
Solar JSOC: сервисы ИБ для бизнеса
Сервисы Solar JSOC
Оценка эффективности работы SOC является очень серьезным вызовом даже для компаний с высоким уровнем зрелости в сфере информационной безопасности. Перевести огромный объем технической информации в понятные руководству ИБ и бизнесу показатели и отчеты, обосновать эффективность и целесообразность работы SOC, а также спрогнозировать развитие безопасности исходя из данных реальных атак – все эти задачи могут быть решены при помощи аналитических сервисов Solar JSOC.

Онлайн-система для анализа и визуализации состояния защищенности информационных систем, подключенных к Solar JSOC. JSOC Security Dashboard позволяет каждому клиенту Solar JSOC в рамках «единого окна» получать персонифицированную информацию с основными обобщенными показателями состояния информационной безопасности в компании в режиме реального времени в требуемых клиенту разрезах:

Работы по аудиту и анализу текущей формы отчетности, предоставляемой SOC/центром ГосСОПКА, разработка рекомендаций по адаптации процессов сбора отчетности и созданию интеллектуальных и визуальных отчетных форм, позволяющих демонстрировать эффективность результатов как ИБ-руководству компании, так и бизнесу.
Одной из самых ресурсоемких задач в функционировании ИБ является задача мониторинга и управления инцидентами. Существенный штат для обеспечения режима 24*7, редкая и очень дорогая экспертиза аналитиков инцидентов, техническая сложность эксплуатации платформ SIEM – все это мотивирует компании к переходу на сервисную модель с привлечением ресурсов и глубокой экспертизы сервис-провайдера

Регулярные работы аналитика JSOC по анализу статистических срезов данных по собираемым системам, выявлению фактических инцидентов или их признаков, предоставление информации Заказчику.

Сбор журнальных файлов с ключевых систем инфраструктуры, средств защиты и сетевого оборудования, а также хранение в независимой, недоступной для изменения внутренними сотрудниками инфраструктуре. Данные, собираемые в рамках услуги, могут использоваться как в регулярной аналитике/отчетности по ключевым параметрам инфраструктуры, так и в рамках расследования внешнего инцидента или внутреннего нарушения.

Централизованный сбор, корреляция и анализ событий информационной безопасности с множества подключенных к Solar JSOC источников, таких как системы ИБ, ИТ-сервисы, рабочие станции привилегированных сотрудников, а также сервера СУБД и приложений. Мониторинг инцидентов и реагирование осуществляется в режиме 24х7 в соответствии с принятыми SLA. Мониторинг инцидентов ведется как в базовой инфраструктуре, так и на уровне пользователей с использованием сведений о выявленных целевых атаках и zero-day киберугрозах. В том числе возможно подключение к мониторингу бизнес-приложений и технологических систем с разработкой специализированных сценариев по выявлению инцидентов и аномалий в круглосуточном режиме.
Выявление и закрытие уязвимостей ключевых систем, проверка соответствия рабочих станций и серверов корпоративным политикам информационной безопасности на сегодняшний день стали одними из ключевых потребностей многих компаний. При этом обработка сотен страниц отчета автоматизированных систем и определение тех 20% уязвимостей, закрытие которых принесет 80% безопасности – непростая аналитическая задача, требующая специфичной экспертизы. Такая экспертиза накоплена в Solar JSOC на основании опыта эксплуатации средств защиты у десятков Заказчиков и может быть передана компании в модели услуги

АНАЛИЗ ЗАЩИЩЕННОСТИ ВНЕШНЕГО ПЕРИМЕТРА И ВЕБ-СЕРВИСОВ, СОПРОВОЖДЕНИЕ УСТРАНЕНИЯ УЯЗВИМОСТЕЙ, ПОДТВЕРЖДЕНИЕ ИХ АКТУАЛЬНОСТИ И РЕКОМЕНДАЦИИ ПО ЗАКРЫТИЮ
Аудит защищенности ИТ-инфраструктуры организации от внешних атак, оценка критичности и возможности эксплуатации выявленных уязвимостей, а также выработка рекомендаций по их ликвидации.
Отчет по результатам работы содержит информацию об изменении периметра сети Заказчика (новые запущенные сервисы), общую оценку уровня защищенности корпоративной сети от внешних атак, подробное описание обнаруженных уязвимостей, а также рекомендации по ликвидации уязвимостей и совершенствованию защиты.
Анализ защищенности внутренней инфраструктуры, сопровождение устранения уязвимостей, подтверждение актуальности и рекомендации по их закрытию
Выявление существующих уязвимостей в сервисах компании путем инструментального анализа.
Обработка всего реестра выявленных уязвимостей, его приоритизация, исходя из инфраструктурных особенностей клиента, критичности конкретной системы, используемых средств защиты, политик безопасности и компенсирующих мер, снижающих общую критичность уязвимости.
Административно-технический контроль и формирование конечных рекомендаций для ИТ-специалистов по устранению наиболее критичных и актуальных уязвимостей.
Контроль устранения уязвимостей, включая разработку компенсирующих мер совместно с ИТ.
Инструментальное сканирование инфраструктуры на наличие IoC (индикаторов компрометации)
Сканирование инфраструктуры для выявления тел или следов работы вредоносного ПО, не детектируемого антивирусными средствами, по факту появления информации о нем у Solar JSOC или его технологических партнеров. В рамках услуги используются данные, полученные путем информационного обмена и сотрудничества с ведущими CERT, аналитическими центрами киберугроз и антивирусными лабораториями. Услуга может предоставляться как однократно, так и многократно с заданным периодом.

Выявление существующих ошибок безопасного конфигурирования устройств, ОС и сетевого оборудования путем инструментального сканирования. Административно-технический контроль и формирование конечных рекомендаций для ИТ-специалистов по устранению наиболее критичных и актуальных уязвимостей. Услуга может предоставляться как однократно, так и многократно с заданным периодом.
Зачастую для оценки состояния информационной безопасности, качества реализованных мероприятий, настройки средств защиты или функционирования процессов компании нужен сторонний взгляд, который сможет беспристрастно оценить фактический уровень защищенности и выработать рекомендации по улучшению. Богатый накопленный опыт Solar JSOC по обеспечению операционной безопасности клиентов нашел отражение в разовых сервисах по аудиту состояния ИБ.

Кратковременное подключение ИТ-инфраструктуры Заказчика к мониторингу Solar JSOC с целью оценки соответствия внутренним политикам ИБ и нормам гигиены ИБ через фактические инциденты или технические данные инфраструктуры. Определение актуальности настройки и эффективности использования используемых средств защиты (включая ручной анализ конфигураций), выдача агреггированного отчета по согласованному профилю анализа.

Услуга подразумевает оценку текущего состояния (элементов) информационной безопасности организации, необходимых для выполнения функций SOC (процессы, люди и технологии), и выработку рекомендаций по их совершенствованию, согласно следующему плану:

Выполнение комплекса работ по имитации действий потенциального злоумышленника, нацеленного на компрометацию инфраструктуры, для выявления уязвимостей и недочетов в реализованной системе информационной безопасности.
Анализ произошедшего инцидента ИБ:
Эксплуатация систем информационной безопасности, установленных «в разрыв», всегда является сложной задачей для служб информационной безопасности, учитывая ограниченный штат сотрудников и невозможность обеспечить SLA, требуемые для систем класса business и mission critical. В таком случае существенно целесообразнее воспользоваться круглосуточной экспертной командой Solar JSOC для сопровождения данных систем.

Обеспечение необходимых гарантированных показателей работоспособности системы в режиме 24х7. Администрирование политик и конфигурации системы. Сопровождение и проведение обновлений. Плановое администрирование и удаленная профилактика. Оперативная настройка сигнатур под блокирование новых типов web-/DDoS-атак или изменение структуры веб-приложений клиента при минимальной вовлеченности внутренних специалистов дает возможность противостоять угрозам на ранних этапах.

Сервис эксплуатации сетевых систем безопасности как дополнение к сервисам мониторинга JSOC позволяет оперативно заблокировать/противодействовать выявленной и развивающейся атаке в круглосуточном режиме, обеспечив минимизацию ущерба в кратчайшие сроки, и оперативно адаптировать существующие политики средств защиты для минимизации реализации векторов атак, известных аналитикам JSOC и их технологическим партнерам.
Построение центра ГосСОПКА подразумевает выполнение ряда задач – от классического управления инцидентами информационной безопасности до более специфических требований по анализу защищенности и подключению к вышестоящему центру ГосСОПКА. Solar JSOC обладает опытом решения таких задач и в рамках сервисной модели может гибко адаптировать услугу под изменение законодательных или рекомендательных актов, сохранив для клиента требуемый уровень соответствия федеральному закону.

В рамках сервиса по анализу угроз центра выполняются работы:

В рамках сервиса выполняются работы:
Зачастую для решения задачи SOC или центра ГосСОПКА крупные компании выбирают подход с самостоятельным построением в рамках классического интеграционного проекта, состоящего из обследования, проектирования, внедрения и промышленной эксплуатации с привлечением ресурсов интеграторов и консультантов. Для повышения эффективности такого проекта Solar JSOC предлагает свой подход, который комбинирует классическую интеграцию и сервисную модель, позволяя сократить сроки получения первого результата и повышая качество итогового реализованного проекта.

В рамках услуги проводятся работы по инвентаризации ресурсов и систем Заказчика, а также выработке рекомендаций по построению SOC, которые включают:
- Аудит и инвентаризация ИТ-ландшафта.
- Оценка применимости существующих систем и технологий в ситуационном центре с учетом методических рекомендаций по построению и эксплуатации ведомственных и корпоративных центров ГосСОПКА и/или лучших мировых практик.
- Оценка существующих процессов информационной безопасности на соответствие методическим рекомендациям по построению и эксплуатации ведомственных и корпоративных центров ГосСОПКА и/или лучшим мировым практикам.
- Разработка концепции SOC/центра ГосСОПКА, включающую в себя:
- Общую архитектуру центра;
- Список используемых систем и технологий;
- Верхнеуровневую организационно-штатную структуру центра.
- Определение этапности запуска SOC/центра ГосСОПКА, включая:
- Приобретаемые или модернизируемые технологии и системы;
- Этапность подключения систем компании к SOC;
- Определение структуры и требуемых компетенций внутренних специалистов и внешних подрядчиков, привлекаемых к реализации задач ситуационного центра.

В рамках данной услуги проводится оценка текущего состояния процесса реагирования на инциденты, разработка общей модели и документирование процедуры реагирования на инциденты информационной безопасности, в том числе:

В рамках данной услуги проводится инструктаж и обучение специалистов заказчика по специализированной внутренней программе подготовки специалистов 1-й и 2-й линии мониторинга и реагирования Solar JSOC для обеспечения быстрого погружения специалистов в функциональные задачи и обеспечения качества их работы.

Услуга предоставляется клиентам Solar JSOC, воспользовавшимся сервисами по построению SOC, как консультационная помощь в поддержании актуальности сценариев по выявлению инцидентов и профиля защиты, обеспечиваемого SOC, относительно новых современных угроз.

Solar JSOC
на инциденты кибербезопасности в России
Первыми получайте новости о наших продуктах на свой e-mail.