Проект

Банк «Открытие» и Security Vision расширили возможности Центра информационной безопасности

Заказчики: Банк Открытие (ФК Открытие)

Москва; Финансовые услуги, инвестиции и аудит

Продукт: Security Vision Incident Response Platform (Security Vision IRP) SOAR
На базе: Security Vision Специализированная платформа для автоматизации процессов информационной безопасности

Дата проекта: 2018/12 — 2020/10
Технология: ИБ - Управление информацией и событиями в системе безопасности (SIEM)
подрядчики - 74
проекты - 274
системы - 297
вендоры - 157

2020

Оптимизация процессов Центра информационной безопасности

Банк «Открытие» расширил область мониторинга и усовершенствовал процессы своего Центра информационной безопасности на базе системы Security Vision Incident Response Platform IRP/SOAR. Партнером проекта стала ГК «Интеллектуальная безопасность», которая и сообщила об этом 23 ноября 2020 года.,

Банк «Открытие» ведет постоянную работу по оптимизации и совершенствованию процессов информационной безопасности с целью противостояния любым видам киберугроз и обеспечения максимальной защиты своих информационных активов. В рамках этой работы в банке был реализован проект расширения области контроля информационной безопасности Центра информационной безопасности.

Были решены следующие задачи:

  • Разработка процедур (playbooks) по реагированию на инциденты ИБ
  • Увеличение количества систем и средств защиты информации, интегрированных в Security Vision IRP/SOAR
  • Совершенствование отчетности
  • Разработка процессов управления информационной безопасностью
  • Автоматизация процессов подразделений ИБ
  • Выработка и тестирование моделей ML (Machine learning), применимых к потоковой обработке событий безопасности в сервисе Security Vision.

В ходе реализации проекта эксперты Департамента информационной безопасности банка «Открытие» в тесном сотрудничестве со специалистами Security Vision интегрировали в Security Vision IRP/SOAR 10 систем и средств защиты информации, разработали и внедрили 17 процедур реагирования на инциденты кибербезопасности. Также был автоматизирован ряд процессов смежных подразделений Центра информационной безопасности, относящихся к ежедневной деятельности их сотрудников. Одним из этапов проекта стала автоматизация процесса отправки данных о выявленных угрозах и инцидентах ИБ в ФинЦЕРТ — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, специальное структурное подразделение Банка России.Как создать ПО для технологического моделирования на замену западному совместно с партнёрами. Опыт «СИБУРа» представлен на TAdviser SummIT 26.2 т

Илья Короткин, руководитель службы мониторинга и реагирования на инциденты информационной безопасности банка «Открытие»:

«
Финансовая отрасль как никакая другая подвержена кибератакам. Осознавая это, мы стремимся делать все возможное, чтобы наши информационные активы и, как следствие, финансы и личные данные всех клиентов банка «Открытие» находились под надежной защитой. Киберпреступники постоянно совершенствуют свой инструментарий, однако и мы день ото дня совершенствуем и расширяем возможности Центра информационной безопасности. Благодаря этому, а также благодаря использованию систем защиты информации, таких как Security Vision IRP/SOAR, мы гарантируем клиентам банка высокий уровень обеспечения информационной безопасности.
»

Руслан Рахметов, генеральный директор ГК «Интеллектуальная безопасность»:

«
Security Vision IRP/SOAR была внедрена в банке «Открытие» в 2018 году и показала высокую эффективность как по расширению границ контроля и мониторинга, так и погружению вглубь инцидентов кибербезопасности и увеличению количества проверок за единицу времени. Так, например, до внедрения системы проверки, связанные с кибер-инцидентами, могли занимать день и больше, а полный жизненный цикл инцидента мог исчисляться неделями. В результате автоматизации реагирования все стало работать как по часам, благо коллеги имели хороший опыт формализованных процедур и процессов, которые воплотились и адаптировались в продукте. На ноябрь 2020 года автоматизированы все группы средств защиты, и скорость проверок исчисляется сотнями в секунду.
»

Внедрение системы управления операционными рисками

29 апреля 2020 года Банк «Открытие» сообщил о внедрении системы управления операционными рисками на базе Security Vision Cyber Risk System (Security Vision CRS). Партнер проекта, ГК «Интеллектуальная безопасность», разработал по запросу банка особый модуль.

«
Реализация системы управления операционными рисками банка на базе Security Vision CRS уже привела к заметным улучшениям – сокращению времени на обработку событий операционного риска, повышению уровня доступности информации для работников, формированию более гибкой системы отчетности,
сообщила Оксана Старосельская, вице-президент, директор департамента анализа розничных рисков банка «Открытие»
»

Данное технологическое решение Security Vision CRS через интеграцию с кадровой системой позволяет любому работнику банка сообщить о случившемся событии операционного риска профильным сотрудникам и подключить их к решению вопроса, позволяет загружать исторические события из других систем банка, осуществлять сбор и анализ событий операционного риска с организацией нескольких ролей пользователей, выявлять дубликаты и группировать события операционного риска, настроить уведомления пользователей через корпоративную электронную почту.

Существенным преимуществом системы, реализованной в банке «Открытие», является ее адаптивность и гибкость. Это позволяет экспертам банка самостоятельно без привлечения разработчика осуществлять настройку и доработку функционала в случае появления новых регуляторных и внутренних требований.

«
Управление рисками - фундаментальное и постоянно развивающееся направление, поэтому в современном риск-менеджменте активно применяются эффективные модели, новые технологии и разработки,
сказал Руслан Рахметов, генеральный директор ГК «Интеллектуальная безопасность»
»

«
На мой взгляд, программные продукты Security Vision резидента Сколково ГК «Интеллектуальная безопасность» вполне закономерно пользуются спросом многих государственных и коммерческих структур, в том числе крупных финансовых учреждений РФ. Они действительно эффективны в плане автоматизации процессов кибербезопасности, обладают высоким потенциалом гибкости, адаптируемости и масштабируемости,
прокомментировал Михаил Стюгин, руководитель направления «Информационная безопасность» Кластера информационных технологий, Фонд «Сколково»
»

2019: Внедрение системы реагирования на инциденты ИБ

10 июня 2019 года Фонд «Сколково» сообщил, что банк «Открытие», входящий в список системообразующих банков ЦБ, завершил внедрение автоматизированной системы реагирования на инциденты информационной безопасности Security Vision Incident Response Platform (Security Vision IRP) от резидента Фонда «Сколково» компании «Интеллектуальная безопасность».

Банк «Открытие» провел открытый многоэтапный конкурс среди российских и иностранных IRP-систем. Победителем была признана российская система Security Vision Incident Response Platform.

С помощью платформы в банке теперь осуществляется автоматический сбор и формирование базы активов с регулярным обновлением и использованием в процессах реагирования. Автоматизированы более 30 процедур реагирования на инциденты ИБ, включая автоматическое получение данных, сбор дополнительной информации и анализ во внешних и внутренних «песочницах» банка.

«
Подавляющее большинство кибератак в мире и в России приходится именно на финансовые учреждения, в первую очередь на банки. Это обусловливает необходимость использования гибких и надежных средств защиты информации, предоставляющих оптимальные возможности в области противодействия киберугрозам. Security Vision IRP позволил роботизировать исполнение программно-технических функций оператора безопасности с долей автоматизации до 90%. Система обеспечивает автоматическое выполнение полного спектра дежурных процедур, что позволяет не только реагировать на киберугрозы в режиме 24/7, но и избежать влияния человеческого фактора,
сказал Владимир Журавлев, директор департамента информационной безопасности банка «Открытие»
»

«
Security Vision IRP является инструментом обработки полного жизненного цикла инцидентов кибербезопасности – от идентификации до полного уничтожения. Созданная по типу конструктора, Security Vision IRP состоит из интеллектуально саморегулирующихся программно-технических модулей, что позволяет легко адаптировать систему под особенности бизнес-процессов заказчика, формируя структуру, логику и наполнение решения в соответствии с ними. Благодаря командной работе с банком `Открытие` удалось достигнуть высокой степени автоматизации в области реагирования на инциденты кибербезопасности. Потенциал развития системы не ограничен, мы проводим исследования и практические внедрения других методов анализа больших данных в вопросах кибербезопасности и надеемся быть полезными в этом банку,
отметил Руслан Рахметов, генеральный директор компании «Интеллектуальная безопасность»
»

Внедрение IRP в банке «Открытие», или Как системно повысить автоматизацию ИБ в группе компаний

Incident Response Platform IRP основные предпосылки построения IRP в Банке:

  • Снижение риска человеческого фактора и ошибок персонала, привлекаемого на реагирование инцидентов кибербезопасности две трети киберинцидентов связаны с человеческим фактором
  • Роботизация 24х7 x365] выполнение дежурных процедур оператора в режиме реального времени; после громких эпидемий вирусов и троянцев шифровалильщиков , стало очевидным, что реагирование это не оповещение, а это автоматическое выполнение действий оператора
  • Автоматическое насыщение и обогащение инцидента информацией о событиях со смежных ИТ и ИБ систем ; двусторонний обмен между ИТ и ИБ системами обеспечивает необходимое и достаточное условия отсутствия белых пятен
  • Глубина проверок (количество и качество) качество); ручной режим тратит на разбор стандартного инцидента 2 часа с минимальной глубиной проверок до 10, автоматический за несколько минут способен провести сотни проверок
  • Снижение воздействия инцидентов ИБ за счёт снижения времени реагирования ; время реакции снижает пагубное воздействие случившихся инцидентов
  • Систематизация интеграций: Средство обеспечения безопасности электронной почты, Средство антивирусной защиты (серверы), Средство антивирусной защиты + IPS (пользователи), Корпоративная система Service Desk , Windows Servers & Hosts , Active Directory , Средство контроля изменений межсетевых экранов, Средство контроля целостности данных, Межсетевые экраны, Платформа сетевой безопасности, Средство защиты от фишинговых атак, Система предотвращения вторжений ( IPS ), Средство анализа угроз N 1 («песочница»), Средство анализа угроз N 2 («песочница»), Система хранения журналов событий, Средство хранения архивов корпоративной электронной почты, FinCert , VirusTotal , UrlScan io , MXTool box , MessengerActive Directory, Cisco ASA, CMDB iTop , Microsoft DNS, Cisco FirePower , и другие.

Incident Response Platform IRP ] основные результаты внедрения

  • Автоматизированы более 30 сценариев реагирования на инциденты ИБ, проведено более 50 интеграций со средствами защиты Банка;
  • Это напрямую повлияло на эффективность работы сотрудников. Если раньше специалисту банка нужно было не менее двух часов для проверки 1 2 сложных инцидентов, то сейчас система осуществляет по 200+ проверок за несколько секунд;
  • 19 сотрудников Службы мониторинга и реагирования на инциденты ИБ могут обслуживать более 25 тысяч рабочих мест финансовой группы без потери качества;
  • Security Vision IRP позволил роботизировать исполнение программно технических функций оператора безопасности с долей автоматизации до 90%;
  • Система обеспечивает автоматическое выполнение полного спектра дежурных процедур в режиме 24/7.


Примеры реализованных проверок

  • Наличие на АРМ антивирусного ПО, Запуск сканирования на АРМ;
  • Проверка URL, хэшей, почтовых адресов на внешних сервисах ( VirusTotal , URLScan.io, MxToolBox0
  • Длина пароля в соответствии с политикой безопасности;
  • Отсутствие уязвимостей на АРМ или на сервере;
  • Проверка файлов в песочницах
  • Контроль целостности
  • Формирование чек листов и их обработка
  • Блокировка IP адресов на межсетевых экранах, блокировка сетевых ресурсов (URL, домены)
  • Сбор информации по почтовому серверу и/или почтовому ящику;
  • Анализ запросов регуляторов
  • Сбор информации об узле/ УЗ в домене, блокировка УЗ в домене
  • Получение параметров и определение категории значимости объекта;
  • Контроль изменений параметров АС;
  • Наличие обновлений на АРМ;
  • Моделирование угроз;
  • Формирование актов и отчетов по стандартам и нормативам.


Incident Response Platform IRP ] основные перспективы развития в Банке

  • Расширение области покрытия IRP системы на множество систем защиты Финансовой Корпорации подключение дочерних структур и их СЗИ к отработанным сценариям и процедурам
  • Задачи, связанные с подключением и аналитикой безопасности в системах обработки BigData с модулем семантического анализа инцидентов, содержащим модель машинного обучения. Модуль обладает возможностью автоматического определения команд реагирования на инцидент и передачи команд реагирования в подключенные внешние системы и устройства

  • Автоматизация взаимодействия с регуляторами к примеру, обеспечение полного жизненного цикла во взаимодействии с FinCERT АСОИ, Фид АнтиФрод

  • Переход к вопросам Auto Compliance на базе внедренных инструментов IRP , автоматизация соответствия важнейшим в финансовой отрасли нормативам и стандартам. Например, автосоответствие финансовым Стандартам ГОСТ Р 57580.1 2017 и ГОСТ Р 57580.2 2018