Центр мониторинга и реагирования на кибератаки (Security Operation Center)

Заказчик:: Трубная металлургическая компания (ТМК)
Руководитель проекта со стороны заказчика: Дмитрий Якоб

Директор по ИТ
Год завершения проекта: 2020
Сроки выполнения проекта: Ноябрь, 2019 - Июнь, 2020
Масштаб проекта: 10000 автоматизированных рабочих мест
Цели: Повышение защищенности ИТ-инфраструктуры за счет мониторинга ИБ 24/7; - Снижение рисков, связанных с кибератаками; - Проактивное обнаружение атак на ранних стадиях; - Обеспечение взаимодействия с центром ГосСОПКА в рамках Федерального закона №187-ФЗ; - Выработка единых подходов к мониторингу ИБ на всех предприятиях группы.

Уникальность проекта

Проект реализуется по гибридной модели, объединяющей ресурсы организации и внешнего подрядчика – Центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар». Аппаратные мощности SIEM-системы и сопровождение средств защиты находятся в зоне ответственности ТМК, а мониторинг и разработка сценариев реагирования – на стороне партнера. Такой подход позволил достичь поставленных целей в предельно сжатые сроки (первая очередь проекта запущена всего за 6 недель!).

Благодаря сервисной модели группа компаний ТМК обеспечила высокий уровень ИБ для своих информационных ресурсов в cжатые сроки. Реализованное решение дает возможность выявлять и блокировать в том числе деятельность таких высококвалифицированных злоумышленников, целью которых может быть скрытый шпионаж или нарушение производственных процессов. Сегодня специалисты Центра противодействия кибератакам Solar JSOC не только закрывают задачи выявления, мониторинга и анализа инцидентов, но также разрабатывают и адаптируют для ТМ

Использованное ПО: В проекте используется решение MaxPatrol SIEM. В качестве источников информации к системе мониторинга SOC подключены: контроллеры домена, периметровые межсетевые экраны, средства антивирусной защиты, инфраструктурные сервисы (DHCP-серверы, DNS, прокси-серверы), системы динамического анализа кода, серверы электронной почты, антиспам-системы, VPN-шлюзы, коммутаторы и сетевое оборудование, серверы виртуализации, CMDB-системы, критичные серверы и рабочие станции
Сложность реализации: Ключевая сложность проекта была связана с необходимостью одновременного запуска мониторинга 5 геораспределенных площадок в предельно сжатые сроки, что потребовало предельно слаженного взаимодействия и эффективных процессов на уровне служб ИТ, ИБ и сервис-провайдера. Дополнительная сложность заключалась в проработке эффективной ролевой модели взаимодействия в рамках гибридной схемы работы. Необходимо было обеспечить соблюдение SLA и прозрачность процесса мониторинга для обеих сторон.
Описание проекта: Проект включал себя: - Предварительное внедрение SIEM-системы на 5 крупнейших геораспределенных площадках компании - Проработку способа реализации SOC, в том числе: схемы работы, SLA, объём и порядок подключение источников, определение приоритетности и порядка подключение сценариев; - Проработку ролевой модели и схемы взаимодействия; - Разработку схемы реагирования инцидентов; - Разработку схемы взаимодействия с ГосСОПКА; - Подключение источников и сценариев; - Проработку взаимодействия в рамках киберразведки. Базовое подключение и запуск первой очереди уникальных и проверенных на практике отраслевых сценариев выявления инцидентов занял всего 6 недель. За это время проведено полное обследование инфраструктуры предприятия, к мониторингу подключены ключевые источники информации о событиях ИБ. На сегодня для обнаружения подозрительной активности на каждой из площадок задействовано более 30 сценариев мониторинга, которые адаптированы к бизнес-процессам организации, и продолжается запуск новых.

Для того чтобы обеспечить возможность выявления сложных и скрытых кибератак, в ТМК были развернуты решения по анализу сетевого трафика, внедрен углубленный анализ событий информационной безопасности на рабочих станциях с помощью бесплатно распространяемых инструментов расширенного журналирования и выявления атак. Совокупно с наработками Solar JSOC это позволяет детектировать нападения кибергруппировок самого высокого уровня со сложным инструментарием, который не выявляют базовые средства защиты. Чтобы гарантировать ТМК самую актуальную и полную информацию о новых киберугрозах, собирающая такие данные платформа Threat Intelligence Solar JSOC интегрирована с аналогичной платформой у ТМК. Таким образом, компании осуществляют двусторонний обмен данными об индикаторах компрометации информационных систем, что взаимно обогащает их базы и помогает выявлять атаки на самом раннем этапе. Для того чтобы в полной мере использовать логику работы сценариев мониторинга Solar JSOC, которая учитывает сетевую модель, критичность хостов, учетных записей и т.д., на каждой площадке произведена интеграция SIEM с базой конфигурационных единиц (CMDB) ТМК. Это позволило практически в режиме реального времени получать актуальную информацию о критичностях новых ИТ-активов компании, оперативно подстраивая и приоритизируя работу сценариев.
География проекта: На первом этапе к SOC подключено 5 геораспределенных площадок группы компаний, в т.ч. исполнительный аппарат и основные центры обработки данных. География проекта на сегодня: Москва, Таганрог (Ростовская обл.), Волжский (Волгоградская обл.), Полевской и Каменск-Уральский (Свердловская область). В дальнейшем масштабный проект охватит все площадки ТМК и информационные системы предприятия.