Современная система безопасности предприятия уже давно не фокусируется только на зоне периметра, а контролирует и защищает и внутренние ресурсы компании. Это обусловлено тем, что никто не может гарантировать 100% надежность защиты периметра, и все вредоносные действия могут совершаться внутри сети буквально месяцами. В этой связи необходимо контролировать состояние безопасности по всей ИТ-инфраструктуре предприятия.

На современных предприятиях, как правило, создается команда безопасности, которая призвана отслеживать все событий и сообщения, как от специализированных устройств безопасности, так и от прочих компонентов ИТ-инфраструктуры. Ведь зачастую вредоносную активность можно определить по нетипичным событиям именно на вычислительных узлах информационной системы: рабочих станциях и серверах, особенно это касается так называемых “zero-day” атак – новейших способов и методик, с которыми ранее никто не встречался и не описывал.

Естественно, что для того, чтобы команда безопасности могла эффективно обрабатывать событий и уведомления различной степени критичности от всех систем, необходима аналитическая предобработка и корреляция этих миллионов сообщений и предоставление команде безопасности для обработки и анализа результирующих выводов в виде инцидентов и событий безопасности.

Анализ инцидентов безопасности и реакция на события проводится командой безопасности на базе разработанных процессов и процедур для реакции на различные инциденты различного уровня критичности и для выполнения рутинных процедур отслеживания и контролирования событий.

S&T Ukraine разработала Security Operations System (SOS), которая интегрируется в ИТ-инфраструктуру предприятия-заказчика и обеспечивает сбор и обработку событий безопасности, анализ инцидентов и реакцию на развивающиеся и успешные атаки, а также выполнение процедур для минимизации ущерба от атак.

Компонентами решения SOS являются программно-аппаратный комплекс аналитической системы на основе продуктов Splunk, с более чем 2000 доступными правилами обработки и корреляции, разработанные и настроенные процессы и процедуры, а также рекомендуемое штатное расписание и требования к каждому уровню специалиста или программа обучения.

Как упоминалось выше, технологическим ядром системы является аналитический модуль, который обрабатывает события из ИТ-инфраструктуры предприятия-заказчика. Именно поэтому к существующему у заказчика ИТ-ландшафту, то есть к системам, которые могут снабдить SOS информацией из журналов событий, предъявляются определенные требования.

Минимальным набор систем является: межсетевой экран следующего поколения, система предотвращения/обнаружения вторжений, система защиты оконечных точек, инфраструктурные серверы.

Дополнительную эффективность решению придает наличие в инфраструктуре систем поиска уязвимостей и приманок-ловушек (Deception/HoneyPot). Преимуществами внедрения SOS являются: улучшение видимости процессов и событий в инфраструктуре, повышение скорости реакции на инциденты безопасности, увеличение эффективности работы службы безопасности, формализация процедур команды информационной безопасности, возможность использовать развернутую аналитическую платформу для анализа технологических и прочих событий и процессов.

Этапами развертывания решения SOS в инфраструктуре заказчика являются: обследование, выяснение наиболее опасных векторов атак и наиболее уязвимых ИТ-активов, определение необходимости и объема модернизации сети заказчика и модернизация (при необходимости), развертывание программно-аппаратного комплекса аналитики и корреляции и подключение его к существующим источникам событий и отчетов, адаптация набора правил обработки и корреляции/создание новых правил, создание и адаптация процедур и политик для команды информационной безопасности, удаленная поддержка решения (от уровня второй-третьей линии, до уровня аутсорсинга).