Подключение к Центру мониторинга информационной безопасности

Содержание:

• Услуги мониторинга и анализа событий ИБ
• Что такое SOC и зачем он нужен
• Центр мониторинга как элемент ГосСОПКА
• Зачем компании нужен SOC
• Что входит в отчетность
• Что входит в услугу SOC
• Формат подключения
• Стоимость SOC и модели тарификации
• Почему выбирают наш SOC
• Кейсы и результаты
• Как происходит подключение

Сегодня большинство атак на инфраструктуру компаний происходит автоматически и круглосуточно. И пока ИТ-отдел занимается рабочими задачами, злоумышленники уже пытаются подобрать пароль, запустить вредоносные файлы или вывести данные за пределы сети.

Именно поэтому всё больше организаций подключаются к внешнему Центру мониторинга информационной безопасности (SOC) — чтобы инциденты своевременно обнаруживались и на них оперативно проводилось реагирование.

Услуги мониторинга и анализа событий ИБ для организаций

Подключение к SOC позволяет организации получать непрерывный контроль и анализ событий ИБ, оперативное выявление атак и помощь в реагировании на инциденты без создания собственного центра мониторинга.

Мы подключаем инфраструктуру заказчика к Центру мониторинга АО «Калуга Астрал», организуем защищенный канал передачи данных и обеспечиваем сбор и анализ событий безопасности в режиме постоянного мониторинга.

Стоимость услуги SOC рассчитывается индивидуально, поскольку зависит от состава инфраструктуры, количества источников событий информационной безопасности и требуемого режима работы мониторинга.

В рамках подключения выполняются:

• расчет стоимости и подготовка коммерческого предложения после получения заполненного опросного листа;
• организация защищенного канала связи между АО «Калуга Астрал» и инфраструктурой заказчика;
• подключение и настройка передачи событий в SIEM-систему для последующего выявления и реагирования на инциденты информационной безопасности.

Есть два варианта подключения к Центру мониторинга ИБ:

1. Пилотный формат — демонстрация возможностей ЦМ (короткий период, ограниченное количество источников событий ИБ).
2. Полноценное подключение к Центру мониторинга ИБ на постоянной основе (от 1 года).

Что такое SOC и зачем он нужен

SOC — это структурное подразделение организации, которое отвечает за постоянный мониторинг инфраструктуры, незамедлительное реагирование на компьютерные инциденты и координацию действий по ликвидации их последствий.

Если говорить проще, то это круглосуточный контроль над событиями информационной безопасности вашей инфраструктуры силами профессиональной команды аналитиков.

Внутри SOC обычно работают:

• аналитики SOC;
• специалисты по реагированию на инциденты ИБ;
• эксперты по проведению расследований инцидентов ИБ;
• инженеры SIEM и средств защиты информации.

Мы отслеживаем:

• попытки взлома;
• вредоносную активность;
• утечки данных;
• подозрительные действия пользователей;
• атаки на серверы, сети и рабочие станции.

В отчетность попадает вся зафиксированная активность, анализ инцидентов и рекомендации по устранению последствий, вызванных инцидентами.

Основные плюсы SOC:

• снижение рисков ущерба от кибератак;
• выполнение требований ИБ;
• включение организации в ГосСОПКА;
• повышение устойчивости бизнес-процессов.

Центр мониторинга как элемент ГосСОПКА

Центр мониторинга ИБ является корпоративным Центром ГосСОПКА и имеет:

• расширенную лицензию ФСТЭК России на один из видов деятельности по технической защите конфиденциальной информации на услуги по мониторингу информационной безопасности средств и систем информатизации (получена в 2019 г.);
• соглашение с НКЦКИ по взаимодействию в области обнаружения и ликвидации последствий компьютерных атак (получено в 2020 г.);
• соглашение об информационном обмене с системами Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России — FinCERT (получено в 2023 г.).

На текущий момент процесс переаккредитации Центров мониторинга находится в стадии подготовки нормативной базы. До вступления нового приказа в силу взаимодействие с НКЦКИ осуществляется на основании действующих соглашений.

Зачем компании нужен SOC

Подключение к SOC позволяет:

• вести непрерывный контроль над событиями ИБ;
• оперативно выявлять и реагировать на инциденты ИБ;
• централизованно хранить данные о событиях ИБ;
• снижать риски для бизнеса, связанные с кибербезопасностью.

Что входит в отчетность

Заказчик получает регулярную отчетность, включающую:

Общие сведения

• объекты и цели работ;
• исходные данные;
• содержание работ.

Анализ событий

• общая статистика событий ИБ;
• перечень типов зарегистрированных подозрений на инциденты ИБ;
• перечень инцидентов ИБ;
• анализ правил нормализации;
• описание новых типов правил, введенных в SIEM;
• общий результат оказания услуг по мониторингу и анализу инцидентов ИБ.

Статистика выполненных работ и приложения с деталями

Мы предоставляем:

• ежемесячные отчеты;
• по согласованию — еженедельные отчеты;
• помощь в формировании квартальной и годовой отчетности.

Центр полностью укомплектован специалистами, соответствующими требованиям к работникам Центров мониторинга ИБ.

Что входит в услугу SOC

Подключение источников событий

На первом этапе выполняются:

• уточнение информации об источниках событий ИБ;
• фиксация характеристик информационных ресурсов;
• настройка защищенного канала;
• подключение источников событий ИБ к SIEM;
• настройка SIEM;
• организация взаимодействия с НКЦКИ;
• разработка регламента взаимодействия;
• проведение приемочных испытаний.

Мониторинг и реагирование

В рамках постоянной работы выполняются:

• обнаружение и регистрация инцидентов;
• реагирование на атаки и инциденты ИБ;
• актуализация источников событий;
• формирование отчетности;
• поддержка работы SIEM.

Мы используем собственные базы индикаторов компрометации (IoC), а также разрабатываем правила обнаружения на основании выявленных TTP в рамках реагирования на инциденты, их расследования и TI-отчетов об атаках группировок.

Дополнительные работы

По запросу возможны:

• расследование инцидентов;
• сканирование уязвимостей.

Формат подключения

Подключение проходит в несколько этапов согласно прилагаемому к договору техническому заданию:

1. Уточнение информации об источниках событий ИБ в инфраструктуре заказчика, указанных в техническом задании.
2. Настройка защищенного канала связи.
3. Настройка защищенного канала связи между заказчиком и Центром мониторинга ИБ.
4. Подключение источников событий ИБ к SIEM-системе заказчика.
5. Настройка и добавление правил детектирования инцидентов в SIEM-системе заказчика.
6. Оказание услуг по мониторингу и анализу компьютерных атак и инцидентов.

Варианты подключения к Центру мониторинга ИБ:

1. Пилотный проект — как демонстрация наших возможностей.
2. Полноценный проект — договор на оказание услуг мониторинга.

Стоимость SOC и модели тарификации

Стоимость услуги зависит от:

• количества и типов источников событий;
• режима работы (8×5 или 24×7);
• объема услуг (мониторинг, расследование, сканирование);
• взаимодействия с ГосСОПКА;
• использования правил с IoC;
• применения Threat Intelligence (TI);
• применения Threat Hunting (TH).

Поэтому цена рассчитывается индивидуально.

Почему выбирают наш SOC

На практике компании сталкиваются с нехваткой специалистов или невозможностью организовать круглосуточный мониторинг своими силами.

Наш центр позволяет:

• быстро запустить мониторинг событий ИБ (5–7 недель вместо 1–2 лет на собственный SOC);
• выполнять требования регуляторов;
• получать прогнозируемые расходы;
• пользоваться экспертизой готовой команды.

Кейсы и результаты

После подключения SOC заказчики получают:

• сокращение времени обнаружения инцидентов;
• закрытие требований ИБ-аудита;
• предотвращение инцидентов ИБ до нанесения ущерба;
• снижение нагрузки на ИБ-подразделения.

Как происходит подключение

Процесс подключения состоит из двух этапов:

1. Заключение договора и уточнение данных об инфраструктуре организации, настройка взаимодействия систем.
2. Запуск мониторинга и анализа инцидентов, выявленных Центром мониторинга.

На данный момент основная проблема компаний уже не в том, произойдет ли попытка атаки, а в том, успеете ли вы ее вовремя заметить и предотвратить. Поэтому подключение к SOC позволяет решить эту задачу с помощью команды профессионалов.