"Газинформсервис" присоединился к поставщикам услуг коммерческих SOC

SOC "Газинформсервис" представил на форуме PHDays 2024. Заместитель генерального директора, технический директор "Газинформсервиса" Николай Нашивочников отметил, что компания уже давно присматривалась к этому направлению работы. Однако, по его словам, до 2022 г. преобладал скепсис, связанный с настороженным отношением потенциальной целевой аудитории к любым формам аутсорсинга, особенно в такой чувствительной сфере, как информационная безопасность. Но шквал кибератак, на который наложились последствия ухода зарубежных поставщиков с российского рынка, кадровый голод и ограничения по бюджету, по мнению Николая Нашивочникова, способствовали перелому ситуации.

Задача по созданию коммерческого SOC, как отметил Николай Нашивочников, оказалась сложнее, чем изначально предполагали технические специалисты компании. На ее решение ушел год вместо предполагаемых 6 месяцев. Технологической основой SOC от "Газинформсервиса" стал Ankey SIEM NG. При этом специалистам "Газинформсервиса" пришлось разработать более 500 дополнительных правил корреляции и 133 коннектора для разных устройств и систем.

Гордостью "Газинформсервиса" стал аналитический сервис поведенческой аналитики на основе машинного обучения, который работает поверх SIEM системы. Как подчеркнул Николай Нашивочников, уже в режиме опытной эксплуатации он показал очень высокое быстродействие в выявлении подозрительной активности, которое намного опережало аналитику SIEM, построенную на корреляции событий. Кроме того, аналитика решила проблему пропуска инцидентов, что на начальной стадии работ было наиболее серьезной проблемой.

Особенно полезным данный инструментарий оказался в противодействии использования легитимных инструментов в злонамеренных целях, что крайне сложно вовремя выявить с помощью традиционного инструментария. Также аналитический сервис помог выявить целевую атаку, за которой стояла профессиональная APT-группировка.

Отличием SOC "Газинформсервис" можно считать использование в работе продукта класса UEBA c применением ML – Ankey ASAP. ПО дает возможность обнаруживать те атаки, которые, например, пропускает SIEM.

Пока SOC "Газинформсервиса" оказывает 5 услуг: аудит, контроль активов, управление уязвимостями, мониторинг и реагирование на события ИБ в режиме 24/7, анализ инцидентов. По мнению Николая Нашивочникова, именно они наиболее востребованы у потенциальных заказчиков и с реализацией которых силами внутренних команд возникает больше всего сложностей.

Однако, как подчеркнул Николай Нашивочников, компания находится только в начале пути. Уже к концу года перечень предоставляемых SOC услуг будет расширен. Уже в августе появятся сервисы расследования инцидентов (форензики) и активной комплексной оценки защиты ИТ-инфраструктуры заказчиков ("редтиминг"), ближе к концу года – киберразведки (Threat Intelligence, TI), а также компания планирует открыть киберполигон для тренировки специалистов по расследованию киберинцидентов и по настройке СЗИ.

Также компания готова предоставлять сервисы не только для обеспечения безопасности традиционной ИТ-, но и промышленной инфраструктуры, но тут, как напомнил Николай Нашивочников, существует много регуляторных и технологических ограничений, не все из которых легко преодолимы. Однако, по его оценке, услуги по расследованию инцидентов или аутстаффингу персонала на территории заказчика могут быть востребованы. Тем более, что у "Газинформсервиса" есть все необходимые компетенции и полный набор лицензий от регуляторов, так что к оказанию выездных услуг для обеспечения безопасности технологических сетей и АСУ ТП в "Газинформсервисе" также полностью готовы.