«Солар»: в 2024 году хакеры в 3 раза чаще использовали скомпрометированные учетные записи
Узнать больше
Компания Solar Security сообщает, что подключила инфраструктуру Тинькофф Банка к услуге круглосуточного мониторинга и реагирования на инциденты кибербезопасности Solar JSOC.
Первоначально мониторингом инцидентов Тинькофф Банк занимался самостоятельно, для этого была приобретена SIEM-система HP ArcSight, настроена собственная логика корреляционных правил для обнаружения инцидентов. В связи со стремительным ростом бизнеса специалистами банка было принято решение о привлечении дополнительных ресурсов для осуществления непрерывной аналитики новых векторов угроз, мониторинга инцидентов в режиме реального времени, постоянной работы с SIEM по разработке новых правил, дэшбордов, отчетов и написания коннекторов для подключения новых систем.
Компанию-подрядчика привлекли по гибридной схеме, когда аутсорсер использует уже внедренную в банке систему HP ArcSight. Для реализации такой модели взаимодействия после проведения пилотного проекта и технико-экономического обоснования был выбран Solar JSOC – первый российский коммерческий центр мониторинга, выявления и реагирования на инциденты компании Solar Security.
«Для финансовой компании, которая обслуживает клиентов в режиме 24/7, информационная безопасность – один из ключевых приоритетов. Круглосуточный мониторинг инцидентов и реагирование на них – это критичные процессы для онлайн-банкинга, а значит, и для бизнеса. Поэтому мы приняли решение о сотрудничестве с Solar JSOC по данному направлению», – прокомментировал Станислав Павлунин, вице-президент по безопасности Тинькофф Банка.
В рамках подключения перед специалистами Solar JSOC ставились задачи по существенному расширению логики обнаружения инцидентов среди уже подключенных к SIEM источников событий информационной безопасности. Был определен список систем, которые необходимо было подключить к мониторингу и предоставить новые правила под них. Основной задачей стал непрерывный мониторинг и анализ происходящего в инфраструктуре банка с точки зрения кибербезопасности.
Запуск услуг Solar JSOC проводился в несколько этапов. Так как банк долгое время вел работы по наполнению HP ArcSight собственными правилами и отчетами, было важно сохранить полученные результаты, поэтому на первом этапе был проведен анализ SIEM-системы и установлен новый контент без нарушения работы накопленной логики. Далее шло профилирование и адаптация сценариев обнаружения инцидентов Solar JSOC под подключенную инфраструктуру и принятую в Банке за норму работу сервисов, систем и пользователей. На третьем этапе состоялось подключение SIEM-системы банка к дежурным линиям Solar JSOC для обеспечения круглосуточного мониторинга и реагирования на инциденты. После ввода в эксплуатацию специалисты Solar JSOC приступили к непосредственному оказанию услуги с регулярным обновлением и адаптацией правил, написанием логики под новые подключаемые источники и мониторингом работоспособности ПО и оборудования SIEM, которое по-прежнему находится на администрировании у специалистов банка.
При реализации гибридной модели аутсорсинга банк достиг развития наиболее важных функций собственного SOC. В результате подключения к Solar JSOC был существенно расширен перечень сценариев обнаружения инцидентов, минимизировано количество ложных оповещений, введен регламент взаимодействия в случае обнаружения инцидентов и проработан roadmap подключения новых источников инфраструктуры и бизнес-приложений.
«Команда информационной безопасности Тинькофф Банка – настоящие профессионалы своего дела. В банке на протяжении нескольких лет эффективно работала система мониторинга. Поэтому при обсуждении технических деталей подключения HP ArcSight, развернутого в банке, к Solar JSOC, стало понятно, что «со своим уставом» к ним приходить не нужно, – отметил руководитель направления аутсорсинга информационной безопасности Solar Security Эльман Бейбутов. – Для того чтобы реализовать подключение, нам потребовалось решить две ключевые задачи: уже во время пилота показать эффективность наших методик выявления инцидентов и предложить схему совместной работы администраторов ArcSight со стороны банка и Solar JSOC».
