Центр мониторинга и реагирования GIS. Запущен SOC компании "Газинформсервис"
Редакция журнала "Информационная безопасность", 31/05/24
Компания “Газинформсервис" в этом году отмечает 20 лет с момента основания и является одним из крупнейших вендоров на рынке информационной безопасности России. 24 мая в Лужниках компания сообщила о запуске собственного коммерческого SOC. Анонс нового центра мониторинга провел заместитель генерального директора, технический директор компании “Газинформсервис" Николай Нашивочников.
Появление Центра мониторинга и реагирования в структуре "Газинформсервиса" – логичный и ожидаемый этап развития сервисов компании: за годы работы накоплена огромная экспертиза, запущен масштабный центр компетенций для мониторинга событий. Но решающую роль в вопросе создания коммерческого SOC сыграл запрос от заказчиков на аутсорсинг ИБ: понимание требований к качеству процессов и квалификации специалистов позволили им преодолеть избыточную осторожность в вопросах предоставления доступа к своей инфраструктуре и чувствительным данным.
SOC. Надежно
Технологический стек Центра мониторинга и реагирования "Газинформсервис" включает SIEM, IRP/SOAR, а также UEBA, PAM, Asset Management, Vulnerability Management и EDR. Принципиально решено не использовать в стеке слабоинтегрируемые и сырые продукты: надежность поставлена во главу угла. Отдельно стоит отметить применение слоя поведенческой аналитики в дополнение к традиционному SIEM. Такое технологическое решение позволит более качественно и эффективно выявлять закономерности, давать корректные прогнозы и, как следствие, более надежно выявлять инциденты. Наборы обучающих данных для поведенческой аналитики накоплены аналитиками компании "Газинформсервис" за годы работы.
Весь набор ИБ-решений позволяет компании уже сейчас полноценно оказывать следующие услуги:
- контроль ИТ-активов – сбор и поддержание в актуальном состоянии инвентаризационной информации об активах, сетях и сервисах, определение их взаимозависимостей и критичности;
- управление уязвимостями – сканирование инфраструктуры на предмет наличия известных уязвимостей, приоритизация, информирование, предоставление рекомендаций по устранению и контроль устранения;
- мониторинг событий безопасности – централизованный сбор, обработка, анализ и хранение данных от источников автоматическое выявление потенциальных инцидентов и оповещение персонала SOC;
- анализ и обработка инцидентов – анализ информации о потенциальных инцидентах и проверка их состоятельности для своевременного подтверждения инцидентов, обогащение дополнительными сведениями о затронутых активах и источниках возникновения, характере воздействия, возможных негативных последствиях, приоритизация и т.д.;
- реагирование на инциденты – выполнение действий по локализации подтвержденного инцидента, снижение негативных последствий, вытеснение злоумышленника из инфраструктуры и восстановление штатного режима работы.
В планах компании – за счет расширения команды аналитиков добавить новые качества к SOC:
- киберразведку – определение ландшафта киберугроз, ретроспективный анализ;
- подключение к полигону АЦКБ;
- форензика, углубленное расследование;
- устранение последствий инцидентов и многое другое.
Стратегический подход, разработка и подготовка комплексных решений, тренировки и участие команды в профессиональных соревнованиях – это то, что заложено в фундамент SOC "Газинформсервиса". К слову, у компании есть своя лаборатория искусственного интеллекта и масштабные наработки в этой области. Но все же в компании не склонны переоценивать значимость новых технологий, и применение ИИ в Центре мониторинга и реагирования GIS пока будет ограничено задачами, связанными с повышением эффективности детектирования инцидентов.
Прямой доступ к большому количеству информации о киберинцидентах подразумевает наличие собственной аналитики, поэтому Аналитический центр кибербезопасности "Газинформсервиса" наращивает мощность и недавно выпустил свой первый публичный отчет [1], посвященный утечкам данных. Аналитический центр был создан в феврале этого года, он активно развивается, и в этом году будут выпущены еще несколько аналитических отчетов.
Для проверки качества работы и защищенности SOC проводятся регулярные тестирования, в том числе и с участием собственной команды "редтим".
И о проблемах. У нового SOC есть и команда, и процессы, и технологии, но пока нет названия. В связи с этим компания "Газинформсервис" объявила конкурс на его выбор, все подробности можно узнать на специальном сайте [2].