Кейси з впровадженню центру безпеки (Security Operations Center)

1
Впровадження центру безпеки (SOC) і системи управління подіями безпеки SIEM в банку

Банк середньої величини звернувся до нас із метою впровадження SIEM у власному дата-центрі. Цей банк мав деякі елементи центру операцій з безпеки (SOC), та попросив нас вдосконалити його, привести до сучасних стандартів та взяти на себе його підтримку.

Із декількох доступних моделей SOC/SIEM (on-premise SOC, хмарне впровадження, повний аутсорсинг тощо), клієнтом була обрана комбінована модель, яка передбачала роботу нашого персоналу з системами моніторингу, що фізично знаходяться у банку.

Спочатку ми провели інвентаризацію інформаційних активів клієнта, визначили джерела подій від більш ніж 5000 хостів, розташованих у 12 офісах та дата-центрах банку, у тому числі понад 50 серверів баз даних. Далі ми визначили профілі інцидентів, процедури реагування та підтримки, а також оцінили місткість потоку інцидентів, яка склала близько 1500 EPS.

На базі кластера високої доступності IBM QRadar у дата-центрі банку ми реалізували такі функції та компоненти: управління журналами, управління подіями безпеки, аналітику загроз, управління ризиками та вразливостями, аналіз поведінки користувача та сутностей, машинне навчання, оркестровку і реагування, приманки та пошук загроз, цифрову криміналістику.

Наші фахівці розробили правила та процедури, написали відсутні кастомні парсери та оперативно підключили джерела подій від Microsoft Server Family, Microsoft System Center, RedHat Enterprise Linux, Hitachi, IBM AIX, IBM Storage Manager, Cisco IOS/NX-OS, Check Point NGX, SAP, Citrix XenServer, XenDesktop, XenApp, Microsoft SQL, Oracle, Microsoft Exchange, SharePoint, UAG і багатьох інших типів систем.

Ми захистили компоненти системи файрвол, а потоки даних - Site-to-Site VPN, визначили матриці рольового доступу до системи, налаштували безперервне оновлення, а також виконали тонке налаштування правил і протестували визначення аномалій та загроз.

Безпосередньо перед переведенням у продакшн ми розподілили ролі та обов'язки з безпеки між нашим персоналом і штатом замовника, провели його навчання та запустили систему в промислову експлуатацію.

Впровадження системи зайняло в нас 8 місяців.

Висновки. У результаті впровадження банк отримав сучасний центр безпеки на базі системи моніторингу подій та реагування на загрози національній безпеці в реальному часі. Крім іншого, ми оптимізували деякі технологічні процеси замовника, виявили застарілі активи, поліпшили управління доступом до серверів, налагодили збір та зберігання протоколів подій безпеки відповідно до вимог PCI DSS та національних вимог до збору доказів, прийнятних у суді. Банк успішно пройшов кілька зовнішніх незалежних аудитів та виконав вимоги відповідності нормам та стандартам. Загальний річний збиток від інцидентів безпеки знизився в кілька разів.

Дізнатися більше про безперервний захист веб-сайтів, впровадження SOC у вас та SOC як послугу.

2
Впровадження безперервного захисту сайту університету

Сайти українського університету інформаційних технологій страждали від регулярних атак. Головним чином, ображені студенти зламували свою alma mater, а також майбутні ІТ-фахівці проникали на сайти та псували їхній вид просто для розваги. Персонал університету не міг протистояти атакам, і керівництво університету вирішило делегувати захист сайтів нам.

Спочатку ми виконали первинне посилення безпеки. Зокрема, було проведено аудит безпеки 6 сайтів та кількох технологічних процесів. Потім ми проаналізували активи, визначили політики та процедури безпеки, зміцнили веб-сервери з використанням стандартів CIS Controls та CIS Benchmark, і оновили кілька слабких компонентів. Крім того, ми впровадили комплексні процедури резервного копіювання, сервіси збору журналів подій, суворий рольовий доступ, двофакторну аутентифікацію та інші заходи безпеки. Слідуючи політиці університету, ми використовували кілька рішень безпеки з відкритим вихідним кодом, а саме: брандмауер веб-додатків (WAF) ModSecurity, систему виявлення вторгнень на основі хосту (HIDS) Tripwire та деякі інші продукти.

Потім ми впровадили постійний захист для сайтів. Ми використовували максимальний захист від DDoS-атак із використанням сервісів Cloudflare. Перевірка доступності сайтів запускалася кожну хвилину. Ми включили перевірки транзакцій - емуляцію браузера користувача для моніторингу важливих функцій веб-сайтів, наприклад, входу в систему/реєстрації тощо. Крім того, ми використовували перевірки Real-User Monitoring (RUM) для моніторингу часу завантаження веб-сайтів із точки зору реального користувача. Системи університету були підключені нами до нашої системи моніторингу безпеки SIEM. Були отримані деякі інші позитивні побічні ефекти та поліпшення, такі як та прискорення трафіку для мобільних пристроїв.

Нарешті, ми розподілили обов'язки щодо забезпечення безпеки між співробітниками служби безпеки університету та нашими співробітниками. Наші виділені фахівці почали цілодобово стежити за безпекою сайтів. Нарешті, ми провели кілька тренінгів для інженерів університету: щодо вразливостей безпеки, тестування безпеки, моніторингу подій безпеки та реагування на інциденти.

Зрештою, ми навіть порадили університету оголосити програму заохочення за знаходження помилок, що заохочує студентів повідомляти про вразливість та намагатися зламати сайти в якості практичної роботи. Таким чином, ми перетворили наших супротивників у наших союзників без додаткових витрат і, в той самий час, демотивували всіх, хто не хотів співпрацювати.

У результаті впровадження безперервного захисту веб-сайтів кількість інцидентів із сайтами знизилася до незначного рівня. Проникнення та «дефейси» припинилися повністю. Репутація IT-університету як безпечної організації була збережена та значно поліпшена.

Дізнатися більше про безперервний захист веб-сайтів.