Solar JSOC

Архитектура сервисов Solar JSOC

Технические бандлы JSOC

Противодействие киберугрозам

  • Цель – выявление широковещательных хакерских атак, защита ключевых информационных систем
  • Состав сервиса
    • Мониторинг инцидентов инфраструктуры и деятельности пользователей
      • Подключение дополнительных источников инфраструктуры для расследования инцидентов ИБ
    • Использование внутренних репутационных баз и информации технологических обменов при оказании сервиса
    • Использование коммерческих репутационных баз при оказании сервиса
    • Сканирование хостов на наличие индикаторов 0-day вирусов
    • Техническое исследование скомпрометированного хоста
    • Техническое исследования сэмпла вредоносного ПО
  • Рекомендуемые дополнения
    • JSOC Security Dashboard
    • Эксплуатация AntiAPT (при наличии)
    • Эксплуатация сетевых систем безопасности (FW, NGFW, IPS, в том числе Group-IB TDS)
    • Эксплуатация прокси-серверов и систем контентной фильтрации трафика
    • Партнерские сервисы по OSINT – оценке интереса к компании со стороны киберпреступников

Защита внешнего периметра

  • Цель – защита от проникновения извне и внешних угроз
  • Состав сервиса
    • Эксплуатация систем защиты веб-приложений (вместе с арендой лицензии при необходимости)
    • Эксплуатация систем анти-DDoS (вместе с арендой лицензии при необходимости)
    • Эксплуатация систем анти-APT (вместе с арендой лицензии при необходимости)
    • Мониторинг инцидентов ИБ инфраструктуры внешнего периметра
  • Рекомендуемые дополнения
    • Сервис «Противодействие киберугрозам»
    • Внешнее сканирование и сопровождение устранения уязвимостей
    • Внутреннее сканирование и сопровождение устранения уязвимостей
    • Анализ безопасности конфигураций сетевого оборудования
    • Внешнее тестирование на проникновение
    • Доступ к веб-порталу JSOC Security Dashboard

Контроль действий ИТ-специалистов и подрядчиков

  • Цель – контроль действий подрядчиков с критичными система для выявления нарушений или расследования инцидентов.
  • Состав сервиса
    • Мониторинг инцидентов инфраструктуры и деятельности пользователей (вокруг систем доступа)
      • Верхнеуровневый анализ рисков инфраструктуры
      • Сбор и хранение событий ИБ для проведения расследований
      • Подключение дополнительных источников инфраструктуры для расследования инцидентов ИБ – разово до 20 источников
      • Анализ защищенности периметра и веб-сервисов
  • Рекомендуемые дополнения
    • JSOC Security Dashboard
    • Анализ безопасности конфигураций сетевого оборудования

Контроль небезопасной внешней сетевой активности

  • Цель – выявление потенциально опасной внешней сетевой активности и ее анализ.
  • Состав сервиса
    • Профилирование внешнего периметра, профилирование сетевых подключений и их параметров для критичных сегментов сети
    • Мониторинг и реагирование на отклонения от установленных профилей
  • Рекомендуемые дополнения
    • Внешнее сканирование и сопровождение устранения уязвимостей
    • Внешнее тестирование на проникновение
    • Анализ безопасности конфигураций сетевого оборудования
    • Эксплуатация активных периметровых систем защиты для технического реагирования на инциденты

Контроль непрофильной активности критичных рабочих станций и серверов

  • Цель – выявление потенциально опасной активности хоста и ее анализ.
  • Состав сервиса
    • Профилирование работы критичных рабочих станций и серверов
    • Мониторинг и реагирование на отклонения от установленных профилей
  • Рекомендуемые дополнения
    • Внутреннее сканирование и сопровождение устранения уязвимостей критичных хостов
    • Сканирование хостов на наличие индикаторов 0-day вирусов

Контроль выполнения принятых и рекомендуемых политик ИБ и настроек СЗИ

  • Цель – постоянное получение среза о реализации базовых мероприятий ИБ и актуальности настроек СЗ.
  • Состав сервиса
    • Мониторинг инцидентов инфраструктуры и деятельности пользователей
      • Верхнеуровневый анализ рисков инфраструктуры
      • Использование внутренних репутационных баз и информации технологических обменов при оказании сервиса – для финансово значимых систем
      • Подключение дополнительных источников инфраструктуры для расследования инцидентов ИБ
  • Рекомендуемые дополнения
    • Доступ к веб-порталу JSOC Security Dashboard
    • Использование коммерческих репутационных баз при оказании сервиса

Мониторинг инцидентов ИБ на уровне бизнес-приложений

  • Цель – защита критичной бизнес-системы клиента (кредитный конвейер, система электронного документа оборота, система ERP) как от внешних атак, так и от злоупотреблений ИТ-специалистов и возможных схем внутреннего мошенничества и нарушения бизнес-процессов.
  • Состав сервиса
    • Мониторинг инцидентов инфраструктуры и деятельности пользователей (вокруг систем доступа)
      • Мониторинг инцидентов в бизнес-системах
      • Верхнеуровневый анализ рисков инфраструктуры
      • Верхнеуровневый анализ рисков бизнес-процесса
      • Использование внутренних репутационных баз и информации технологических обменов при оказании сервиса – для финансово значимых систем
      • Использование коммерческих репутационных баз при оказании сервиса – для финансово значимых систем
      • Подключение дополнительных источников инфраструктуры для расследования инцидентов ИБ – разово до 20 источников
  • Рекомендуемые дополнения
    • JSOC Security Dashboard
    • Эксплуатация систем защиты веб-приложений, если система доступна из Интернета (вместе с арендой лицензии при необходимости)
    • Анализ защищенности периметра и веб-сервисов, если система доступна из Интернета
    • Аудит состояния защищенности исходного кода приложений

Защищенное хранение событий ИБ и проведение расследований инцидентов

  • Цель – вынос информации по операциям с критичными система в независимую, не подконтрольную ИТ и ИБ среду, для возможности расследования и установления фактических причин инцидента или корректности проводимых работ (по запросу клиента).
  • Состав сервиса
    • Сбор и хранение событий ИБ для проведения расследований
      • Еженедельная аналитика по статистическим отчетам собранных событий
      • Верхнеуровневый анализ рисков инфраструктуры
      • Подключение дополнительных источников инфраструктуры для расследования инцидентов ИБ – разово до 20 источников
  • Рекомендуемые дополнения
    • Использование внутренних репутационных баз и информации технологических обменов при оказании сервиса
    • Инструментальное сканирование на признаки индикаторов 0day

Контроль процесса устранения уязвимостей в инфраструктуре

  • Цель – запуск управляемого процесса patch management и vulnerability management в компании по принципу 80/20.
  • Состав сервиса
    • Сканирование и сопровождение устранения уязвимостей
      • Анализ защищенности периметра и веб-сервисов
      • Верхнеуровневый анализ рисков инфраструктуры
  • Рекомендуемые дополнения
    • Подтверждение актуальности уязвимостей, выдача рекомендаций по их закрытию
    • Анализ безопасности используемых политик ОС и оборудования
    • Использование внутренних репутационных баз и информации технологических обменов при оказании сервиса
    • Использование коммерческих репутационных баз при оказании сервиса
    • Инструментальное сканирование на признаки индикаторов 0day

Эксплуатация сложных подсистем ИБ

  • Цель – передача подсистем ИБ, требующих сложной экспертизы в настройке, а также в анализе и противодействии выявляемых ими атак, в экспертную компанию .
  • Эксплуатация системы WAF/AntiDDOS
    • Состав сервиса
      • Эксплуатация систем защиты веб-приложений/ Эксплуатация систем защиты от DDOS/ Эксплуатация AntiAPT
      • Мониторинг инцидентов инфраструктуры и деятельности пользователей (в рамках подключенного WAF/AntiDDOS)
    • Рекомендуемые дополнения
      • Подключение дополнительных источников инфраструктуры для расследования инцидентов ИБ – раз в месяц до 10 источников
      • Анализ защищенности периметра и веб-сервисов
  • Эксплуатация системы AntiAPT
    • Состав сервиса
      • Эксплуатация AntiAPT
      • Мониторинг инцидентов инфраструктуры и деятельности пользователей (в рамках подключенного AntiAPT)
      • Верхнеуровневый анализ рисков инфраструктуры
    • Рекомендуемые дополнения
      • Использование внутренних репутационных баз и информации технологических обменов при оказании сервиса
      • Использование коммерческих репутационных баз при оказании сервиса
      • Инструментальное сканирование на признаки индикаторов 0day
      • Техническое исследование скомпрометированного хоста – до 5 хостов
      • Техническое исследования сэмпла вредоносного ПО – до 10 сэмплов

Техническое расследование и противодействие инциденту

  • Цель сервиса – техническое расследование атаки на инфраструктуру, определение области компрометации, выработка мероприятий по противодействию атаки и не повторению ее в дальнейшем.
  • Состав сервиса
    • Аналитика произошедшего инцидента, противодействие и минимизация последствий посредством мониторинга и анализа событий
      • Мониторинг инцидентов инфраструктуры и деятельности пользователей (в рамках вектора атаки)
      • Инструментальное сканирование на признаки индикаторов 0day
      • Техническое исследование скомпрометированного хоста – до 5 хостов
      • Техническое исследования сэмпла вредоносного ПО – до 10 сэмплов

Технический анализ выполнения базовых политик информационной безопасности и настроек средств защиты

  • Цель сервиса – единовременное получение среза по общему состоянию базовых мероприятий по ИБ и актуальности политик СЗИ.
  • Состав сервиса
    • Оценки соответствия внутренним политикам ИБ и нормам гигиены ИБ посредством временного мониторинга ИБ
      • Мониторинг инцидентов инфраструктуры и деятельности пользователей (с средств защиты информации)
      • Верхнеуровневый анализ рисков инфраструктуры
      • Использование внутренних репутационных баз и информации технологических обменов при оказании сервиса – для финансово значимых систем
      • Подключение дополнительных источников инфраструктуры для расследования инцидентов ИБ – разово до 20 источников
  • Рекомендуемые дополнения
    • Использование коммерческих репутационных баз при оказании сервиса
    • Анализ защищенности периметра и веб-сервисов

Технический анализ процесса реагирования на инциденты ИБ

  • Цель сервиса – консультационный проект оценки зрелости внутреннего SOC. В рамках проведения теста на проникновение в Заказчике получить непредвзятую картину по реализованным векторам атаки, качеству выявления и противодействия атаке со стороны клиента, и возможной адаптации как профилей выявления (сценариев мониторинга), так и процессов реагирования в клиенте.
  • Состав сервиса
    • Мониторинг инцидентов инфраструктуры и деятельности пользователей (с средств защиты информации)
    • Верхнеуровневый анализ рисков инфраструктуры
    • Анализ защищенности периметра и веб-сервисов
    • Подключение дополнительных источников инфраструктуры для расследования инцидентов ИБ – разово до 20 источников
  • Рекомендуемые дополнения
    • Анализ безопасности используемых политик ОС и оборудования
    • Аудит состояния защищенности исходного кода приложений
    • Внешний тест на проникновение (партнерская услуга для целостного решения задачи)
^ Наверх