по локализации подтвержденного инцидента, снижение негативных последствий, вытеснение злоумышленника из инфраструктуры и восстановление штатного режима работы.

В планах компании – за счет расширения команды аналитиков добавить новые качества к SOC:

• киберразведку – определение ландшафта киберугроз, ретроспективный анализ;
• подключение к полигону АЦКБ;
• форензика, углубленное расследование;
• устранение последствий инцидентов и многое другое.

Стратегический подход, разработка и подготовка комплексных решений, тренировки и участие команды в профессиональных соревнованиях – это то, что заложено в фундамент SOC "Газинформсервиса". К слову, у компании есть своя лаборатория искусственного интеллекта и масштабные наработки в этой области. Но все же в компании не склонны переоценивать значимость новых технологий, и применение ИИ в Центре мониторинга и реагирования GIS пока будет ограничено задачами, связанными с повышением эффективности детектирования инцидентов.

Прямой доступ к большому количеству информации о киберинцидентах подразумевает наличие собственной аналитики, поэтому Аналитический центр кибербезопасности "Газинформсервиса" наращивает мощность и недавно выпустил свой первый публичный отчет [1], посвященный утечкам данных. Аналитический центр был создан в феврале этого года, он активно развивается, и в этом году будут выпущены еще несколько аналитических отчетов.

Для проверки качества работы и защищенности SOC проводятся регулярные тестирования, в том числе и с участием собственной команды "редтим".
И о проблемах. У нового SOC есть и команда, и процессы, и технологии, но пока нет названия. В связи с этим компания "Газинформсервис" объявила конкурс на его выбор, все подробности можно узнать на специальном сайте [2].