Заказчик — силовое ведомство с развитой информационной инфраструктурой, которая включает несколько Центров обработки данных и программно-аппаратных комплексов ViPNet IDS. Согласно требованиям регулятора, организация должна развернуть систему обнаружения атак, одним из важнейших элементов которой является мониторинг информационной инфраструктуры.
Задачи проекта
Учитывая наличие Центра Мониторинга — уже работающего сервиса обработки инцидентов, получающего события информационной безопасности, в том числе от ViPNet IDS — заказчик поставил рабочей группе следующие задачи:
- обеспечить взаимодействие по обработке событий безопасности в информационной системе заказчика с Центром мониторинга ЗАО «Перспективный мониторинг»;
- проверить работу и настроить систему обнаружения атак;
- повысить эффективность работы системы;
- проанализировать события информационной безопасности.
Решение
В проекте было несколько этапов:
- сопровождение и настройка ViPNet IDS в соответствии с конфигурацией сети;
- обработка данных средствами Центра Мониторинга;
- анализ событий, зарегистрированных ViPNet IDS, и формирование отчётов;
- настройка базы решающих правил;
- разработка кастомизированных правил для лучшего обнаружения вредоносной сетевой активности.
Результаты
За первый месяц эксплуатации мы донастроили 52 решающих правила и выявили и предупредили 7 инцидентов информационной безопасности. Теперь мы расширяем зону взаимодействия за счёт подключения дополнительных сегментов информационной инфраструктуры.
Заказчик — клиент одного из партнёров компании «Перспективный мониторинг». Подробный отчёт о расследовании и его результатах в публикации «Дело не на одну пиццу — История расследования».