Компания SolarSecurity сообщает, что подключила инфраструктуру Тинькофф Банка к услуге круглосуточного мониторинга и реагирования на инциденты кибербезопасности Solar JSOC. Первоначально мониторингом инцидентов Тинькофф Банк занимался самостоятельно, для этого была приобретена SIEM-система HPArcSight, настроена собственная логика корреляционных правил для обнаружения инцидентов.
В связи со стремительным ростом бизнеса специалистами банка было принято решение о привлечении дополнительных ресурсов для осуществления непрерывной аналитики новых векторов угроз, мониторинга инцидентов в режиме реального времени, постоянной работы с SIEM по разработке новых правил, дэшбордов, отчетов и написания коннекторов для подключения новых систем.
Компанию-подрядчика привлекли по гибридной схеме, когда аутсорсер использует уже внедренную в банке систему HPArcSight. Для реализации такой модели взаимодействия после проведения пилотного проекта и технико-экономического обоснования был выбран Solar JSOC – первый российский коммерческий центр мониторинга, выявления и реагирования на инциденты компании SolarSecurity.
«Для финансовой компании, которая обслуживает клиентов в режиме 24/7, информационная безопасность – один из ключевых приоритетов. Круглосуточный мониторинг инцидентов и реагирование на них – это критичные процессы для онлайн-банкинга, а значит, и для бизнеса. Поэтому мы приняли решение о сотрудничестве с Solar JSOCпо данному направлению», – прокомментировал Станислав Павлунин, вице-президент по безопасности Тинькофф Банка.
В рамках подключения перед специалистами SolarJSOCставились задачи по существенному расширению логики обнаружения инцидентов среди уже подключенных к SIEMисточников событий информационной безопасности. Был определен список систем, которые необходимо было подключить к мониторингу и предоставить новые правила под них. Основной задачей стал непрерывный мониторинг и анализ происходящего в инфраструктуре банка с точки зрения кибербезопасности.
Запуск услуг Solar JSOC проводился в несколько этапов. Так как банк долгое время вел работы по наполнению HPArcSightсобственными правилами и отчетами, было важно сохранить полученные результаты, поэтому на первом этапе был проведен анализ SIEM-системы и установлен новый контент без нарушения работы накопленной логики. Далее шло профилирование и адаптация сценариев обнаружения инцидентов SolarJSOC под подключенную инфраструктуру и принятую в Банке за норму работу сервисов, систем и пользователей. На третьем этапе состоялось подключение SIEM-системы банка к дежурным линиям SolarJSOCдля обеспечения круглосуточного мониторинга и реагирования на инциденты. После ввода в эксплуатацию специалисты Solar JSOCприступили к непосредственному оказанию услуги с регулярным обновлением и адаптацией правил, написанием логики под новые подключаемые источники и мониторингом работоспособности ПО и оборудования SIEM, которое по-прежнему находится на администрировании у специалистов банка.
При реализации гибридной модели аутсорсинга банк достиг развития наиболее важных функций собственного SOC. В результате подключения к Solar JSOC был существенно расширен перечень сценариев обнаружения инцидентов, минимизировано количество ложных оповещений, введен регламент взаимодействия в случае обнаружения инцидентов и проработан roadmapподключения новых источников инфраструктуры и бизнес-приложений.
«Команда информационной безопасности Тинькофф Банка – настоящие профессионалы своего дела. В банке на протяжении нескольких лет эффективно работала система мониторинга. Поэтому при обсуждении технических деталей подключения HPArcSight, развернутого в банке, к SolarJSOC, стало понятно, что «со своим уставом» к ним приходить не нужно, – отметил руководитель направления аутсорсинга информационной безопасности Solar Security Эльман Бейбутов. – Для того чтобы реализовать подключение, нам потребовалось решить две ключевые задачи: уже во время пилота показать эффективность наших методик выявления инцидентов и предложить схему совместной работы администраторов ArcSight со стороны банка и SolarJSOC».