Кейсы по внедрению центра безопасности (Security Operations Center)

1
Внедрение центра безопасности (SOC) и системы управления событиями безопасности SIEM в банке

Банк средней величины обратился к нам с целью внедрения SIEM в их собственном дата-центре. Этот банк имел некоторые элементы центра операций по безопасности (SOC), и попросил нас усовершенствовать его, привести к современным стандартам и взять на себя его поддержку.

Из нескольких доступных моделей SOC/SIEM (on-premise SOC, облачное внедрение, полный аутсорсинг и т. д.), клиентом была выбрана комбинированная модель, предусматривавшая работу нашего персонала с системами мониторинга, физически находящимся в банке.

Вначале мы провели инвентаризацию информационных активов клиента, определили источники событий от более чем 5000 хостов , расположенных в 12 офисах и дата-центрах банка, в том числе более 50 серверов баз данных. Далее мы определили профили инцидентов, процедуры реагирования и поддержки, а также оценили ёмкость потока инцидентов, которая составила около 1500 EPS.

На базе кластера высокой доступности IBM QRadar в дата-центре банка мы реализовали следующие функции и компоненты: управление журналами, управление событиями безопасности, аналитику угроз, управление рисками и уязвимостями, анализ поведения пользователя и сущностей, машинное обучение, оркестровку и реагирование, приманки и поиск угроз, цифровую криминалистику.

Наши специалисты разработали правила и процедуры, написали недостающие кастомные парсеры и оперативно подключили источники событий от Microsoft Server Family, Microsoft System Center, RedHat Enterprise Linux, Hitachi, IBM AIX, IBM Storage Manager, Cisco IOS/NX-OS, Check Point NGX, SAP, Citrix XenServer, XenDesktop, XenApp, Microsoft SQL, Oracle, Microsoft Exchange, SharePoint, UAG и многих других типов систем.

Мы защитили компоненты системы файрволами, а потоки данных – Site-to-Site VPN, определили матрицы ролевого доступа к системе, настроили непрерывное обновление, а также выполнили тонкую настройку правил и протестировали определение аномалий и угроз.

Непосредственно перед переводом в продакшн мы распределили роли и обязанности по безопасности между нашим персоналом и штатом заказчика, провели его обучение и запустили систему в промышленную эксплуатацию.

Внедрение системы заняло у нас 8 месяцев.

Выводы. В результате внедрения банк получил современный центр безопасности на базе системы мониторинга событий и реагирования на угрозы безопасности в реальном времени. Кроме прочего, мы оптимизировали некоторые технологические процессы заказчика, обнаружили устаревшие активы, улучшили управление доступом к серверам, наладили сбор и хранение протоколов событий безопасности в соответствии с требованиями PCI DSS и национальными требованиями к сбору доказательств, приемлемых в суде. Банк успешно прошёл несколько внешних независимых аудитов и выполнил требования соответствия нормам и стандартам. Общий годовой ущерб от инцидентов безопасности снизился в несколько раз.

Узнать больше о непрерывной защите веб-сайтов, внедрении SOC у вас и SOC как услуге.

2
Внедрение непрерывной защиты сайта университета

Сайты украинского университета информационных технологий страдали от регулярных атак. Главным образом, обиженные студенты взламывали свою alma mater, а также будущие ИТ-специалисты проникали на сайты и портили их вид просто для развлечения. Персонал университета не мог противостоять атакам, и руководство университета решило делегировать защиту сайтов нам.

Сначала мы выполнили первичное усиление безопасности. В частности, был проведен аудит безопасности 6 сайтов и нескольких технологических процессов. Затем мы проанализировали активы, определили политики и процедуры безопасности, укрепили веб-серверы с использованием стандартов CIS Controls и CIS Benchmark, и обновили несколько слабых компонентов. Кроме того, мы внедрили комплексные процедуры резервного копирования, сервисы сбора журналов событий, строгий ролевой доступ, двухфакторную аутентификацию и другие меры безопасности. Следуя политике университета, мы использовали несколько решений безопасности с открытым исходным кодом, а именно: брандмауэр веб-приложений (WAF) ModSecurity, систему обнаружения вторжений на основе хоста (HIDS) Tripwire и некоторые другие продукты.

Затем мы внедрили постоянную защиту для сайтов. Мы использовали максимальную защиту от DDoS-атак с использованием сервисов Cloudflare. Проверка доступности сайтов запускалась каждую минуту. Мы включили проверки транзакций – эмуляцию браузера пользователя для мониторинга важных функций веб-сайтов, например, входа в систему / регистрации и т. д. Кроме того, мы использовали проверки Real-User Monitoring (RUM) для мониторинга времени загрузки веб-сайтов с точки зрения реального пользователя. Системы университета были подключены нами к нашей системе мониторинга безопасности SIEM. Были получены некоторые другие положительные побочные эффекты и улучшения, такие как ускорение трафика для мобильных устройств.

Наконец, мы распределили обязанности по обеспечению безопасности между сотрудниками службы безопасности университета и нашими сотрудниками. Наши выделенные специалисты начали круглосуточно следить за безопасностью сайтов. Наконец, мы провели несколько тренингов для инженеров университета: по уязвимостям безопасности, тестированию безопасности, мониторингу событий безопасности и реагированию на инциденты.

В конце концов, мы даже посоветовали университету объявить программу поощрения за нахождение ошибок, поощряющую студентов сообщать об уязвимостях и пытаться взломать сайты в качестве практической работы. Таким образом, мы превратили наших противников в наших союзников без дополнительных затрат и, в то же время, демотивировали всех, кто не хотел сотрудничать.

В результате внедрения непрерывной защиты веб-сайтов количество инцидентов с сайтами снизилось до незначительного уровня. Проникновения и «дефейсы» прекратились полностью. Репутация IT-университета как безопасной организации была сохранена и значительно улучшена.

Узнать больше о непрерывной защите веб-сайтов.