Solar JSOC

Архитектура сервисов Solar JSOC

Сервисы Solar JSOC

Аналитика для бизнеса и поддержки принятия решения

JSOC Security Dashboard

Онлайн система для анализа и визуализации состояния защищенности информационных систем, подключенных к Solar JSOC. JSOC Security Dashboard позволяет каждому клиенту Solar JSOC в рамках «единого окна» получать персонифицированную информацию с основными обобщенными показателями состояния информационной безопасности в компании в режиме реального времени в требуемых клиенту разрезах:

  • Общая оценка уровня опасности и защищенности как в рамках компании, так и отрасли
  • Выявление бизнес-систем, наиболее подверженных атакам
  • Определение организационных подразделений, наиболее часто являющихся причинами инцидента
  • Оценка эффективности используемых в компании средств защиты или политик ИБ или потребность в их появлении
  • Получение информации по выявляемым инцидентам и соблюдении SLA

Мониторинг и анализ инцидентов ИБ

Сбор и хранение событий ИБ

  • Сбор и хранение событий ИБ для проведения расследований. Сбор журнальных файлов с ключевых систем инфраструктуры, средств защиты и сетевого оборудования и хранение в независимой, недоступным для изменения внутренним сотрудникам инфраструктуре. Данные, собираемые в рамках услуги, могут использоваться как в регулярной аналитике/отчетности по ключевым параметрам инфраструктуры, так и в рамках расследования возникшнего внешнего инцидента или внутреннего нарушения.

  • Еженедельная аналитика по статистическим отчетам собранных событий. Регулярные работы аналитика JSOC по анализу статистических срезов данных по собираемым системам, выявлению фактических инцидентов или их признаков, предоставление информации Заказчику.

Мониторинг инцидентов ИБ

  • Мониторинг инцидентов инфраструктуры и деятельности пользователей. Централизованный сбор, корреляция и анализ событий информационной безопасности со множества подключенных к JSOC источников, таких как системы ИБ, ИТ-сервисы, рабочие станции привилегированных сотрудников и сервера СУБД и приложений. Мониторинг инцидентов и реагирование осуществляется в режиме 24х7 в соответствии с принятыми SLA. Мониторинг инцидентов ведется как в базовой инфраструктуре, так и на уровне и пользователей с использованием сведений о выявленных целевых атаках и zero-day киберугрозах.

  • Мониторинг инцидентов в бизнес-системах. Подключение к мониторингу бизнес-приложений и технологических систем с разработкой специализированных сценариев по мониторингу инцидентов и выявлению аномалий в круглостуточном режиме.

  • Подключение рабочих станций пользователей на уровне локальных событий ИБ. Подключение рабочих станций пользователей на уровне локальных событий ИБ. Данная услуга позволяет выявить потенциально опасные процессы, контролировать критичные ветки реестра, идентифицировать изменение критичных файлов, а также обнаруживать неавторизованные подключения, либо успешно расследовать выявленные инциденты, связанные с данной рабочей станцией.

  • Подключение дополнительных источников инфраструктуры для расследования инцидентов ИБ. Расширение существующего количества источников, подключенных к JSOC. Услуга позволяет подключить дополнительные источники событий ИБ при необходимости обогащения данных, собираемых с текущего набора источников, определении и мониторинге ранее неконтролируемого вектора атаки или списка сценариев.

  • Доступ к web-консоли для просмотра событий и инцидентов (для облачной схемы предоставления сервиса) до 3-х пользователей с дополнительными фильтрами и отчетами под запросы. Предоставление доступа к web-консоли SIEM системы HP Arcsight ESM, являющейся ядром JSOC. Данная услуга предоставляет возможность поиска по событиям, фильтрации по различным параметрам, создания отчетов и дашбордов. Услуга предоставляется в случае облачной схемы предоставления сервиса по мониторингу инцидентов. Услуга позволяет пользователям просматривать необходимую информацию и статистику по событиям и инцидентам.

  • Доступ к web-консоли системы диагностики SIEM (для гибридной схемы предоставления сервиса) до 3-х пользователей. Предоставление доступа к web-консоли системы диагностики SIEM системы HP Arcsight ESM. Услуга позволяет Заказчику отслеживать такие метрики работы SIEM системы как доступность, целостность, актуальность, производительность, категоризация. Консоль обеспечивает полную визуализацию информации в реальном времени.

Контроль защищенности

Управление уязвимостями инфраструктуры

  • Сканирование и сопровождение устранения уязвимостей. Выявление существующих уязвимостей в сервисах компании путем инструментального анализа.
    Обработка всего реестра выявленных уязвимостей, его приоретизация, исходя из инфраструктурных особенностей клиента, критичности конкретной системы, используемых средств защиты, политик безопасности и компенсирующих мер, снижающих общую критичность уязвимости.
    Формирование конечных рекомендаций для ИТ-специалистов для устранения наиболее критичных и актуальных уязвимостей и административно-технический контроль.
    Контроль устранения уязвимостей, включая разработку компенсирующих мер совместно с ИТВыявление существующих уязвимостей в сервисах компании путем инструментального анализа.

  • Анализ защищенности периметра и веб-сервисов. Оценка уровня защищенности ИТ-инфраструктуры организации от атак со стороны сети Интернет, оценка степени критичности выявленных уязвимостей и возможностей по осуществлению атак, а также выработка рекомендаций по ликвидации обнаруженных уязвимостей.
    Отчет по результатам работы содержит информацию об изменении периметра сети Заказчика (новые запущенные сервисы), общую оценку уровня защищенности корпоративной сети от внешних атак, подробное описание обнаруженных уязвимостей, а также рекомендации по ликвидации уязвимостей и совершенствованию защиты.
    Оценка уровня защищенности ИТ-инфраструктуры организации от атак со стороны сети Интернет, оценка степени критичности выявленных уязвимостей и возможностей по осуществлению атак, а также выработка рекомендаций по ликвидации обнаруженных уязвимостей.

  • Подтверждение актуальности уязвимостей, выдача рекомендаций по их закрытию. Подтверждение наиболее критичных уязвимостей, выявленных в рамках инструментального анализа, путем их фактической контролируемой эксплуатации, фиксации возможного импакто и привилегий, получаемых злоумышленником с ее помощью. Подготовка расширенных рекомендаций по противодействию.

Анализ безопасности состояния и конфигураций систем и сетевого оборудования

  • Анализ безопасности используемых политик ОС и оборудования. Выявление существующих ошибок безопасного конфигурирования устройств и ОС путем инструментального сканирования. Формирование конечных рекомендаций для ИТ-специалистов для устранения наиболее критичных и актуальных уязвимостей и административно-технический контроль.Услуга может предоставляться как однократно так и многократно с заданным периодом.

  • Анализ безопасности конфигураций сетевого оборудования. Реализация задач аудита безопасности и корректности конфигурации сетевого оборудования компании с применением автоматизированных средств обработки (Network Security Policy Management). Выявление, приоритезация и классификация выявленных ошибок безопасного конфигурирования, оценка их актуальности для инфраструктуры клиента и проработка возможных механизмов закрытия данных ошибок.

  • Инструментальное сканирование на признаки индикаторов 0day. Сканирование инфраструктуры для выявления тел вредоносного ПО или следов его работы, не детектируемого антивирусными средствами, по факту появления информации о них в JSOC или у его технологических партнеров. В рамках услуги используется данные, полученные путем информационного обмена и сотрудничества с ведущими CERT и аналитическими центрами киберугроз и антивирусными лабораториями. Услуга может предоставляться как однократно так и многократно с заданным периодом.

Инструментальный и ручной аудит состояния ИБ

  • Оценка соответствия внутренним политикам ИБ и нормам гигиены ИБ посредством временного мониторинга ИБ. Кратковременное подключение ИТ-инфраструктуры Заказчика к мониторингу JSOC с целью оценки соответствия внутренним политикам ИБ и нормам гигиены ИБ через фактические инциденты или технические данные инфраструктуры. Определение актуальности настройки и эффективности использования используемых средств защиты (включая ручной анализ конфигураций), выдача агреггированного отчета по согласованному профилю анализа.

  • Аудит состояния процессов реагирования на инциденты. Консультационный проект оценки зрелости внутреннего SOC. В рамках проведения теста на проникновение в Заказчике посредством параллельного подключения к мониторингу и анализу сценария противодействия клиента атаке Заказчик получает непредвзятую картину по реализованным векторам атаки, качеству выявления и противодействия атаке со стороны внутренних служб и рекомендации по возможной адаптации как профилей выявления (сценариев мониторинга), так и процессов реагирования на инциденты.

  • Верхнеуровневый анализ рисков инфраструктуры. Проведение экспресс-анализа рисков информационной безопасности путем интервьюирования ключевых сотрудников ИБ и ИТ подразделений компании. Определение связи между информационными активами и инфраструктурой. Разработка верхнеуровневой модели угроз, возможной к контролю и анализу посредством сервисов JSOC. Выявление и ранжирование угроз в рамках смежных процессов.

  • Верхнеуровневый анализ рисков бизнес-процесса. Выявление рисков ИБ в рамках критичного бизнес-процесса путем интервьюирования ключевых сотрудников профильных подразделений, определение ключевых векторов угроз, возможных к контролю и анализу посредством сервисов JSOC.

  • Аудит состояния защищенности исходного кода приложений. Услуга, позволяющая выявить большинство проблем, недостатков и уязвимостей в приложениях. В процессе безопасной разработки программного обеспечения (SDL) аудит кода является обязательной практикой на этапе реализации и выпуска ПО. Аудит позволяет определить уязвимости и недостатки безопасности в архитектуре приложения, сторонних библиотеках, а также соответствие кода стандартам платформы.Услуга может предоставляться как однократно так и многократно с заданным периодом.

  • Внешний тест на проникновение. Тест на проникновение для периметра корпоративной сети с целью выявления существующих уязвимых мест в элементах ИТ инфраструктуры, практической демонстрации возможности использования уязвимостей (на примере наиболее критических) и формирования рекомендаций по устранению выявленных уязвимостей.

Анализ внешней обстановки

  • Использование внутренних репутационных баз и информации технологических обменов при оказании сервиса. Предоставление и использование в рамках услуг JSOC данных, полученных в рамках технологического обмена с технологическими партнерами JSOC и в рамках внутренних исследований JSOC.

  • Использование коммерческих репутационных баз при оказании сервиса. Предоставление и использование в рамках услуг JSOC данных, полученных в рамках коммерческих подписок на репутационые базы и индикаторы компрометмации от коммерческих CERT и аналитическими центрами выявления кибератак.

  • Партнерские сервисы по OSINT – оценке интереса к компании со стороны киберпреступников. Использование специализировнных сервисов партнеров с целью выявления и противодействия целевым кибератакам. В рамках услуги используются сведения о реализованных угрозах в компаниях российского рынка.

Техническое расследование инцидентов

  • Аналитика произошедшего инцидента, противодействие и минимизация последствий посредством мониторинга и анализа событий.
    Анализ произошедшего инцидента ИБ:

    • Сбор информации, необходимой для анализа инцидента с серверов, рабочих станций, сетевого оборудования на отчуждаемые носители и внешние системы обработки.
    • Анализ собранной информации и формирование экспертного заключения о факте произошедшего инцидента. Обеспечение целостности информации, подтверждающей факт произошедшего инцидента.
    • Формирование выводов о причине инцидента, его импакто и сопутствующим рискам компании.
    • Формирование рекомендаций для блокирования развития инцидента и возможности его повторения.

  • Техническое исследование скомпрометированного хоста. Исследование предположительно скомпрометированного хоста путем анализа системных журналов, восстановления потерянных данных и дальнейшего анализа как статических данных хоста, так и динамической активности внедренного шпионского ПО. Выявление механизма работы вредоносного ПО, анализ его функционала, выявление потенциального импакто от его деятельности. Формирование отчета по техническом исследовании (threat report).

  • Техническое исследования сэмпла вредоносного ПО. Исследование предположительно вредоносных программ с целью установления их алгоритма, функциональных возможностей, ключевых индикаторов детектирования данного ПО посредством автоматизированных систем и осуществляемых сетевых взаимодействий. Данная услуга необходима для комплексного расследования инцидента, в котором применялось вредоносное программное обеспечение.

Эксплуатация систем информационной безопасности и реагирование на атаки

  • Эксплуатация систем защиты веб-приложений. Сервис эксплуатации WAF. Обеспечение необходимых гарантированных показателей работоспособности системы в режиме 24х7. Администрирование политик и конфигурации системы. Сопровождение и проведение обновлений. Плановое администрирование и удаленная профилактика. Оперативная настройка сигнатур под блокирование новых типов web-атак или изменение структуры веб-приложений клиента при минимальной вовлеченности внутренних специалистов дает возможность противостоять угрозам на ранних этапах.

  • Эксплуатация систем защиты от DDOS. Сервис эксплуатации AntiDDOS .Обеспечение необходимых гарантированных показателей работоспособности системы в режиме 24х7. Администрирование политик и конфигурации системы.Сопровождение и проведение обновлений. Плановое администрирование и удаленная профилактика. Позволяет надежно защитить от атак на доступность сервисов и приложений.

  • Эксплуатация AntiAPT. Сервис эксплуатации AntiAPT позволяет оперативно выявить факт развивающейся атаки в круглосуточном режиме, провести оценку фактической компрометации сети, выработать оперативные рекомендации по блокированию атаки и техническому устранению ее последствий.

  • Эксплуатация сетевых систем безопасности (FW, IPS, Threat Intelligence Solutions , NGFW). Сервис эксплуатации сетевых систем безопасности (FW, IPS, NGFW) как дополнение к сервисам мониторинга JSOC позволяет оперативно заблокировать/противодействовать выявленной и развивающейся атаке в круглосуточном режиме, обеспечив минимизацию ущерба в кратчайшие сроки, и оперативно адаптировать существующие политики средств защиты для минимизации реализации векторов атак, известных аналитикам JSOC и их технологическим партнерам.

  • Эксплуатация прокси-серверов и систем контентной фильтрации трафика. Сервис эксплуатации прокси-серверов и систем контентной фильтрации трафика как дополнение к сервисам мониторинга JSOC позволяет оперативно заблокировать/противодействовать выявленной и развивающейся атаке в круглосуточном режиме, обеспечив минимизацию ущерба в кратчайшие сроки, и оперативно адаптировать существующие политики средств защиты для минимизации реализации векторов атак, известных аналитикам JSOC и их технологическим партнерам.

SAAS

  • Аренда лицензий WAF. Сервис аренды лицензий WAF в виде подписки как способ доставки технологии для оказания услуг JSOC и снижения соответствующих рисков ИБ.Список вендоров, доступных для программы, предоставляется по запросу.

  • Аренда лицензий AntiDDOS. Сервис аренды лицензий AntiDDOS в виде подписки как способ доставки технологии для оказания услуг JSOC и снижения соответствующих рисков ИБ.Список вендоров, доступных для программы, предоставляется по запросу.

  • Аренда лицензий AntiAPT. Сервис аренды лицензий AntiAPT в виде подписки как способ доставки технологии для оказания услуг JSOC и снижения соответствующих рисков ИБ.Список вендоров, доступных для программы, предоставляется по запросу.

  • Аренда лицензий сканера защищенности. Сервис аренды лицензий сканера защищенности в виде подписки как способ доставки технологии для оказания услуг JSOC и снижения соответствующих рисков ИБ. Список вендоров, доступных для программы, предоставляется по запросу.

  • Аренда лицензий HPE ArcSight. Сервис аренды лицензий HPE ArcSight в виде подписки как способ доставки технологии для оказания услуг JSOC и снижения соответствующих рисков ИБ.


^ Наверх