Jet Security Operation Center (JSOC)

JSOC особенно актуален для тех компаний, которые, во-первых, нуждаются в обеспечении информационной безопасности 24/7, но не имеют собственной дежурной смены в подразделении ИБ. А во-вторых, – желают избавиться от рутинных и трудоемких задач по управлению средствами защиты.

Центр мониторинга и оперативного управления ИБ позволяет обеспечить:

1. мониторинг инцидентов информационной безопасности;
2. реагирование на инциденты ИБ;
3. контроль защищенности информационных систем;
4. управление ИБ-системами компании.

Данные услуги могут оказываться как на основании ежемесячной подписки, когда требуемое оборудование и ПО предоставляется в аренду из облачной инфраструктуры JSOC, так и с использованием существующих у клиента систем ИБ.Российский рынок цифровизации телекома: ключевые тренды и ИТ-поставщики. Обзор TAdviser 5.3 т

В команде JSOC работает более 30 специалистов ИБ – это две дежурные смены мониторинга инцидентов и администринфрования средств защиты, а также ведущие эксперты и аналитики ИБ.

Технологии

Технологии разделяются на группы:

• аудит событий;
• сбор, фильтрация и хранение событий;
• корреляция событий и выявление инцидентов;
• расследование инцидентов и эскалация проблем;
• отчетность на всех уровнях управления инцидентами.

Для аудита событий используются как штатные механизмы операционных систем, сетевого оборудования, серверов приложений, web-сервисов и баз данных, так и наложенные средства ИБ – например, системы защиты СУБД Imperva SecureSphere или IBM Guardium.

Для корреляции событий ИБ с данными о реальных уязвимостях ИТ-инфраструктуры, проводится интеграция Центра управления инцидентами ИБ с системами MaxPatrol от Positive Technologies или Vulnerability Management от McAfee.

Непосредственно сами технологии обработки событий, расследования инцидентов и отчетности базируются на системах ведущих производителей, таких как HP ArcSight, RSA enVision, Symantec SIM.

Оказание облачных услуг SOC

1. подключение инфраструктуры клиентов к собственному SOC;
2. непрерывный мониторинг и анализ событий ИБ;
3. оперативное реагирование в режиме 24х7 на инциденты ИБ;
4. создание регулярных отчетов для технических специалистов отделов ИБ и руководства.

Процессы

Создание процесса управления инцидентами ИБ позволяет существенно повысить эффективность применяемых технологий, а именно добиться полноценного решения задач SOC в соответствии с лучшими практиками. В ходе выстраивания процесса управления инцидентами ИБ эксперты компании «Инфосистемы Джет» проводят процедуры:

1. классификация возможных событий;
2. формирование перечня событий, на которые необходимо реагировать;
3. типизация и расстановка приоритетов для инцидентов;
4. определение ролей сотрудников, участвующих в расследовании инцидентов;
5. расследование инцидентов;
6. подготовка и планирование предупредительных мер ИБ, предотвращающих повторное возникновение инцидента.

Процессный подход делает реагирование и разрешение инцидентов ИБ более оперативным и позволяет использовать как аккумулированный в ходе проектов, так и собственный опыт клиентов по разрешению инцидентов ИБ.

В состав предоставляемых сервисов входят контроль требований регуляторов, мониторинг исполнения политик безопасности, поддержка безопасности инфраструктуры, контроль контрагентов, защита бизнес-приложений и ряд других услуг.

Задачи первичной обработки сообщений об инцидентах, а также о событиях в системах клиентов, решаются соответственно специалистами групп разбора инцидентов и администрирования, которые находятся в Нижнем Новгороде. На размещение служб «первой линии» именно в этом городе оказали влияние такие факторы, как наличие вузов, где есть соответствующие специализации, а также развитая ИТ-среда.

Специалисты «вторых линий» располагаются в Москве; в наиболее сложных случаях дополнительно привлекаются аналитики и администраторы информационной безопасности.

В JSOC ежедневно регистрируется около полутора сотен инцидентов информационной безопасности, причем 80% из них — в дневное время. Большая же часть направленных атак фиксируется в период от восьми вечера до девяти утра, когда, как полагают их организаторы, менее вероятно противодействие персонала соответствующих служб.

По статистике JSOC, в течение первого месяца работы выявляется около десятка инцидентов несанкционированного доступа в системы клиентов, не менее пяти утечек конфиденциальной информации, до десяти нарушений политики доступа в Интернет, а также непрофильное использование технологических учетных записей.

Предусмотрены несколько типов соглашений о качестве обслуживания (Service Level Agreement). К примеру, для SLA с наилучшими параметрами сервиса время обнаружения критичных инцидентов не превышает 10 минут, время их базовой диагностики и информирования заказчика с предоставлением определенной договором аналитической справки — 20 минут, выдачи рекомендаций по противодействию — 45 минут^[1].

Обновление JSOC от "Лаборатории Касперского"

В рамках партнерства «Инфосистемы Джет» и «Лаборатория Касперского» репутационная база данных аутсорсингового сервиса Jet Security Operations Center (JSOC), предоставляемого системным интегратором, будет в режиме реального времени пополняться информацией об актуальных угрозах от «Лаборатории Касперского».

Для интеграции баз данных специалисты компании «Инфосистемы Джет» разработали специальный механизм, позволяющий приводить к единому виду разнородный набор данных (около 24 видов). Он же дает возможность подгружать новые данные не реже одного раза в 10 минут. На сегодняшний день репутационная база данных JSOC насчитывает около 3 миллионов образцов вредоносного ПО.

«Нам как российскому сервис-провайдеру крайне важно агрегировать информацию о вредоносном ПО, сайтах и новых сценариях кибератак от ведущих российских и зарубежных источников. Партнерство с "Лабораторией Касперского" представляет для нас особый интерес, поскольку помимо использования высочайших компетенций нашего партнера в данной области, мы получаем от них информацию, адаптированную под российские модификации угроз и специфику, – рассказывает Владимир Дрюков, руководитель направления аутсорсинга ИБ Центра информационной безопасности компании "Инфосистемы Джет". – Результатом нашего партнерства стала возможность использовать разнородные репутационные базы, что важно для наших клиентов. Кроме того, мы вывели на качественно более высокий уровень оказание услуг по проактивному контролю защищенности и противодействию атакам».

«Для нас развитие партнерства с провайдерами сервисов информационной безопасности (MSSP) является одной из стратегических целей. Корпоративные заказчики по всему миру доверяют таким компаниям все больше задач, включая управление центрами информационной безопасности, – поясняет Вениамин Левцов, вице-президент по корпоративным продажам и развитию бизнеса "Лаборатории Касперского". – В ближайших планах – активное расширение сети MSSP, использующих наши сервисы и потоки данных, в дополнение к тем, кто уже сотрудничает с нами в Европе, Азии и на Ближнем Востоке. Партнерство с компанией "Инфосистемы Джет" стало первым опытом технологического сотрудничества такого рода на территории России и стран СНГ».

Выгоды

1. Создание JSOC позволяет снизить ущерб от инцидентов ИБ за счет своевременного и эффективного реагирования и сбора доказательной базы.
2. Постоянный анализ событий и инцидентов ИБ, выяснение причин их возникновения позволяют оценить эффективность мер защиты, выявить их недостатки и выработать предложения по их замене или корректировке.
3. С помощью Центра управления инцидентами ИБ реализуются нормативные и международные требования по мониторингу событий PCI DSS, СТО БР, ISO/IEC 27001, ФЗ «О персональных данных».
4. Централизация информации о состоянии ИБ в единой системе позволяет сократить расходы на аудит и контроль событий ИБ.
5. JSOC повышает управляемость и стабильность компании, что ведет к увеличению её стоимости.

Соответствие инженерных систем ЦОД требованиям Uptime Institute Tier III, а также использование технологий высокой доступности в ИТ-комплексе обеспечивают, по данным компании, уровень готовности JSOC, отвечающий показателю 99,8%. Инфраструктура JSOC имеет сертификат соответствия спецификациям стандарта PCI DSS. В качестве системы SIEM (Security Information and Event Management) используется программный комплекс HP ArcSight. Инвестиции в проект составляют более 4 млн долл.

История

2015: Центр мониторинга запустил сервис "JSOC. Противодействие киберпреступности"

28 мая 2015 года компании Solar Security и Group-IB сообщили о заключении технологического партнерства, в результате которого коммерческий центр мониторинга и реагирования на инциденты ИБ JSOC запустил сервис "JSOC. Противодействие киберпреступности"^[2].

В рамках технологического партнерства собственная аналитическая информация центра JSOC непрерывно дополняется сведениями от платформы Bot-Trek Cyber Intelligence (CI) и системы Threat Detection Service (TDS). Для обеспечения технического взаимодействия между JSOC и Group-IB эксперты компании Solar Security разработали механизм интеграции, структурирующий, анализирующий и загружающий в режиме реального времени в базы данных JSOC весь объем разнородных данных с привязкой по каждому отдельному клиенту.

Сервиса JSOC дает возможность оперировать потоком данных о реальных инцидентах ИБ, зарегистрированных платформами Bot-Trek CI и TDS в российских компаниях конкретной отрасли, для своевременного обновления корреляционных правил центра мониторинга и раннего детектирования схожих инцидентов у подключенных к JSOC клиентов.

Сервис «JSOC. Противодействие киберпреступности» проверяет данные на наличие заражений троянами zero-day, обнаруженными в других компаниях, чтобы предотвратить готовящуюся APT-атаку до причинения видимого ущерба. В том случае, когда целевая атака проведена, и стало известно о компрометации учетных данных, аналитики JSOC оценят опасность конкретной утечки и выработают рекомендации по минимизации ущерба.

«JSOC как MSSP-провайдер, ориентирован на максимально проактивное предупреждение угроз информационной безопасности своих клиентов. В этом контексте ключевое значение приобретают агрегирование и аналитика всех доступных данных об изменении угроз, новых и наиболее распространенных в конкретных средах атаках, хакерских инструментах, описаниях поведения zero-day вирусов. Подключение к сервисам Group-IB стало очередным этапом превращения JSOC в масштабный отечественный центр компетенций по противостоянию таргетированным атакам», – поведал Игорь Ляпунов, генеральный директор Solar Security.

В составе сервиса «JSOC. Противодействие киберпреступности» три составляющих:

• оперативная проверка всей инфраструктуры клиента JSOC на предмет активных или «спящих» вирусных заражений и оценка реальной защищенности от новых угроз. Данные о zero-day вирусах и инцидентах ИБ агрегируются с информацией, поступающей от платформы Bot-Trek CI, которая ведет мониторинг сети Интернет на предмет выявления новых векторов атак, образцов и описаний специфичных вирусов и троянов;

• обработка аналитиками JSOC скомпрометированных данных клиентов, выявленных платформой Bot-Trek CI, для получения релевантной картины об опасности данной конкретной утечки:
  • проводились ли какие-либо злонамеренные операции с использованием скомпрометированных учетных записей,
  • несет ли их потеря прямые финансовые или репутационные риски для компании-клиента;

• проверка аналитиками JSOC подозрительного с точки зрения Threat Detection Service (TDS) хоста инфраструктуры на предмет актуальности заражения и планирование работ по его очистке. Анализ возможных путей заражений для предотвращения повторных атак в будущем.

Сервисы могут оказываться в рамках отдельных опций.

Примечания