Финансовый сектор всегда был в центре внимания злоумышленников из-за возможности прямого вывода денег со счетов пользователей, а также большого объема чувствительных персональных данных. В таких условиях крайне важно обнаружить угрозу на ранней стадии, чтобы хакер не успел закрепиться в инфраструктуре и начать развивать свою атаку.
Как отмечает генеральный директор ROWI.tech Евгений Родионов, платформа ROWI осуществляет финансовые и кредитные операции, обрабатывает большое количество транзакций и должна гарантировать клиентам как сохранность данных, так и финансов. Для защиты от киберугроз выбрана сервисная модель SOC. Такой вариант позволяет обеспечивать контроль ИТ-инфраструктуры и максимально продуктивно использовать силы внешней команды. Это позволят принимать правильные решения в части оперативных мер реагирования.
Сервис мониторинга предоставляется по облачной модели. На его инфраструктуре установлен коллектор для сбора событий, которые обрабатываются в SIEM-системе, расположенной в облаке «РТК-Солар». На данный момент к сервису подключены ключевые элементы ИТ-инфраструктуры: сетевые устройства, средства защиты информации, контроллеры домена, критические серверы и другие элементы базовой инфраструктуры. Для обеспечения процесса мониторинга запущены сценарии выявления инцидентов разных категорий: контроль сетевого доступа, использования ПО, целостности данных, обнаружение НСД, сетевые атаки, эксплуатация уязвимостей.
Отдельная группа Threat Hunting объединяет более 200 сценариев выявления признаков компрометации инфраструктуры по техникам, которые злоумышленники используют на основе Mitre ATT&CK. Эксперты Solar JSOC обеспечивают круглосуточное выявление, анализ, обогащение и формирование оповещений о потенциальных инцидентах. Таким образом ROWI получает исчерпывающую информацию и рекомендации по противодействию конкретной угрозе.