Идея создания собственного SOC возникла в ходе проведения регулярных тестов систем BlueScope на устойчивость к кибератакам, которые проводила компания Kustodian. Джонстон, отвечающий на предприятии за информационные технологии и кибербезопасность, давно искал возможность создания собственного центра реагирования на киберугрозы, однако все коммерческие предложения были чрезвычайно дорогими даже для такого концерна как BlueScope. Как отметил глава IT-департамента компании, ему требовались непрерывный контроль и системы оповещения, но затраты на ПО на фоне жесткой экономии, в которой живет BlueScope несколько лет, были значительными. А с учетом того, что закупленное программное обеспечение должно было быть интегрировано в существующую сеть, для чего требовалось создавать отдельный проект, затраты могли составить порядка $1 млн и более.
Потому предложение давних партнеров рассмотреть вариант построения центра безопасности с использованием программного обеспечения с открытым кодом вызвало как интерес, так и сомнения. Глава Kustodian Крис Рок предложил Джонстону использовать ELK stack – набор программного обеспечения от Elasticsearch Inc., который объединил три инструмента: аналитический модуль от Elasticsearch, обработку данных Logstash и средства визуализации Kibana. Пакет программ оказался привлекательным по цене. Такой набор программ был использован Kustodian при построении SOC для клиентов на Ближнем Востоке.
В течение трех месяцев 2014 года BlueScope проводил испытания системы ELK. Испытания превзошли ожидания заказчика, средства позволяют администраторам в режиме реального времени видеть всю сетевую среду компании и устанавливать пороги и флаги для конкретных действий. Все действия регламентированы за счет соблюдения четких правил ведения бизнеса: уведомления о трансграничных операциях сотрудников, например, работе со счетами, приходит администраторам SOC по электронной почте и SMS. То же самое происходит, если пароль пользователя введен неправильно слишком много раз, если конкретные параметры сети превышает установленный порог, или если антивирусы или другие инструменты, сканирующие системы, предупреждают о явных признаках надвигающейся атаки.
После проведения испытаний Джонстон убедил руководство компании, которое было озабочено угрозами кибербезопасности, установить платформу и создать SOC для всего предприятия. Вопросы внедрения и пропускной способности сети были решены в процессе работы. Также было получено корпоративное одобрение работы системы безопасности, учитывая нарастающие угрозы компьютерным системам крупных предприятий. Над созданием SOC работали всего шесть человек из BlueScope и Kustodian. Они охватили все 160 000 сотрудников компании, работающих в более чем 100 местах в 17 странах Северной Америки, Азии и Австралии.
SOC начал свою работу в апреле и обрабатывает около 350 тысяч событий в час, охватывая всю сеть BlueScope. Данные собираются и доступны пользователям в режиме реального времени. Годовой архив будет содержать около 2 ТБ обработанных данных. Система построена на серверах Linux Ubuntu с использованием облачных технологий Amazon Web Services 'Elastic Cloud (EC2 2) и Simple Storage Service (S3). Первоначальная информация будет храниться на месте в течение 12 месяцев, в архивированном виде будет сохраняться еще 12 месяцев, после чего еще на год она будет отправляться в хранилища Amazon для последующего использования при необходимости.
Главным достоинством заказчика, по мнению руководителя разработчика, было четкое понимание поставленной цели, тематические исследования задач, вопрос стоял лишь в том, можно ли все это реализовать предложенными средствами. Конструкция с открытым исходным кодом в среде инструментария ELK позволила команде интеграторов достточно легко наладить работу и контроль систем различного назначения, с учетом специфики предприятия. Визуализатор позволил не только контролировать обычные компоненты IT-систем, как работа бухгалтерии и начисление заработной платы, работу сетевых ресурсов, но и контролировать промышленные системы и датчики, закрепленные на сталеплавильных печах, покрасочных пистолетах и другом оборудовании. В процессе работы команда активно участвовала в форумах и социальных сетях, обменивалась опытом и училась у коллег, работающих в том же пространстве.
Сегодня SOC работает в обычном режиме и позволяет администратору видеть не только дейсвтия во внутренней сети организации, но и отслеживать как кто-то пытается взломать сайт или ищет пути проникновения в систему компании, и принять все необходимые меры по защите сети. Это придает руководству IT-подразделения компании BlueScope уверенность в том, что оно в состоянии контролировать ситуацию. Более того, система предоставляет исторический набор данных, который можно соотнести с текущей деятельностью компании и составить отчет об эффективности работы компании.
.png)