Журнал "Information Security/ Информационная безопасность" #2, 2024

• 51 ТЕХНОЛОГИИ www.itsec.ru Появление Центра мониторинга и реа- гирования в структуре "Газинформсер- виса" – логичный и ожидаемый этап развития сервисов компании: за годы работы накоплена огромная экспертиза, запущен масштабный центр компетен- ций для мониторинга событий. Но решающую роль в вопросе создания коммерческого SOC сыграл запрос от заказчиков на аутсорсинг ИБ: понимание требований к качеству процессов и ква- лификации специалистов позволили им преодолеть избыточную осторожность в вопросах предоставления доступа к своей инфраструктуре и чувствитель- ным данным. SOC. Надежно Технологический стек Центра монито- ринга и реагирования "Газинформсервис" включает SIEM, IRP/SOAR, а также UEBA, PAM, Asset Management, Vulnerability Management и EDR. Принципиально решено не использовать в стеке сла- боинтегрируемые и сырые продукты: надежность поставлена во главу угла. Отдельно стоит отметить применение слоя поведенческой аналитики в допол- нение к традиционному SIEM. Такое тех- нологическое решение позволит более качественно и эффективно выявлять закономерности, давать корректные про- гнозы и, как следствие, более надежно выявлять инциденты. Наборы обучающих данных для поведенческой аналитики накоплены аналитиками компании "Газинформсервис" за годы работы. Весь набор ИБ-решений позволяет компании уже сейчас полноценно ока- зывать следующие услуги: l контроль ИТ-активов – сбор и поддер- жание в актуальном состоянии инвента- ризационной информации об активах, сетях и сервисах, определение их взаи- мозависимостей и критичности; l управление уязвимостями – сканиро- вание инфраструктуры на предмет нали- чия известных уязвимостей, приорити- зация, информирование, предоставле- ние рекомендаций по устранению и конт- роль устранения; l мониторинг событий безопасности – централизованный сбор, обработка, ана- лиз и хранение данных от источников, автоматическое выявление потенциаль- ных инцидентов и оповещение персона- ла SOC; l анализ и обработка инцидентов – анализ информации о потенциальных инцидентах и проверка их состоятель- ности для своевременного подтвержде- ния инцидентов, обогащение дополни- тельными сведениями о затронутых акти- вах и источниках возникновения, харак- тере воздействия, возможных негатив- ных последствиях, приоритизация и т.д.; l реагирование на инциденты – выпол- нение действий по локализации под- твержденного инцидента, снижение нега- тивных последствий, вытеснение зло- умышленника из инфраструктуры и вос- становление штатного режима работы. В планах компании – за счет расши- рения команды аналитиков добавить новые качества к SOC: l киберразведку – определение ланд- шафта киберугроз, ретроспективный анализ; l подключение к полигону АЦКБ; l форензика, углубленное расследова- ние; l устранение последствий инцидентов и многое другое. Стратегический подход, разработка и подготовка комплексных решений, тре- нировки и участие команды в профес- сиональных соревнова- ниях – это то, что заложе- но в фундамент SOC "Газинформсервиса". К слову, у компа- нии есть своя лаборатория искусствен- ного интеллекта и масштабные нара- ботки в этой области. Но все же в ком- пании не склонны переоценивать значи- мость новых технологий, и применение ИИ в Центре мониторинга и реагирова- ния GIS пока будет ограничено задачами, связанными с повышением эффектив- ности детектирования инцидентов. Прямой доступ к большому количеству информации о киберинцидентах подра- зумевает наличие собственной анали- тики, поэтому Аналитический центр кибербезопасности "Газинформсервиса" наращивает мощность и недавно выпу- стил свой первый публичный отчет 1 , посвященный утечкам данных. Анали- тический центр был создан в феврале этого года, он активно развивается, и в этом году будут выпущены еще несколько аналитических отчетов. Для проверки качества работы и защи- щенности SOC проводятся регулярные тестирования, в том числе и с участием собственной команды "редтим". И о проблемах. У нового SOC есть и команда, и процессы, и технологии, но пока нет названия. В связи с этим ком- пания "Газинформсервис" объявила кон- курс на его выбор, все подробности можно узнать на специальном сайте 2 . l Центр мониторинга и реагирования GIS. Запущен SOC компании "Газинформсервис" омпания “Газинформсервис" в этом году отмечает 20 лет с момента основания и является одним из крупнейших вендоров на рынке информационной безопасности России. 24 мая в Лужниках компания сообщила о запуске собственного коммерческого SOC. Анонс нового центра мониторинга провел заместитель генерального директора, технический директор компании “Газинформсервис" Николай Нашивочников. К 1 https://www.gaz-is.ru/files/gis-ob-aktualnom/report22-23.pdf 2 https://namesoc.ru/ АДРЕСА И ТЕЛЕФОНЫ ГАЗИНФОРМСЕРВИС см. стр. 72 NM Реклама