Умный SOC STEP LOGIC защищает «Облако.ру»
STEP LOGIC подключил провайдера Облако.ру к SMART SOC, центру кибербезопасности на базе программной платформы собственной разработки. Помимо непрерывного сбора и хранения событий, обнаружения и оперативного оповещения заказчика об инцидентах информационной безопасности, в задачи специалистов центра входит анализ угроз и предоставление рекомендаций, а также консалтинговая поддержка, детальное расследование и экспертиза.
На сегодняшний день к SMART SOC подключено более 150 источников данных в инфраструктуре заказчика, в числе которых не только операционные системы, сетевое оборудование и средства защиты информации, но и прикладные системы, в том числе виртуализация, оркестрация и автоматизация облачных сервисов. Сбор событий осуществляется с использованием штатных механизмов источников данных, что позволяет снизить воздействие на работу сервисов облачного провайдера. Помимо внутренних, специалисты SOC используют также внешние источники: данные Threat Intelligence, базы геолокационных и регистрационных данных, доменных имён и IP-адресов, сервисы анализа вредоносного кода.
Для хранения и анализа собранных данных применяется программная платформа Security Data Lake, разработанная STEP LOGIC. Она объединяет в одном месте все данные и инструменты SMART SOC, без необходимости интеграции между собой отдельных SIEM, IRP и SOAR-решений, как это принято в классической архитектуре. Для анализа данных используются единые язык поисковых запросов, конструктор визуализаций, общие корреляционные правила и модели машинного обучения. Такой подход сокращает время реагирования аналитиков и инженеров SMART SOC, а также снижает эксплуатационные расходы.
Действия по реагированию определяются сценариями мониторинга, разработанными в контексте методологий MITRE ATT&CK и Cyber Kill Chain. По сути, каждый из них — это отдельный алгоритм, нацеленный на противодействие заданному вектору атаки, известным техникам и тактикам злоумышленников. Наиболее актуальные для заказчика сценарии подбираются после комплексного обследования, включающего анализ применяемых на объекте программных платформ, выявление связанных с ними потенциальных угроз, идентификацию необходимых источников событий и данных.
Для взаимодействия с заказчиком применяются автоматические оповещения по электронной почте и в Telegram. Совместное расследование инцидентов и контроль ключевых показателей сервиса осуществляется в интерактивном личном кабинете SMART SOC.
«Программная платформа нашего SOC оснащена гибким корреляционным движком и развитыми функциями машинного обучения для глубокого анализа собранных данных. Все это, вместе с детальными сценариями мониторинга, наработанной практикой их применения и регламентированными рабочими процессами SOC, позволяет в 10 раз снизить количество ложных срабатываний, – подчеркивает руководитель направления SMART SOC Станислав Прищеп. – Ещё одна особенность платформы – это возможность связывать инциденты в цепочки и обнаруживать растянутые во времени целенаправленные злоумышленные действия».
«Расширение пула заказчиков и спектра предлагаемых Облако.ру услуг требует соответствующего уровня обеспечения информационной безопасности, особенно в текущей непростой ситуации. Подключение к SOC компании STEP LOGIC стало важным этапом, позволяющим повысить непрерывность и безопасность предоставляемого нами сервиса, – комментирует руководитель центра киберзащиты Облако.ру Андрей Прищенко. – На текущий момент работы по проекту продолжаются, и нашей следующей целью является развитие полученного в ходе его реализации технического и экспертного потенциала».