Бизнес из разных сфер все чаще подвергается хакерским атакам. Предотвратить их и обеспечить безопасность ИТ-инфраструктуры призваны Security Operation Center (SOC) — центры мониторинга и реагирования на инциденты информационной безопасности, специалисты которых выявляют и устраняют уязвимости и киберугрозы.
24 мая в Лужниках «Газинформсервис» представил свой коммерческий SOC. Технический директор компании Николай Нашивочников рассказал о проекте и поделился планами по его развитию.
Кибербезопасность на аутсорсинге
Использование услуг Security Operation Center, которые позволяют выявлять и своевременно реагировать на кибератаки, — необходимость для современных крупных компаний. Однако для построения собственного центра требуется отдельный штат обученных специалистов и мощная инфраструктура, способная круглосуточно обрабатывать объемные массивы данных. И, если таких возможностей нет, киберзащиту можно доверить сторонним организациям.
«Газинформсервис» — один из лидеров российского рынка информационной безопасности — 24 мая в Москве анонсировал создание коммерческого SOC, который предоставляет услуги по комплексной защите сетевой инфраструктуры в режиме 24/7 от разного рода киберугроз. Подключение к центру происходит оперативно, и для этого клиенту не нужно покупать дополнительное оборудование и ПО. Предварительно аналитики компании изучают уровень защищенности систем заказчика, выявляются слабые места и предлагают план по повышению уровня безопасности.
Запрос на безопасность
Острая потребность в аутсорсинге информационной безопасности у российских компаний возникла после 2022 года, когда ситуация неопределенности вынудила бизнес сокращать затраты и оптимизировать процессы. Получив запрос от клиентов на аутсорсинг ИБ, «Газинформсервис» начал работу по запуску коммерческого SOC, хотя перспективность направления компания увидела давно. От принятия решения до старта проекта прошел год.
Надежность — во главе
На текущий момент архитектура центра мониторинга и реагирования «Газинформсервиса» включает такие элементы, как:
- IRP/SOAR (Incident Response Platform/Security Orchestration, Automation and Response) — автоматизированные решения для реагирования на инциденты безопасности;
- User and Entity Behavior Analytics (UEBA) — системы безопасности поведенческого анализа пользователей;
- SIEM (Security information and event management) — решения для сбора и анализа информации о событиях безопасности;
- Privileged Access Management (PAM) — решения для обнаружения и предотвращения несанкционированного привилегированного доступа к критически важным ресурсам;
- EDR (Endpoint Detection and Response) — решения для обнаружения и изучения вредоносной активности на конечных точках (компьютерных аппаратных устройствах).
Все это позволяет SOC полноценно оказывать услуги в пяти направлениях — от контроля информационных активов до управления уязвимостями и реагирования на инциденты. Также активно ведется работа по внедрению в архитектуру центра новых решений, благодаря чему компания сможет расширить перечень услуг, повысить эффективность и скорость выявления и устранения атак и инцидентов.
Что касается эффективности и надежности, то «Газинформсервис» идет в ногу со временем и готов делегировать ИИ рутинные задачи, в частности детектирование киберугроз. У компании есть отдельная лаборатория, где изучают и тестируют возможности применения ИИ в информационной безопасности.
Отказ от SIEM «из коробки»
Продукты класса SIEM лежат в основе работы любого SOC, они позволяют ИБ-специалистам выявлять и расследовать как простые, так и сложные атаки. Однако в SIEM из «коробки» есть нюансы: работу продукта нужно тщательно настраивать под нужды заказчиков, что и сделали в «Газинформсервисе». В своем SOC компания использует продукт собственной разработки Ankey SIEM NG.
Поведенческая аналитика в помощь SIEM
Для качественного детектирования инфраструктуры недостаточно SIEM, поэтому в SOC «Газинформсервиса» традиционные средства защиты дополняет платформа Ankey ASAP (Advanced Security Analytics Platform) — программный комплекс расширенной аналитики событий и инцидентов информационной безопасности с функциями поведенческой аналитики.
В отличие от SIEM, Ankey ASAP позволяет в несколько раз быстрее анализировать инциденты и принимать решения по ним. Кроме того, платформа способна выявлять такие коварные атаки, как LotL (Living off the Land). Это атака, при которой злоумышленник использует легитимные средства администрирования для выполнения вредоносных действий. Из-за этого подобную атаку невозможно обнаружить никакими средствами защиты, кроме основанных на поведенческом анализе.
Планы на 2024 год
В дорожной карте SOC «Газинформсервиса» до октября 2024 года обозначены такие цели, как:
- расширение команды аналитиков и аналитиков угроз;
- запуск услуги «Киберразведка» — определение ландшафта киберугроз, ретроспективный анализ;
- усовершенствование киберполигона — платформы для проведения разного рода учений ИБ-специалистов;
- развитие форензики — направления по расследованию киберпреступлений.
Также компания планирует активно делиться с рынком аналитическими отчетами и исследованиями по теме информационной безопасности.
Конкурс
Еще одна цель в дорожной карте SOC «Газинформсервиса» — выбор его названия. Для этого компания запустила конкурс, предложить свой вариант можно до 10 июля. Победитель станет известен в сентябре, он получит денежный приз в размере 250 тысяч рублей.
Реклама
ООО «Газинформсервис»
erid: F7NfYUJCUneLs1Zym4G5
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025