Технологии
- Быстро подключаем любые компоненты инфраструктуры и гарантируем доступность 99,9% за счет размещения SIEM, EDR и IRP в собственном облаке
- Облако сертифицировано по требованиям 27001, 27017, PCI DSS и аттестовано по 152-ФЗ до УЗ-1
Центр мониторинга
кибербезопасности
(SOC)
Круглосуточный мониторинг событий и анализ инцидентов информационной безопасности — от контроля ключевой бизнес-критичной системы до всей инфраструктуры
компоненты soc
Процессы
- Непрерывно выявляем следы компрометации, регулярно актуализируем базы правил по собственной методологии
- Процессы мониторинга событий и выявления инцидентов ИБ соответствуют стандарту 20000:1
- Непрерывно выявляем следы компрометации, регулярно актуализируем базы правил по собственной методологии
Команда
- Предоставляем услуги квалифицированной команды по всем направлениям: аналитики и эксперты SOC L1, L2, L3, сервисные менеджеры, инженеры и архитекторы SOC
- Специалисты сертифицированы ведущими российскими и международными вендорами
Решение будет
полезно, если
Требуется помощь экспертов во время и после инцидентов
Риски целевых атак, фишинговых сообщений и вирусных заражений критичны для бизнеса
Не хватает квалифицированных кадров ИБ
Найм и обучение собственного штата специалистов нецелесообразны с точки зрения бюджета и трудозатрат
Отсутствуют системы мониторинга ИБ
Внедрение SIEM, EDR/TI/IRP/SOAR требует времени и инвестиций, а защита от инцидентов необходима уже сейчас
Установленная SIEM не справляется с задачами
«Коробочное» решение требует тонкой настройки в соответствии с задачами и процессами бизнеса
Утрачен доступ к сервисам международной компании
С российского рынка ушел партнер, комплексно предоставляющий услуги ИБ как сервис
Необходимо соответствие законодательству
Требования регуляторов обязывают компанию осуществлять непрерывный мониторинг событий ИБ (187-ФЗ, 250-УП, Положения ЦБ и др.)
Требуется помощь экспертов во время и после инцидентов
Риски целевых атак, фишинговых сообщений и вирусных заражений критичны для бизнеса
Не хватает квалифицированных кадров ИБ
Найм и обучение собственного штата специалистов нецелесообразны с точки зрения бюджета и трудозатрат
Отсутствуют системы мониторинга ИБ
Внедрение SIEM, EDR/TI/IRP/SOAR требует времени и инвестиций, а защита от инцидентов необходима уже сейчас
Установленная SIEM не справляется с задачами
«Коробочное» решение требует тонкой настройки в соответствии с задачами и процессами бизнеса
Утрачен доступ к сервисам международной компании
С российского рынка ушел партнер, комплексно предоставляющий услуги ИБ как сервис
Необходимо соответствие законодательству
Требования регуляторов обязывают компанию осуществлять непрерывный мониторинг событий ИБ (187-ФЗ, 250-УП, Положения ЦБ и др.)
Форматы
подключения
Облачный SOC
*Managed Security Service Provider Security Operation Service
Функции мониторинга полностью осуществляются силами команды и на базе систем К2 Кибербезопасность. Для подключения требуется только предоставить доступ к источникам данных.
Центр мониторинга кибербезопасности по сервисной модели из облака включает в себя:
— технологии для мониторинга событий и анализа инцидентов ИБ (SIEM, IRP, TI и т.п.), а также платформу облака
— процессы по поддержанию работоспособности SOC и управлению инцидентами и уязвимостями ИБ
— команду аналитиков и экспертовГибридный SOC
Мониторинг и анализ осуществляется на базе технологий со стороны заказчика и команды К2 Кибербезопасность.
Источники данных подключаются к SIEM-системе клиента, команда К2 Кибербезопасность оказывает услуги по мониторингу событий и анализу инцидентов ИБ
Процесс мониторинга
Тарифы
| Услуги, входящие в тариф | Базовый | Расширенный |
|---|---|---|
| Подключение к SOC К2 Кибербезопасность | ||
| Сбор и мониторинг событий ИБ 24/7 с помощью SIEM-системы Kaspersky KUMA | ||
| Отсеивание ложных срабатываний благодаря правилам корреляции и контенту, разработанным аналитиками К2 Кибербезопасность | ||
| Анализ и выявление инцидентов ИБ с первичными рекомендациями по их устранению | ||
| Разбор инцидента ИБ и предоставление рекомендаций по реагированию написание правил корреляции аналитиками-разработчиками | ||
| Хранение событий ИБ в течение определенного договором времени | ||
| Ускоренное время реакции согласно SLA | ||
| Обогащение данных об актуальных типах угроз (TI) | ||
| Персональный сервис-менеджер | ||
| Нотификация через мессенджер |
| Услуги, входящие в тариф | |
|---|---|
| Подключение к SOC К2 Кибербезопасность | |
| Сбор и мониторинг событий ИБ 24/7 с помощью SIEM-системы Kaspersky KUMA | |
| Отсеивание ложных срабатываний благодаря правилам корреляции и контенту, разработанным аналитиками К2 Кибербезопасность | |
| Анализ и выявление инцидентов ИБ с первичными рекомендациями по их устранению | |
| Разбор инцидента ИБ и предоставление рекомендаций по реагированию написание правил корреляции аналитиками-разработчиками | |
| Хранение событий ИБ в течение определенного договором времени | |
| Ускоренное время реакции согласно SLA | |
| Обогащение данных об актуальных типах угроз (TI) | |
| Персональный сервис-менеджер | |
| Нотификация через мессенджер |
Дополнительные услуги
Индивидуальное расширение любого тарифа
Выявление и анализ уязвимостей
регулярное сканирования информационных систем на предмет уязвимостей, которые могут быть использованы для атак
Обогащение данных об актуальных киберугрозах (TI)
кибер-разведка для повышения качества аналитики и выявления активности известных преступных группировок
Расследование инцидентов
формирование полной картины действий злоумышленников и определение площади затронутых активов
Администрирование средств защиты информации
техническая поддержка любых ИТ-активов и СЗИ
Консалтинг по ИБ
оценка рисков и моделирование угроз ИБ, разработка концепции развития, обеспечение соответствия требованиям законодательства
Преимущества
SLA 99,9%
Гарантированная скорость реакции и расследования инцидентов
Доработка контента
Регулярное обновление базы решающих правил и обогащение событий ИБ информацией об инфраструктуре
Гибкая оплата
Возможность выбрать любой период — квартал или год
SOC из Облака
Сертификация по требованиям 27001, 27017, PCI DSS и аттестация по 152-ФЗ до УЗ-1
Персональный менеджер
«Единое окно» для общения с клиентом и координации команд на всех уровнях сервиса
Команда экспертов
Международная сертификация специалистов: CRISC, CISA, CISM, CISSP, CompTIA Security+, ISO/IEC 27 001
ПОДКЛЮЧИТЕСЬ К ЦЕНТРУ
МОНИТОРИНГА КИБЕРБЕЗОПАСНОСТИ
(SOC)
Обеспечьте мониторинг событий и анализ инцидентов в режиме 24/7
Часто задаваемые
вопросы
01
Security Operation Center (SOC) — это центр мониторинга и реагирования на инциденты ИБ. SOC обеспечивает круглосуточный мониторинг событий и анализ инцидентов информационной безопасности.
В него входит:
- — команда экспертов — руководители центра, аналитики и эксперты нескольких линий, архитекторы и инженеры, обеспечивающие корректную работу технологического стека;
- — средства мониторинга, анализа и агрегации информации о событиях и инцидентах ИБ, системы защиты SOC, инфраструктура и системы хранения данных;
- — процессы управления событиями и инцидентами ИБ, ресурсами и конфигурациями, релизами и мощностями.
02
SOC нужен для непрерывного контроля за кибербезопасностью компании. Центр мониторинга отслеживает угрозы, выявляет события, анализирует киберинциденты в режиме 24×7, участвует в быстром реагировании на инциденты. Это минимизирует риски обнаруженных нарушений безопасности.
Благодаря SOC бизнес получает уверенность в уровне защищенности, сокращает финансовые и репутационные риски, а также может реализовать регуляторные требования по защите информации — 152-ФЗ, 187-ФЗ, Приказ ФСТЭК № 17, Указ Президента РФ № 250, Приказ ФСТЭК № 21.
03
Команда SOC реализует непрерывный мониторинг событий безопасности с подключенных источников, используя специализированные инструменты безопасности. В основе технологического стека SOC лежит SIEM-система, которая собирает, анализирует данные о событиях ИБ из различных источников и помогает управлять ими.
Дополнительные инструменты, например, IRP/SOAR, Threat Intelligence Platform и Vulnerability Management дают возможность:
— агрегировать и обрабатывать информацию об инцидентах ИБ;
— автоматизировать реагирование на кибератаки;
— обогащать имеющуюся информацию дополнительными данными об индикаторах компрометации;
— регулярно сканировать уязвимости.
04
Для подключения SOC компании нужно определить область мониторинга. Далее настраиваем защищенный канал связи между SOC и инфраструктурой компании. После согласования и утверждения регламента взаимодействия и SLA в соответствии с бизнес-потребностями компании наши специалисты подключают источники событий к Центру мониторинга кибербезопасности.
При MSSP-модели компании получают быстрый доступ к непрерывному мониторингу и анализу киберинцидентов без закупки и внедрения необходимых средств защиты в собственную инфраструктуру, а также специалистов с профильными сертификатами — CRISC, CISA, CISM, CISSP, CompTIA Security+, без затрат на найм и обучение внутренней команды.
Комплексно защищаем 82 филиала госучреждения в формате 24/7
ситуация
Клиент входит в число органов исполнительной власти РФ и имеет распределенную сеть филиалов в каждом федеральном округе РФ. Учреждение работает с чувствительной информацией и подпадает под разные требования законодательства — 187-ФЗ, 152-ФЗ, Указа Президента № 250, а также Приказов ФСТЭК России и различных ГОСТ.
Потенциальные инциденты в области ИБ влияют на качество и оперативность предоставления государственных услуг, а также могут повлечь последствия для жизни и здоровья граждан. Поэтому заказчику было важно получать своевременную и полную информацию о наличии нетипичной активности и подозрительных действий в ИТ-инфраструктуре, которые могут нарушить стабильность рабочих процессов, а также обеспечить безопасность и бесперебойную работу сети.
решение
Сначала наши эксперты проанализировали, как организована работа с данными и какие события в ИТ-инфраструктуре клиента влекут бизнес-риски.
После актуализации внутренней документации в области ИБ и построения модели угроз эксперты К2 Кибербезопасность разработали и предложили многоступенчатый подход к вопросам безопасности на техническом уровне, включающий:
После актуализации внутренней документации в области ИБ и построения модели угроз эксперты К2 Кибербезопасность разработали и предложили многоступенчатый подход к вопросам безопасности на техническом уровне, включающий:
-
Внедрение комплекса средств защиты информации;
-
Подключение к Центру мониторинга кибербезопасности (SOC);
-
Непрерывное администрирование средств защиты информации и техническая поддержка ИБ-процессов.
результат
Клиент улучшил показатели операционной деятельности благодаря снижению рисков возникновения недопустимых событий. К ним относится получение злоумышленниками несанкционированного доступа к конфиденциальной информации и ее потенциальная утечка.
Работа круглосуточной технической поддержки и взаимодействие с Центром мониторинга кибербезопасности позволяет клиенту быть уверенным в оперативном выявлении возникающих угроз и реагировании на них, а также минимизировать ситуации простоя или полной остановки критичных бизнес-процессов. Кроме того, привлечение команды К2 Кибербезопасность решило вопросы найма дорогостоящих экспертов по ИБ и обучения штатных специалистов. За счет этого удалось оптимизировать затраты по нескольким бюджетным статьям.
Благодаря комплексу предоставляемых услуг и работам по актуализации организационно-распорядительной документации организация прошла недавнюю проверку регулятора без замечаний.
Ликвидировали последствия атаки на крупную страховую компанию
ситуация
Клиент — крупная российская страховая компания в сфере добровольного и обязательного страхования, представленная во всех регионах страны. Граждане могут получить услуги на портале компании или в мобильном приложении, в которых предусмотрена двухфакторная аутентификация через SMS-пароль.
При оплате счетов сотрудники компании увидели завышенные суммы за телефонию и начали искать причину. Внутренняя ИТ-команда зафиксировала произвольное направление SMS-паролей на те номера, абоненты которых не являются получателями страховых услуг.
Эксперты Центра мониторинга кибербезопасности непрерывно отслеживают события информационной безопасности в крупных компаниях, а также работают с расследованием инцидентов и разработкой рекомендаций для нивелирования рисков их последствий.
При оплате счетов сотрудники компании увидели завышенные суммы за телефонию и начали искать причину. Внутренняя ИТ-команда зафиксировала произвольное направление SMS-паролей на те номера, абоненты которых не являются получателями страховых услуг.
Почему К2 Кибербезопасность
При выборе подрядчика заказчика ориентировался на наличие квалифицированных специалистов в области проведения криминалистической экспертизы.Эксперты Центра мониторинга кибербезопасности непрерывно отслеживают события информационной безопасности в крупных компаниях, а также работают с расследованием инцидентов и разработкой рекомендаций для нивелирования рисков их последствий.
решение
Команда приступила к изучению инцидента. Для этого запросили у клиента логи со средств защиты, в первую очередь, с WAF.
После анализа следов компрометации не нашли, но заинтересовал сам способ работы протокола аутентификации. При авторизации на сайте и в приложении оба источника обращались к одному сервису. На сайте до получения кода второго фактора предполагалось прохождение CAPTCHA. Однако на мобильных устройствах дополнительная идентификация подлинности запроса не предусматривалась. Так было найден источник атаки.
В результате подробного изучения распознали сценарий атаки: злоумышленники использовали открытый протокол сервера SMS-рассылки для запуска массовой отправки сообщений на определенные номера — SMS-бомбер.
После анализа следов компрометации не нашли, но заинтересовал сам способ работы протокола аутентификации. При авторизации на сайте и в приложении оба источника обращались к одному сервису. На сайте до получения кода второго фактора предполагалось прохождение CAPTCHA. Однако на мобильных устройствах дополнительная идентификация подлинности запроса не предусматривалась. Так было найден источник атаки.
В результате подробного изучения распознали сценарий атаки: злоумышленники использовали открытый протокол сервера SMS-рассылки для запуска массовой отправки сообщений на определенные номера — SMS-бомбер.
результат
По итогам расследования инцидента клиент нивелировал убытки от последующего использования злоумышленниками сервера для SMS-рассылок, а также репутационные потери от упоминания имени компании в хакерских активностях. Все системы и оборудование компании работают в стандартном режиме с ожидаемой нагрузкой.
Далее команда К2 Кибербезопасность подготовила рекомендации для снижения вероятности возникновения кибератаки и повышения уровня безопасности сервера для SMS-рассылки. Так как функциональные особенности мобильного приложения привели к инциденту, рекомендовали провести анализ кода мобильного приложения и системы рассылки СМС-сообщений на наличие уязвимостей, эксплуатация которых злоумышленником может привести к новым кибератакам.
Для своевременного отслеживания событий и выявления кибератак на начальной стадии посоветовали организовать постоянный круглосуточный мониторинг ИТ-инфраструктуры компании с помощью SIEM-системы. Также рекомендовали клиенту внедрить инструменты для защиты бизнес-приложений и методы безопасной разработки (DevSecOps).
Разработанные рекомендации позволят страховой компании в будущем снизить риски получения неправомерного доступа к критичным серверам.
Далее команда К2 Кибербезопасность подготовила рекомендации для снижения вероятности возникновения кибератаки и повышения уровня безопасности сервера для SMS-рассылки. Так как функциональные особенности мобильного приложения привели к инциденту, рекомендовали провести анализ кода мобильного приложения и системы рассылки СМС-сообщений на наличие уязвимостей, эксплуатация которых злоумышленником может привести к новым кибератакам.
Для своевременного отслеживания событий и выявления кибератак на начальной стадии посоветовали организовать постоянный круглосуточный мониторинг ИТ-инфраструктуры компании с помощью SIEM-системы. Также рекомендовали клиенту внедрить инструменты для защиты бизнес-приложений и методы безопасной разработки (DevSecOps).
Разработанные рекомендации позволят страховой компании в будущем снизить риски получения неправомерного доступа к критичным серверам.
Обеспечьте
мониторинг
кибербезопасности
мониторинг
кибербезопасности
Анастасия Федорова
Директор по развитию Центра мониторинга кибербезопасности
