Jet Security Operation Center (JSOC)

Продукт
Разработчики: Инфосистемы Джет
Дата последнего релиза: май 2015 года
Технологии: ИБ - Антивирусы,  ИБ - Антиспам,  ИБ - Аутентификация,  ИБ - Межсетевые экраны,  ИБ - Предотвращения утечек информации,  ИБ - Резервное копирование и хранение данных,  ИБ - Система обнаружения мошенничества (фрод),  ИБ - Средства шифрования,  ИБ - Управление информацией и событиями в системе безопасности (SIEM),  Центры обработки данных - технологии для ЦОД

Содержание

JSOC особенно актуален для тех компаний, которые, во-первых, нуждаются в обеспечении информационной безопасности 24/7, но не имеют собственной дежурной смены в подразделении ИБ. А во-вторых, – желают избавиться от рутинных и трудоемких задач по управлению средствами защиты.


Центр мониторинга и оперативного управления ИБ позволяет обеспечить:

  1. мониторинг инцидентов информационной безопасности;
  2. реагирование на инциденты ИБ;
  3. контроль защищенности информационных систем;
  4. управление ИБ-системами компании.


Данные услуги могут оказываться как на основании ежемесячной подписки, когда требуемое оборудование и ПО предоставляется в аренду из облачной инфраструктуры JSOC, так и с использованием существующих у клиента систем ИБ.

В команде JSOC работает более 30 специалистов ИБ – это две дежурные смены мониторинга инцидентов и администринфрования средств защиты, а также ведущие эксперты и аналитики ИБ.

Технологии

Технологии разделяются на группы:

  • аудит событий;
  • сбор, фильтрация и хранение событий;
  • корреляция событий и выявление инцидентов;
  • расследование инцидентов и эскалация проблем;
  • отчетность на всех уровнях управления инцидентами.

Для аудита событий используются как штатные механизмы операционных систем, сетевого оборудования, серверов приложений, web-сервисов и баз данных, так и наложенные средства ИБ – например, системы защиты СУБД Imperva SecureSphere или IBM Guardium.

Для корреляции событий ИБ с данными о реальных уязвимостях ИТ-инфраструктуры, проводится интеграция Центра управления инцидентами ИБ с системами MaxPatrol от Positive Technologies или Vulnerability Management от McAfee.

Непосредственно сами технологии обработки событий, расследования инцидентов и отчетности базируются на системах ведущих производителей, таких как HP ArcSight, RSA enVision, Symantec SIM.

Оказание облачных услуг SOC

  1. подключение инфраструктуры клиентов к собственному SOC;
  2. непрерывный мониторинг и анализ событий ИБ;
  3. оперативное реагирование в режиме 24х7 на инциденты ИБ;
  4. создание регулярных отчетов для технических специалистов отделов ИБ и руководства.

Процессы

Создание процесса управления инцидентами ИБ позволяет существенно повысить эффективность применяемых технологий, а именно добиться полноценного решения задач SOC в соответствии с лучшими практиками. В ходе выстраивания процесса управления инцидентами ИБ эксперты компании «Инфосистемы Джет» проводят процедуры:

  1. классификация возможных событий;
  2. формирование перечня событий, на которые необходимо реагировать;
  3. типизация и расстановка приоритетов для инцидентов;
  4. определение ролей сотрудников, участвующих в расследовании инцидентов;
  5. расследование инцидентов;
  6. подготовка и планирование предупредительных мер ИБ, предотвращающих повторное возникновение инцидента.

Процессный подход делает реагирование и разрешение инцидентов ИБ более оперативным и позволяет использовать как аккумулированный в ходе проектов, так и собственный опыт клиентов по разрешению инцидентов ИБ.

В состав предоставляемых сервисов входят контроль требований регуляторов, мониторинг исполнения политик безопасности, поддержка безопасности инфраструктуры, контроль контрагентов, защита бизнес-приложений и ряд других услуг.

Задачи первичной обработки сообщений об инцидентах, а также о событиях в системах клиентов, решаются соответственно специалистами групп разбора инцидентов и администрирования, которые находятся в Нижнем Новгороде. На размещение служб «первой линии» именно в этом городе оказали влияние такие факторы, как наличие вузов, где есть соответствующие специализации, а также развитая ИТ-среда.

Специалисты «вторых линий» располагаются в Москве; в наиболее сложных случаях дополнительно привлекаются аналитики и администраторы информационной безопасности.

В JSOC ежедневно регистрируется около полутора сотен инцидентов информационной безопасности, причем 80% из них — в дневное время. Большая же часть направленных атак фиксируется в период от восьми вечера до девяти утра, когда, как полагают их организаторы, менее вероятно противодействие персонала соответствующих служб.

По статистике JSOC, в течение первого месяца работы выявляется около десятка инцидентов несанкционированного доступа в системы клиентов, не менее пяти утечек конфиденциальной информации, до десяти нарушений политики доступа в Интернет, а также непрофильное использование технологических учетных записей.

Предусмотрены несколько типов соглашений о качестве обслуживания (Service Level Agreement). К примеру, для SLA с наилучшими параметрами сервиса время обнаружения критичных инцидентов не превышает 10 минут, время их базовой диагностики и информирования заказчика с предоставлением определенной договором аналитической справки — 20 минут, выдачи рекомендаций по противодействию — 45 минут[1].

Обновление JSOC от "Лаборатории Касперского"

В рамках партнерства «Инфосистемы Джет» и «Лаборатория Касперского» репутационная база данных аутсорсингового сервиса Jet Security Operations Center (JSOC), предоставляемого системным интегратором, будет в режиме реального времени пополняться информацией об актуальных угрозах от «Лаборатории Касперского».

Для интеграции баз данных специалисты компании «Инфосистемы Джет» разработали специальный механизм, позволяющий приводить к единому виду разнородный набор данных (около 24 видов). Он же дает возможность подгружать новые данные не реже одного раза в 10 минут. На сегодняшний день репутационная база данных JSOC насчитывает около 3 миллионов образцов вредоносного ПО.

«Нам как российскому сервис-провайдеру крайне важно агрегировать информацию о вредоносном ПО, сайтах и новых сценариях кибератак от ведущих российских и зарубежных источников. Партнерство с "Лабораторией Касперского" представляет для нас особый интерес, поскольку помимо использования высочайших компетенций нашего партнера в данной области, мы получаем от них информацию, адаптированную под российские модификации угроз и специфику, – рассказывает Владимир Дрюков, руководитель направления аутсорсинга ИБ Центра информационной безопасности компании "Инфосистемы Джет". – Результатом нашего партнерства стала возможность использовать разнородные репутационные базы, что важно для наших клиентов. Кроме того, мы вывели на качественно более высокий уровень оказание услуг по проактивному контролю защищенности и противодействию атакам».
«Для нас развитие партнерства с провайдерами сервисов информационной безопасности (MSSP) является одной из стратегических целей. Корпоративные заказчики по всему миру доверяют таким компаниям все больше задач, включая управление центрами информационной безопасности, – поясняет Вениамин Левцов, вице-президент по корпоративным продажам и развитию бизнеса "Лаборатории Касперского". – В ближайших планах – активное расширение сети MSSP, использующих наши сервисы и потоки данных, в дополнение к тем, кто уже сотрудничает с нами в Европе, Азии и на Ближнем Востоке. Партнерство с компанией "Инфосистемы Джет" стало первым опытом технологического сотрудничества такого рода на территории России и стран СНГ».

Выгоды

  1. Создание JSOC позволяет снизить ущерб от инцидентов ИБ за счет своевременного и эффективного реагирования и сбора доказательной базы.
  2. Постоянный анализ событий и инцидентов ИБ, выяснение причин их возникновения позволяют оценить эффективность мер защиты, выявить их недостатки и выработать предложения по их замене или корректировке.
  3. С помощью Центра управления инцидентами ИБ реализуются нормативные и международные требования по мониторингу событий PCI DSS, СТО БР, ISO/IEC 27001, ФЗ «О персональных данных».
  4. Централизация информации о состоянии ИБ в единой системе позволяет сократить расходы на аудит и контроль событий ИБ.
  5. JSOC повышает управляемость и стабильность компании, что ведет к увеличению её стоимости.

Соответствие инженерных систем ЦОД требованиям Uptime Institute Tier III, а также использование технологий высокой доступности в ИТ-комплексе обеспечивают, по данным компании, уровень готовности JSOC, отвечающий показателю 99,8%. Инфраструктура JSOC имеет сертификат соответствия спецификациям стандарта PCI DSS. В качестве системы SIEM (Security Information and Event Management) используется программный комплекс HP ArcSight. Инвестиции в проект составляют более 4 млн долл.

История

2015: Центр мониторинга запустил сервис "JSOC. Противодействие киберпреступности"

28 мая 2015 года компании Solar Security и Group-IB сообщили о заключении технологического партнерства, в результате которого коммерческий центр мониторинга и реагирования на инциденты ИБ JSOC запустил сервис "JSOC. Противодействие киберпреступности"[2].

В рамках технологического партнерства собственная аналитическая информация центра JSOC непрерывно дополняется сведениями от платформы Bot-Trek Cyber Intelligence (CI) и системы Threat Detection Service (TDS). Для обеспечения технического взаимодействия между JSOC и Group-IB эксперты компании Solar Security разработали механизм интеграции, структурирующий, анализирующий и загружающий в режиме реального времени в базы данных JSOC весь объем разнородных данных с привязкой по каждому отдельному клиенту.

Сервиса JSOC дает возможность оперировать потоком данных о реальных инцидентах ИБ, зарегистрированных платформами Bot-Trek CI и TDS в российских компаниях конкретной отрасли, для своевременного обновления корреляционных правил центра мониторинга и раннего детектирования схожих инцидентов у подключенных к JSOC клиентов.

Сервис «JSOC. Противодействие киберпреступности» проверяет данные на наличие заражений троянами zero-day, обнаруженными в других компаниях, чтобы предотвратить готовящуюся APT-атаку до причинения видимого ущерба. В том случае, когда целевая атака проведена, и стало известно о компрометации учетных данных, аналитики JSOC оценят опасность конкретной утечки и выработают рекомендации по минимизации ущерба.

«JSOC как MSSP-провайдер, ориентирован на максимально проактивное предупреждение угроз информационной безопасности своих клиентов. В этом контексте ключевое значение приобретают агрегирование и аналитика всех доступных данных об изменении угроз, новых и наиболее распространенных в конкретных средах атаках, хакерских инструментах, описаниях поведения zero-day вирусов. Подключение к сервисам Group-IB стало очередным этапом превращения JSOC в масштабный отечественный центр компетенций по противостоянию таргетированным атакам», – поведал Игорь Ляпунов, генеральный директор Solar Security.

В составе сервиса «JSOC. Противодействие киберпреступности» три составляющих:

  • оперативная проверка всей инфраструктуры клиента JSOC на предмет активных или «спящих» вирусных заражений и оценка реальной защищенности от новых угроз. Данные о zero-day вирусах и инцидентах ИБ агрегируются с информацией, поступающей от платформы Bot-Trek CI, которая ведет мониторинг сети Интернет на предмет выявления новых векторов атак, образцов и описаний специфичных вирусов и троянов;

  • обработка аналитиками JSOC скомпрометированных данных клиентов, выявленных платформой Bot-Trek CI, для получения релевантной картины об опасности данной конкретной утечки:
    • проводились ли какие-либо злонамеренные операции с использованием скомпрометированных учетных записей,
    • несет ли их потеря прямые финансовые или репутационные риски для компании-клиента;

  • проверка аналитиками JSOC подозрительного с точки зрения Threat Detection Service (TDS) хоста инфраструктуры на предмет актуальности заражения и планирование работ по его очистке. Анализ возможных путей заражений для предотвращения повторных атак в будущем.

Сервисы могут оказываться в рамках отдельных опций.

Примечания





Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год