13 декабря, 2021

SOC в финансовой сфере

В рамках SOC-Форума «Практика противодействия кибератакам и построение центров мониторинга ИБ», который прошел 7-8 декабря, состоялась сессия, посвященная вопросам функционирования SOC в финансовой отрасли. Эксперты различных компаний и банков поделились своим опытом построения центров реагирования на компьютерные инциденты.

 

Практика построения гибридного SOC

Артем Сычев, руководитель направления Управления информационной безопасности АО «АльфаСтрахование», рассказало практике построения гибридного SOC (внешний SOCaaS и собственный OpenSource).

В компании было принято решение о развитии собственной экспертизы, с одной стороны. С другой стороны, о поиске партнера для работы по аутсорсинговой схеме. Среди всего перечня функций были отобраны те, развивать которые посчитали целесообразным внутри компании и функции, которые лучше передать на аутсорс.

«Мы считаем, что взломать можно любую систему и поэтому решили сделать упор на развитие плейбуков реагирования, – отметил Артем Сычев. –  Поскольку мы лучше знаем нашу инфраструктуру, то поиск угроз был отдан на внутреннюю экспертизу. Нам хотелось уже за год выйти на какое-то рабочее решение по реагированию на инциденты (система учета инцидентов). При этом не потратить на это слишком много ресурсов, как денежных, так и людских».

Артем Сычев объяснил, как в компании видят гибридный SOC с точки зрения архитектуры: «Нам не нравилась модель черного ящика, SOC как сервис, поэтому для нас стало ключевым моментом то, что наши работники могут в любое время и проводить проактивный поиск угроз по сырым данным SOC, и видеть инциденты напрямую. Мы можем обучаться и задавать вопросы нашим партнёрам – почему было принято то или иное решение».

От лица партнеров АО «Альфа-Страхование» по данному проекту выступил Тимур Зиннятуллин, директор Центра киберустойчивости Angara SOC. Он отметил, что в прошлом году в рамках единой структуры произошло объединение двух направлений – сервисного и интеграции. Благодаря этому появилась возможность адаптироваться к любой гибридной модели SOC, необходимой бизнесу, в данном случае компании «Альфа Страхование».

«В настоящее время к SOC подключены не все объемы той инфраструктуры, которые находятся во владении у коллег, но это связано с тем, что есть определенные  этапы приоритезации, которые соответствуют моделям угрозам, критичным сегментам и активам», – отметил Тимур Зиннятуллин.

В качестве пути дальнейшего развития Артем Сычев назвал покрытие SOC полностью всей инфраструктуры компании с упором на автоматизацию реагирования на инциденты и повышение скорости процессов.

 

Построение внутреннего SOC в банке

Вячеслав Касимов, директор департамента информационной безопасности Московского кредитного банка, рассказал о построении внутреннего SOC кредитной организации, о плюсах, минусах и подводных камнях этого процесса.

Подготовка к проекту предполагала непосредственно проектирование SOC и придание ему тех контуров, которые он сейчас имеет. Также был произведен расчет серверных мощностей, проработанный архитектором совместно с подразделением по созданию и поддержке ИТ-инфраструктуры. Была создана архитектура и выполнен кропотливый подбор ПО.

«Очень важны расчеты HR-подразделения, потому что известно, что SOC – это люди, технологии, процессы. И все три составляющие требуют серьезных денежных вложений, – подчеркнул директор департамента ИБ МКБ.

По словам Вячеслава Касимова, в рамках подготовки к проекту в банке выяснили, что стоимость владения собственным SOC ниже на 40% за четыре года по сравнению с коммерческими SOC, существующими на рынке. Поэтому стоимость – это очевидный плюс собственногоSOC. Еще одним преимуществом внутреннего SOC является быстрая скорость реагирования на инциденты.

Среди минусов таких проектов эксперт назвал длительные сроки реализации и необходимость поиска персонала.

 

Детектирующая логика: как на раннем этапе заложить порядок в SIEM

Владимир Зуев, начальник отдела Корпоративного центра взаимодействия с Системой «ГосСОПКА» Департамента информационной безопасности АО «Россельхозбанк», в своем выступлении осветил вопросы наведения порядка в SIEM-системах.

«Поскольку некоторое время назад существовал очевидный тренд на закупку таких систем, многие организации приобрели себе данный инструмент. Однако если не подготовиться должным образом к его применению, можно получить ряд проблем, разочароваться в данном решении, потратить серьезные ресурсы и при этом не получить никакой ценности от них», – отметил Владимир Зуев.

Эксперт предложил проанализировать ключевой элемент таких систем – корреляционные правила и рассмотреть их как набор тестов, которые проходит каждое событие, которое поступило на корреляционный движок в зависимости от архитектуры SIEM.

Именно корреляционные правила являются главной ценностью центра мониторинга, считает Владимир Зуев.

 

Как приспособить SOC к эволюции корпорации

Юрий Наместников, руководитель SOC Яндекc Банка, свое выступление посвятил вопросу функционирования SOC в условиях быстро растущей организации на примере компании Яндекс.

Нет сомнений, что безопасность должна успевать за стремительным ростом бизнеса, должна уметь масштабироваться на возрастающее количество «железа», мощностей и серверов.

По словам Юрия Наместникова, существует несколько вариантов развития событий в данном случае.

Первый – строить SOC в каждой новой структуре, которая присоединяется к материнской. «Это дорого, но вполне рабочий вариант», – подчеркивает эксперт.

Второй – использовать внутренний SOC для материнской компании, где все процессы уже выстроены и понятны, а безопасность всех новых дочерних организаций отдать на аутсорсвнешнему SOC.

Третий – это использование внутреннего SOC, внутри которого выделяются направления по работе с различными частями бизнеса – логистикой, финансами и т.д.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

09.12.2024
Конференция «Сетевая безопасность». Эксперты — о трендах на рынке ИБ в 2024 году
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о самой конференции
09.12.2024
Конференция «Сетевая безопасность». Эксперты — об импортозамещении
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о будущем
09.12.2024
Мошенники предлагают заявить на мошенников… и это тоже мошенничество
09.12.2024
У ВТБ появился свой «пэй». Сервис подключило уже 30 тысяч человек
06.12.2024
«Инфа с точностью до секунд». DLBI — о новом взломе БД «Почты России»
06.12.2024
На CX FinTech Day эксперты обсудили стратегии и технологии для улучшения клиентского опыта
06.12.2024
«Штурман» будет дружески подсматривать в экран пользователя
06.12.2024
«То, что госкомпании будут ориентированы на опытных игроков, скорее всего, пойдёт первым на пользу»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных