Компания Positive Technologies выпустила решение PT Platform 187, предназначенное для создания корпоративных и ведомственных центров ГосСОПКА в кратчайшие сроки. PT Platform 187 включает набор технических средств, необходимых для взаимодействия с Национальным координационным центром компьютерных инцидентов (НКЦКИ) и построения эффективной системы безопасности объектов КИИ в рамках № 187-ФЗ.
Решение обладает фиксированной стоимостью и предназначено для организаций с IT-инфраструктурой, не превышающей 250 сетевых узлов. Также PT Platform 187 может устанавливаться как часть сегмента ГосСОПКА в территориальных подразделениях крупных организаций с распределенной инфраструктурой. Решение позволит:
- получать данные о событиях ИБ из различных источников, автоматически их анализировать и выявлять инциденты;
- обнаруживать уязвимости и контролировать их устранение;
- проводить ретроспективный анализ при расследовании инцидентов;
- инвентаризировать информационные ресурсы и поддерживать сведения об инфраструктуре в актуальном состоянии;
- контролировать процессы реагирования на инциденты, ликвидации их последствий и взаимодействовать с НКЦКИ.
«PT Platform 187 — это реальный инструмент для создания собственного SOC в небольших масштабах, построения ИБ-процессов, развития своей экспертизы и повышения эффективности информационной безопасности в организации в целом, и что немаловажно ― на базе решений, которые уже доказали свою эффективность на практике — комментирует директор по развитию бизнеса Positive Technologies в России Максим Филиппов. — В первую очередь, решение будет интересно региональным органам власти, госучреждениям, обеспечивающим информационную безопасность госструктур, дочерним организациям крупных предприятий с отдельной ИТ-инфраструктурой, которые являются субъектами значимых инфраструктур».
В PT Platform 187 объединены 5 продуктов собственной разработки Positive Technologies: система контроля защищенности MaxPatrol 8, система мониторинга событий и выявления инцидентов ИБ MaxPatrol SIEM, система комплексного анализа сетевого трафика PT Network Attack Discovery, система выявления вредоносного контента PT MultiScanner и «ПТ Ведомственный центр» – система управления инцидентами и взаимодействия с НКЦКИ. Продукты могут использоваться для выполнения методических рекомендаций ФСБ по построению центров ГосСОПКА, требований ФСТЭК России к системам безопасности значимых объектов КИИ и к обеспечению их безопасности, а также требований проекта приказа ФСБ России к техническим средствам ГосСОПКА.
Все продукты интегрированы между собой, благодаря чему обеспечивается максимальная совместимость компонентов. Ядро платформы — MaxPatrol SIEM. Он формирует модель защищаемой IT-инфраструктуры, что позволяет лучше понимать ее уязвимые места, точнее оценивать вероятность успешной реализации атак и упрощает расследование инцидентов. Модель инфраструктуры обогащается сведениями о конфигурации, уязвимостях, программном и аппаратном обеспечении информационных ресурсов из MaxPatrol 8 и PT Network Attack Discovery.
MaxPatrol SIEM собирает события безопасности из различных источников, в том числе и из PT Network Attack Discovery и PT MultiScanner, и по определенным признакам выявляет инциденты. Для выявления вредоносного контента PT Network Attack Discovery передает файлы из сетевого трафика в PT MultiScanner. В случае обнаружения зараженного файла сообщение об инциденте уходит из PT MultiScanner в MaxPatrol SIEM, где срабатывает уведомление. Информация об инцидентах автоматически передается в «ПТ Ведомственный центр» для регистрации, реагирования и последующей отправки в НКЦКИ.
Предусмотрена единая система аутентификации (SSO), что упрощает и ускоряет работу ИБ-специалиста. Пользователь проходит авторизацию в системе идентификации и управления доступом и автоматически получает доступ ко всем продуктам.
Все продукты платформы разворачиваются с помощью единого инсталлятора. Это позволяет оперативно внедрить PT Platform 187 с минимальными трудозатратами и начать взаимодействие с ГосСОПКА в кратчайшие сроки. Внедрение займет от месяца до полугода в зависимости от инфраструктуры и зрелости ИБ-процессов в конкретной организации.
Решение отличается простотой использования и понятными интерфейсами. Для эффективной работы в штате компании достаточно иметь аналитика и специалиста по администрированию и обслуживанию системы.
Продукты, входящие в платформу, постоянно развиваются и оперативно получают обновления, необходимые для противодействия актуальным угрозам и соответствия требованиям новых нормативно-правовых актов в сфере защиты КИИ и ГосСОПКА.