Компания Solar Security рассказала о расширении набора услуг своего центра оперативного реагирования на инциденты ИБ JSOC. Основным дополнением являются аналитические сервисы, которые позволяют замкнуть цикл развития системы – анализируя инциденты, компания будет давать рекомендации по дальнейшему снижению их количества. Игорь Ляпунов, генеральный директор Solar Security пояснил: «Несколько лет назад мы поняли, что мир изменился. Сейчас строгие правила безопасности, за соблюдение которых ратуют адепты 17 приказа, уже не работают. Информационные системы меняются слишком быстро, и согласовать все изменения уже невозможно. Мы решили, что будем не запрещать, но мониторить все изменения и контролировать действия пользователей». Именно в этом направлении и развивается набор услуг, предоставляемых на базе JSOC.
Компания обслуживает 32 крупных коммерческих клиента, среди которых НСПК, МТС и «Тинькофф». В штате компании 48 технических специалиста, которые обработали за III квартал более 63 тыс. потенциальных инцидентов. Среднее время реагирования на инциденты составило 18 минут, при этом компания выполняет свои SLA в общем на 97,8%. В III квартале специалисты компании зафиксировали 765 случаев компрометации учетных данных администраторов и увеличение доли внутренних атак до 67,3%. Кроме того, было обнаружено 16 целенаправленных атак на клиентов. Понятно, что в такой ситуации было бы неплохо иметь систему контроля привилегированных пользователей, причем внешнюю, чтобы администраторы не могли добраться до специалистов, контролирующих их действия.
До недавнего времени JSOC предоставлял услуги в основном по мониторингу событий безопасности, анализу уязвимостей, защите веб-ресурсов компании-клиента и технической поддержке средств защиты. Всего в арсенале компании было примерно 40 строго регламентированных сервисов. Новый набор услуг, который компания называет JSOC 2.0, будет включать аналитику угроз – так называемый Threat Intelligence, защиту от целенаправленных атак, аудит кода отдельных приложений и бизнес-процессов в целом (совместно с партнерами) и многое другое.
Сейчас услуги Threat Intelligence предлагают практически все производители средств защиты, однако Solar Security не просто дает список произошедших атак с рекомендациями по защите от них, но и анализирует совместно с ИБ-интеграторами бизнес-процессы заказчика, чтобы выявить в них ключевые точки атаки и максимально эффективно настроить систему защиты на отражение нападений именно в этих точках. Впрочем, данные для своего TI компания собирает из всех доступных источников – открытых и коммерческих баз данных, собственных исследований и партнерских изысканий. Данные из разных источников коррелируются и проверяются на актуальность для конкретных заказчиков.
Идеологически компания уже не допускает возможности отразить все атаки – нужно исходить из предположения, что часть атак все равно достигнет цели. В этом случае компании-клиенты должны выделить так называемые критические точки, в которых они могут потерять деньги, например, систему банковских переводов, и строго контролировать все операции по ней с анализом подозрительных случаев. Необходимо анализировать случаи отказа в предоставлении доступа, которые могут многое сказать о вредоносной активности. Нередко эта информация вообще не анализируется. В JSOC 2.0 часть сервисов связана именно с выявлением критических для служб ИБ точек и подробным мониторингом активности в них. Как отметил Игорь Ляпунов, обычно проект начинается с внедрения или обслуживания какого-нибудь оборудования, а потом обрастает дополнительными сервисами, которые требуют подробного анализа данных об инцидентах. В результате клиенты постепенно расширяют набор потребляемых услуг – доходы во второй год, как правило, возрастают вдвое.
Валерий Коржов