Ростелеком-Solar - Solar JSOC: сервисы ИБ для бизнеса

Solar JSOC: сервисы ИБ для бизнеса

Сервисы Solar JSOC

01
АНАЛИТИКА ДЛЯ БИЗНЕСА И ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЯ

Оценка эффективности работы SOC является очень серьезным вызовом даже для компаний с высоким уровнем зрелости в сфере информационной безопасности. Перевести огромный объем технической информации в понятные руководству ИБ и бизнесу показатели и отчеты, обосновать эффективность и целесообразность работы SOC, а также спрогнозировать развитие безопасности исходя из данных реальных атак – все эти задачи могут быть решены при помощи аналитических сервисов Solar JSOC.

JSOC SECURITY DASHBOARD

Онлайн-система для анализа и визуализации состояния защищенности информационных систем, подключенных к Solar JSOC. JSOC Security Dashboard позволяет каждому клиенту Solar JSOC в рамках «единого окна» получать персонифицированную информацию с основными обобщенными показателями состояния информационной безопасности в компании в режиме реального времени в требуемых клиенту разрезах:

1
Общая оценка уровня опасности и защищенности в рамках как компании, так и отрасли
2
Выявление бизнес-систем, наиболее подверженных атакам
3
Определение организационных подразделений, наиболее часто являющихся причинами инцидента
4
Оценка эффективности используемых в компании средств защиты и политик ИБ либо потребность в их появлении
5
Информация о выявляемых инцидентах и соблюдении SLA
Разработка системы отчетности для SOC/MSSP

Работы по аудиту и анализу текущей формы отчетности, предоставляемой SOC/центром ГосСОПКА, разработка рекомендаций по адаптации процессов сбора отчетности и созданию интеллектуальных и визуальных отчетных форм, позволяющих демонстрировать эффективность результатов как ИБ-руководству компании, так и бизнесу.

02
МОНИТОРИНГ И АНАЛИЗ ИНЦИДЕНТОВ

Одной из самых ресурсоемких задач в функционировании ИБ является задача мониторинга и управления инцидентами. Существенный штат для обеспечения режима 24*7, редкая и очень дорогая экспертиза аналитиков инцидентов, техническая сложность эксплуатации платформ SIEM – все это мотивирует компании к переходу на сервисную модель с привлечением ресурсов и глубокой экспертизы сервис-провайдера

Еженедельная аналитика по статистическим отчетам собранных событий

Регулярные работы аналитика JSOC по анализу статистических срезов данных по собираемым системам, выявлению фактических инцидентов или их признаков, предоставление информации Заказчику.

Сбор и хранение инцидентов для проведения расследования

Сбор журнальных файлов с ключевых систем инфраструктуры, средств защиты и сетевого оборудования, а также хранение в независимой, недоступной для изменения внутренними сотрудниками инфраструктуре. Данные, собираемые в рамках услуги, могут использоваться как в регулярной аналитике/отчетности по ключевым параметрам инфраструктуры, так и в рамках расследования внешнего инцидента или внутреннего нарушения.

Мониторинг и анализ инцидентов ИБ

Централизованный сбор, корреляция и анализ событий информационной безопасности с множества подключенных к Solar JSOC источников, таких как системы ИБ, ИТ-сервисы, рабочие станции привилегированных сотрудников, а также сервера СУБД и приложений. Мониторинг инцидентов и реагирование осуществляется в режиме 24х7 в соответствии с принятыми SLA. Мониторинг инцидентов ведется как в базовой инфраструктуре, так и на уровне пользователей с использованием сведений о выявленных целевых атаках и zero-day киберугрозах. В том числе возможно подключение к мониторингу бизнес-приложений и технологических систем с разработкой специализированных сценариев по выявлению инцидентов и аномалий в круглосуточном режиме.

03
КОНТРОЛЬ ЗАЩИЩЕННОСТИ

Выявление и закрытие уязвимостей ключевых систем, проверка соответствия рабочих станций и серверов корпоративным политикам информационной безопасности на сегодняшний день стали одними из ключевых потребностей многих компаний. При этом обработка сотен страниц отчета автоматизированных систем и определение тех 20% уязвимостей, закрытие которых принесет 80% безопасности – непростая аналитическая задача, требующая специфичной экспертизы. Такая экспертиза накоплена в Solar JSOC на основании опыта эксплуатации средств защиты у десятков Заказчиков и может быть передана компании в модели услуги

Управление уязвимостями инфраструктуры

АНАЛИЗ ЗАЩИЩЕННОСТИ ВНЕШНЕГО ПЕРИМЕТРА И ВЕБ-СЕРВИСОВ, СОПРОВОЖДЕНИЕ УСТРАНЕНИЯ УЯЗВИМОСТЕЙ, ПОДТВЕРЖДЕНИЕ ИХ АКТУАЛЬНОСТИ И РЕКОМЕНДАЦИИ ПО ЗАКРЫТИЮ

Аудит защищенности ИТ-инфраструктуры организации от внешних атак, оценка критичности и возможности эксплуатации выявленных уязвимостей, а также выработка рекомендаций по их ликвидации.

Отчет по результатам работы содержит информацию об изменении периметра сети Заказчика (новые запущенные сервисы), общую оценку уровня защищенности корпоративной сети от внешних атак, подробное описание обнаруженных уязвимостей, а также рекомендации по ликвидации уязвимостей и совершенствованию защиты.

Анализ защищенности внутренней инфраструктуры, сопровождение устранения уязвимостей, подтверждение актуальности и рекомендации по их закрытию

Выявление существующих уязвимостей в сервисах компании путем инструментального анализа.

Обработка всего реестра выявленных уязвимостей, его приоритизация, исходя из инфраструктурных особенностей клиента, критичности конкретной системы, используемых средств защиты, политик безопасности и компенсирующих мер, снижающих общую критичность уязвимости.

Административно-технический контроль и формирование конечных рекомендаций для ИТ-специалистов по устранению наиболее критичных и актуальных уязвимостей.

Контроль устранения уязвимостей, включая разработку компенсирующих мер совместно с ИТ.

Инструментальное сканирование инфраструктуры на наличие IoC (индикаторов компрометации)

Сканирование инфраструктуры для выявления тел или следов работы вредоносного ПО, не детектируемого антивирусными средствами, по факту появления информации о нем у Solar JSOC или его технологических партнеров. В рамках услуги используются данные, полученные путем информационного обмена и сотрудничества с ведущими CERT, аналитическими центрами киберугроз и антивирусными лабораториями. Услуга может предоставляться как однократно, так и многократно с заданным периодом.

Анализ безопасности используемых политик ОС и оборудования, безопасности конфигурация сетевого оборудования

Выявление существующих ошибок безопасного конфигурирования устройств, ОС и сетевого оборудования путем инструментального сканирования. Административно-технический контроль и формирование конечных рекомендаций для ИТ-специалистов по устранению наиболее критичных и актуальных уязвимостей. Услуга может предоставляться как однократно, так и многократно с заданным периодом.

04
АУДИТ СОСТОЯНИЯ ИБ

Зачастую для оценки состояния информационной безопасности, качества реализованных мероприятий, настройки средств защиты или функционирования процессов компании нужен сторонний взгляд, который сможет беспристрастно оценить фактический уровень защищенности и выработать рекомендации по улучшению. Богатый накопленный опыт Solar JSOC по обеспечению операционной безопасности клиентов нашел отражение в разовых сервисах по аудиту состояния ИБ.

Практический аудит безопасности методом временного подключения сервиса мониторинга и анализа инцидентов

Кратковременное подключение ИТ-инфраструктуры Заказчика к мониторингу Solar JSOC с целью оценки соответствия внутренним политикам ИБ и нормам гигиены ИБ через фактические инциденты или технические данные инфраструктуры. Определение актуальности настройки и эффективности использования используемых средств защиты (включая ручной анализ конфигураций), выдача агреггированного отчета по согласованному профилю анализа.

Аудит эффективности и полноты функционирования SOC или MSSP

Услуга подразумевает оценку текущего состояния (элементов) информационной безопасности организации, необходимых для выполнения функций SOC (процессы, люди и технологии), и выработку рекомендаций по их совершенствованию, согласно следующему плану:

1
Анализ документации, регламентирующей требования и процедуры по информационной безопасности и управлению ИТ, отчетных документов по системе информационной безопасности;
2
Интервьюирование и анкетирование сотрудников организации, ответственных за управление и обеспечение информационной безопасности;
3
Изучение общего перечня средств мониторинга и защиты информации, используемых в организации, организационно-штатной структуры и подразделений, выявление приоритетных с точки зрения обеспечения информационной безопасности векторов развития технологий, экспертизы и процессов.
4
Выработка рекомендаций по совершенствованию инструментария, персонала и его квалификации, и процессов SOC
Тесты на проникновение

Выполнение комплекса работ по имитации действий потенциального злоумышленника, нацеленного на компрометацию инфраструктуры, для выявления уязвимостей и недочетов в реализованной системе информационной безопасности.

05
ТЕХНИЧЕСКОЕ РАССЛЕДОВАНИЕ ИНЦИДЕНТОВ, ПОДГОТОВКА АНАЛИТИЧЕСКИХ ОТЧЕТОВ ПО РЕЗУЛЬТАТАМ

Анализ произошедшего инцидента ИБ:

1
Сбор информации, необходимой для анализа инцидента, с серверов, рабочих станций и сетевого оборудования на отчуждаемые носители и внешние системы обработки.
2
Анализ собранной информации (включая анализ жестких дисков и дампов операционной памяти, а также reverse-анализ выявленного вредоносного ПО), формирование экспертного заключения о факте произошедшего инцидента. Обеспечение целостности информации, подтверждающей факт произошедшего инцидента.
3
Формирование выводов о причине инцидента, его импакто и сопутствующих рисках компании.
4
Формирование рекомендаций для блокирования развития инцидента и снижения рисков его повторения.
06
ЭКСПЛУАТАЦИЯ СИСТЕМ ИБ И РЕАГИРОВАНИЕ НА АТАКИ

Эксплуатация систем информационной безопасности, установленных «в разрыв», всегда является сложной задачей для служб информационной безопасности, учитывая ограниченный штат сотрудников и невозможность обеспечить SLA, требуемые для систем класса business и mission critical. В таком случае существенно целесообразнее воспользоваться круглосуточной экспертной командой Solar JSOC для сопровождения данных систем.

Защита внешних сервисов, включая эксплуатацию систем защиты веб-приложений и решений класса anti-DDoS

Обеспечение необходимых гарантированных показателей работоспособности системы в режиме 24х7. Администрирование политик и конфигурации системы. Сопровождение и проведение обновлений. Плановое администрирование и удаленная профилактика. Оперативная настройка сигнатур под блокирование новых типов web-/DDoS-атак или изменение структуры веб-приложений клиента при минимальной вовлеченности внутренних специалистов дает возможность противостоять угрозам на ранних этапах.

Эксплуатация инфраструктурных средств защиты информации – сетевых систем безопасности (FW, IPS, Threat Intelligence Solutions , NGFW), прокси-серверов и систем контентной фильтрации трафика

Сервис эксплуатации сетевых систем безопасности как дополнение к сервисам мониторинга JSOC позволяет оперативно заблокировать/противодействовать выявленной и развивающейся атаке в круглосуточном режиме, обеспечив минимизацию ущерба в кратчайшие сроки, и оперативно адаптировать существующие политики средств защиты для минимизации реализации векторов атак, известных аналитикам JSOC и их технологическим партнерам.

07
АНАЛИЗ УГРОЗ ЦЕНТРА ГосСОПКА

Построение центра ГосСОПКА подразумевает выполнение ряда задач – от классического управления инцидентами информационной безопасности до более специфических требований по анализу защищенности и подключению к вышестоящему центру ГосСОПКА. Solar JSOC обладает опытом решения таких задач и в рамках сервисной модели может гибко адаптировать услугу под изменение законодательных или рекомендательных актов, сохранив для клиента требуемый уровень соответствия федеральному закону.

Анализ угроз центра ГосСОПКА

В рамках сервиса по анализу угроз центра выполняются работы:

1
Оценка защищенности внешнего периметра компании и помощь в устранении уязвимостей.
2
Выявление и анализ уязвимостей и ошибок конфигурирования внутренних информационных ресурсов.
3
Оценка защищенности инфраструктуры с использованием информации о новых векторах атак, в том числе получаемой в рамках информационного взаимодействия с вышестоящим центром ГосСОПКА.
4
Выработка рекомендаций по закрытию уязвимостей или применению компенсирующих мер мониторинга и эксплуатации.
Обеспечение информационного взаимодействия с вышестоящим центром ГосСОПКА

В рамках сервиса выполняются работы:

1
Адаптация отчетов под требования ГЦ.
2
Прием и обработка обращений от ГЦ ГосСОПКА.
3
Отправка отчетности в ГЦ ГосСОПКА.
4
Обеспечение взаимодействия с ГЦ ГосСОПКА при инцидентах, требующих содействия.
08
СЕРВИСЫ ПОСТРОЕНИЯ SOC/ЦЕНТРА ГосСОПКА

Зачастую для решения задачи SOC или центра ГосСОПКА крупные компании выбирают подход с самостоятельным построением в рамках классического интеграционного проекта, состоящего из обследования, проектирования, внедрения и промышленной эксплуатации с привлечением ресурсов интеграторов и консультантов. Для повышения эффективности такого проекта Solar JSOC предлагает свой подход, который комбинирует классическую интеграцию и сервисную модель, позволяя сократить сроки получения первого результата и повышая качество итогового реализованного проекта.

Разработка концепции и архитектуры SOC
1
Аудит и оценка ресурсов;
2
Разработка архитектуры SOC;
3
Разработка организационной структуры SOC

В рамках услуги проводятся работы по инвентаризации ресурсов и систем Заказчика, а также выработке рекомендаций по построению SOC, которые включают:

  • Аудит и инвентаризация ИТ-ландшафта.
  • Оценка применимости существующих систем и технологий в ситуационном центре с учетом методических рекомендаций по построению и эксплуатации ведомственных и корпоративных центров ГосСОПКА и/или лучших мировых практик.
  • Оценка существующих процессов информационной безопасности на соответствие методическим рекомендациям по построению и эксплуатации ведомственных и корпоративных центров ГосСОПКА и/или лучшим мировым практикам.
  • Разработка концепции SOC/центра ГосСОПКА, включающую в себя:
    • Общую архитектуру центра;
    • Список используемых систем и технологий;
    • Верхнеуровневую организационно-штатную структуру центра.
  • Определение этапности запуска SOC/центра ГосСОПКА, включая:
    • Приобретаемые или модернизируемые технологии и системы;
    • Этапность подключения систем компании к SOC;
    • Определение структуры и требуемых компетенций внутренних специалистов и внешних подрядчиков, привлекаемых к реализации задач ситуационного центра.
Разработка процедур реагирования на инциденты информационной безопасности

В рамках данной услуги проводится оценка текущего состояния процесса реагирования на инциденты, разработка общей модели и документирование процедуры реагирования на инциденты информационной безопасности, в том числе:

1
Назначение, цели и задачи процедуры.
2
Положения про роли и ответственность.
3
Подход по классификации (в том числе по уровню критичности) событий и инцидентов.
4
Общий перечень сценариев инцидентов.
5
Карточки анализа и реагирования на инцидент.
Кадровая подготовка локального центра мониторинга

В рамках данной услуги проводится инструктаж и обучение специалистов заказчика по специализированной внутренней программе подготовки специалистов 1-й и 2-й линии мониторинга и реагирования Solar JSOC для обеспечения быстрого погружения специалистов в функциональные задачи и обеспечения качества их работы.

Экспертная поддержка существующего SOC

Услуга предоставляется клиентам Solar JSOC, воспользовавшимся сервисами по построению SOC, как консультационная помощь в поддержании актуальности сценариев по выявлению инцидентов и профиля защиты, обеспечиваемого SOC, относительно новых современных угроз.

Solar JSOC

Крупнейший центр мониторинга и реагирования
на инциденты кибербезопасности в России

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах