SOC

В Segezha Group офиса и предприятия на территории России. Там трудится более 20 тыс. человек. До старта проекта холдинг самостоятельно отслеживал события информационной безопасности в ИТ-инфраструктуре на базе внутренней SIEM-системы. С ростом коллектива и количества защищаемых систем решили передать эту функцию на аутсорсинг.

Выявление и анализ событий в растущей инфраструктуре требует вложений не только в дополнительные системы кибербезопасности, но и в персонал. Построенные финансовые модели показали, что передача данных задач в аутсорсинговый центр оказывается экономически более обоснованным, чем найм сотрудников в штат. Кроме того, это позволило быстро решить проблему дефицита квалифицированных специалистов на рынке кибербезопасности.

Поставщиком сервисов мониторинга кибератак выбрали МТС RED SOC. В настоящее время провайдер контролирует более 4 тыс. критически значимых рабочих станций сотрудников и серверов, в том числе в территориально распределенных филиалах холдинга.

В рамках проекта специалисты МТС RED SOC также интегрировали сервис мониторинга с системой автоматизации реагирования на инциденты, которой уже пользуются в Segezha Group. Теперь сообщения о вредоносных или аномальных процессах и событиях в инфраструктуре анализируются быстрее и качественнее. Это позволяет более эффективно предотвращать атаки злоумышленников.

Как показал опрос, проведенный среди компаний, пользующихся различными сервисными моделями услуги Security Operations Center (SOC), возросшее число атак и приостановка деятельности иностранных вендоров повлияли на решение предприятий всерьез обратить внимание на процессы выявления, реагирования и расследования инцидентов информационной безопасности. Для enterprise-бизнеса каждый час простоя из-за произошедшего инцидента обходится значительно дороже инвестиций в ИБ, направленных на обеспечение эффективного мониторинга информационной безопасности. К драйверам спроса на аналитический сервис опрошенные компании отнесли также дефицит кадровых ресурсов, перебои с поставками вычислительных мощностей, требования регуляторов, связанные с обязательной оперативной передачей данных об инцидентах на объектах КИИ в ГосСОПКА.

Постоянно меняющиеся векторы атак требуют расширения инструментов информационной безопасности и развития сценариев защиты инфраструктуры, которые не всегда можно реализовать внутренними ресурсами. Внешний сервис SOC, в котором сконцентрированы аналитические технологии и достаточное количество экспертов, решает задачу раннего обнаружения потенциальных угроз и обеспечивает проактивную защиту.

Согласно исследованию, более 90% предприятий выбирает SOC as Service либо гибридную модель. Данные форматы, по мнению участников опроса, значительно снижают расходы и риски, связанные с реализацией корпоративного центра мониторинга ИБ. Вместе с тем, они позволяют в короткие сроки запустить сервис и получить на аутсорсинге экспертную команду инженеров и аналитиков, способную оперативно обнаруживать и предотвращать инциденты, а также выявлять и исправлять уязвимости. При этом заказчики назвали ряд проблем, с которыми сталкиваются при аутсорсинговом сервисе. Это отсутствие персонализации и погруженности со стороны подрядчиков, а также недостаточная прозрачность услуги.

Начиная с августа 2021 за обработку данных и защиту от киберугроз «Норвик Банка» отвечает центр мониторинга и реагирования на инциденты ISOC. Подключение банка к системе было реализовано по схеме облачного SOC, когда обработка событий и выявление угроз происходит на мощностях Infosecurity с использованием платформы ISOC SIEM. Сотрудничество построено по модели SOC as a Service, которое позволяет банку обеспечить комплексную защиту собственной инфраструктуры и данных. Подключив к управлению информационной безопасностью признанных профессионалов, банк смог защититься от внешних угроз и реализовал защиту данных в соответствии со стандартами ГОСТ Р 57580 и PCI DSS.

Как отметил Андрей Коняхин, начальник отдела информационной безопасности «Норвик Банка», очень важно идти в ногу со временем. Подключение к SOC надежного поставщика стало стратегически верным решением. Благодаря облачной системе удалось повысить эффективность обнаружения и предотвращения современных кибератак и реализовать важные отраслевые стандарты.

Главным критерием выбора системы мониторинга и реагирования на инциденты стало обеспечение скорости, технологичности и безопасности без снижения производительности и качества бизнес-процессов банка. Подключение к системе ISOC закрыло потребности банка в части соблюдения требований регуляторов и надежной защиты системы в случае возможных нарушений информационной безопасности, с возможностью превентивного выявления кибератак на ранних стадиях.