Внедрение автоматизированной системы реагирования на инциденты информационной безопасности
14 ноября 2017
| Заказчик |
|
|||
| Руководитель проекта со стороны заказчика |
|
|||
| ИТ-поставщик |
|
|||
| Сроки выполнения проекта | Май, 2017 — Июль, 2017 | |||
| Масштаб проекта |
1200 человеко-часов 15000 автоматизированных рабочих мест |
|||
| Цели проекта |
1. Near Real-Time обнаружение событий (пользовательские действия, изменения ИТ-инфраструктуры), имеющих признаки инцидентов информационной безопасности (ИБ). 2. Near Real-Time автоматическое реагирование на события, имеющие признаки событий ИБ. 3. Использование существующих ИБ систем Заказчика в качестве источников данных. Возможность подключения новых источников данных к существующей системе. 4. Операции регистрации инцидентов ИБ и реагирования на угрозы ИБ должны происходить автоматически 24/7 с минимальным привлечением обслуживающего персонала. |
|||
| Использованное ПО, оборудование и вспомогательные системы |
Система MessilaBot (программно-аппаратная платформа является собственной разработкой ГК инфосекьюрити) В качестве источников данных используются следующие решения, уже используемые Заказчиком: - Service Desk с открытым исходным кодом для регистрация событий на инфраструктуре Заказчика; - PaloAlto (выявление фактов обращения к Command and Control Server (С&C) ботнет сетей, обращенйи к зараженным внешним ресурсам); - FireEye EX (выявление спам рассылок с зараженными объектами); - FireEye NX (выявление аномалий сетевого трафика); - Kaspersky Endpoint Security (выявление заражений на конечных АРМ); - Symantec Endpoint Protection (выявление заражений на серверной инфраструктуре); - Существующая инфраструктура ActiveDirectory (обогащение данных о зараженных объектах, возможности ограничения привилегий и блокировки учетных записей пользователей); - Внешние источники данных об актуальных угрозах ИБ (Проверка индикаторов компрометации (IoC)). |
|||
| Направление/область и тип работ |
Эксплуатация и управление ИТ Информационная безопасность |
|||
| Важность проекта | Поддерживающая ИС | |||
| Возможность тиражируемости | Да | |||
| Масштабируемость | Да |
Описание проекта
Ключевыми направлениями работ стали:1. создание единого хранилища инцидентов ИБ, агрегирующего и дедуплицирующего информацию существующих систем ИБ Заказчика.
2. "обучение" системы автоматическому реагированию на события, имющие признаки инцидентов ИБ.
3. Интеграция с Инфраструктурой Заказчика для обеспечения автоматической блокировки зараженных объектов, внешних ресурсов по результатам проверки индикаторов компрометации (IoC).
4. Интеграция с системой регистрации заявок Заказчика, внедрение процессов реагирования на события ИБ (оповещение, локализация зараженных объектов, процедуры проверки зараженных объектов, отчетность).
Уникальность проекта
Для внедрения системы MessilaBot не требуется существенных изменений ИТ-ИБ ландшафта Заказчика.Работа с системой не требует дополнительных человеческих ресурсов, а наоборот, сокращает время реакции и трудозатраты на анализ и устранение последствий инцидентов ИБ.
Система предоставляется в виде облачного сервиса, хранение и обработка больших массивов данных не требует дополнительных вложений в инфраструктуру Заказчика, а вынос обрабатываемых данных на облачную инфраструктуру ГК «Инфосекьюрити» высвободил дополнительные вычислительные ресурсы для реализации основных бизнес-задач Заказчика.
В рамках реализации проекта ГК «Инфосекьюрити» предоставляет сервис круглосуточного мониторинга Инфраструктуры Заказчика на предмет обнаружения и реагирования на события ИБ, силами Security Operation Center ГК «Инфосекьюрити».
Благодаря универсальной шине подключения внешних источников – любая новая система ИБ Заказчика может быть оперативно подключена к MessilaBot.
Время обработки 90% инцидентов от момента регистрации до устранения - не более 60 секунд.
