Услуги Центра мониторинга

Постоянный мониторинг событий ИБ и уровня защищённости поддерживает определённый корпоративной политикой или требованиями законодательства уровень информационной безопасности коммерческой или государственной организации.

«Перспективный мониторинг» — это MSSP (Managed Security Service Provider). Мы предоставляем заказчикам услуги Security Operation Center (SOC) по мониторингу и расследованию инцидентов ИБ, контролю защищённости, защите web-приложений, анализу исходного кода приложений и администрированию систем обнаружения вторжений ViPNet IDS.

Зачем подключаться?

  1. Нехватка, отсутствие или загруженность собственного персонала для сбора и анализа поступающих данных. Дежурная смена выявляет инциденты и предлагает пути отражения атаки и снижения её последствий.
  2. Быстрый старт. Развёртывание собственного центра мониторинга занимает 5-7 месяцев. А если нужно «здесь и сейчас», то подключиться к SOC «Перспективного мониторинга» можно за 5-7 недель.
  3. Снижение рисков ИБ. Центр мониторинга отслеживает действия в информационной системе и изменения настройки оборудования и ПО, которые противоречат установленным требованиям и политикам.
  4. Понятные и прогнозируемые затраты. Собственный ЦМ — значительные единовременные расходы на оборудование, ПО, обучение. Услуги MSSP — ежемесячные или ежеквартальные фиксированные платежи.
  5. Измеряемая эффективность. Провайдер действует по SLA. Если услуги не соответствуют SLA — он несёт ответственность.
  6. Соответствие требованиям российских и международных нормативных актов, законов и отраслевых стандартов (ГосСОПКА, FinCERT, приказы ФСТЭК №№ 17, 21, 31).

Задачи центра мониторинга

  • собрать и проанализировать данные о текущем состоянии информационной безопасности и его изменениях;
  • обнаружить, предупредить и ликвидировать последствия компьютерных атак, направленных на контролируемые информационные ресурсы;
  • оповестить ответственных сотрудников об обнаружении, предупреждении и ликвидации последствий компьютерных атак;
  • оперативно отреагировать на инциденты ИБ;
  • установить причины компьютерных инцидентов;
  • собрать информацию для расследования компьютерных преступлений;
  • предоставить службам ИБ аналитику для принятия управленческих решений;
  • для ведомственных центров мониторинга, являющихся частью ГосСОПКА — обеспечить взаимодействие между центрами и обмен информацией о защищаемых ресурсах, сигнатурах, уязвимостях, атаках и инцидентах.

Как подключиться

Схема подключения к центру мониторинга

На первом этапе мы исследуем информационные системы заказчика и информационные ресурсы, состояние которых должен отслеживать ЦМ.

На втором этапе мы определяем перечень технических средств мониторинга, их спецификации и схемы размещения и подключения. Мы отлаживаем процессы управления: кто за что отвечает, как реагировать, если выявлена атака или другой инцидент ИБ.

Третий этап — мы устанавливаем и настраиваем оборудование на площадке, подключаем его к системам ЦМ по защищённым каналам связи.

Четвёртый этап — тестовая эксплуатация. Мы постепенно подключаем ранее определённые инструменты мониторинга и начинаем анализировать поступающие данные.

После этого исследователи и аналитики «Перспективного мониторинга» обрабатывают инциденты и устанавливают их причины, оценивают уровень защищённости информационных ресурсов (в том числе с помощью регулярных пентестов).

Пример схемы подключения

Пример схемы подключения к центру мониторинга

Как мы управляем инцидентами ИБ

Управление инцидентами ИБ

Средства мониторинга собирают данные о событиях от разнородных источников в инфраструктуре заказчика. На первом этапе собранные события подвергаются автоматической нормализации, фильтрации, классификации и анализу.

Оператор получает отфильтрованные данные и анализирует их с целью выявления подозрительных событий. По факту выявления потенциального инцидента ИБ он оповещает ответственных лиц и проводит предварительный разбор инцидента по детектирующим признакам. Информация о подозрительных событиях поступает не только от сенсоров — в ЦМ с информацией о событии может обратиться непосредственно заказчик, имеющий доступ к инструментам, применяемым в Центре мониторинга.

Далее информация передаётся аналитику Центра мониторинга для более детального исследования. Если инцидент подтверждается, аналитик оповещает группу реагирования. Он подробно описывает параметры инцидента (время, класс, источник данных, источник атаки, признаки атаки, эксплуатируемую уязвимость и т.д.).

Группа реагирования, которая обычно состоит из сотрудников служб ИБ и ИТ и дежурной смены Центра мониторинга, предпринимает меры по локализации атаки и защите атакованных информационных активов.

Каждый зафиксированный инцидент ИБ сопровождается выдачей информации для модернизации средств и мер защиты.

Сколько стоит

От 50 тысяч рублей в месяц (зависит от состава предоставляемых сервисов и опций).

Ежеквартальные отчёты Центра мониторинга

Второй квартал 2016 года.

Третий квартал 2016 года.

Четвёртый квартал 2016 года.

Первый квартал 2017 года.

Второй квартал 2017 года.


Реализованные проекты
Расследование изменения сайта организации

Заказчик — клиент одного из партнёров компании «Перспективный мониторинг». Подробный отчёт о расследовании и его результатах в публикации «Дело не на одну пиццу — История расследования».

Услуги Центра мониторинга для крупного оператора связи топливно-энергетического комплекса
Заказчик — крупный оператор, организующий связь для компаний топливно-энергетического сектора. Для защиты коммерческой информации и соответствия требованиям регулятора, компании требовалось организовать многоуровневую систему защиты корпоративной мобильной связи, одной из частей которой должна была быть система обнаружения событий информационной безопасности.
Обслуживание информационной инфраструктуры силового ведомства средствами Центра мониторинга
Заказчик — силовое ведомство с развитой информационной инфраструктурой, которая включает несколько Центров обработки данных и программно-аппаратных комплексов ViPNet IDS. За первый месяц эксплуатации мы донастроили 52 решающих правила и выявили и предупредили 7 инцидентов информационной безопасности. Теперь мы расширяем зону взаимодействия за счёт подключения дополнительных сегментов информационной инфраструктуры.
Расследование инцидента ИБ
Заказчик — сантехническая компания «СК Санлайн». Нам удалось установить причины инцидента и выявить затронутые информационные ресурсы.