.PNG)
Мониторинг событий ИБ (SOC)
Круглосуточный мониторинг событий информационной безопасности на базе SIEM/XDR/EDR. Обнаружение инцидентов, анализ угроз, оперативное реагирование. Собственный SOC-центр КРЕДО-С.
Описание услуги
Мониторинг событий информационной безопасности — критически важная функция для своевременного обнаружения и реагирования на киберугрозы. Современные атаки происходят с высокой скоростью, и задержка в обнаружении может привести к масштабному ущербу.
КРЕДО-С эксплуатирует собственный центр мониторинга и реагирования на инциденты (SOC) с 2020 года. Услуга мониторинга включает круглосуточное наблюдение за событиями безопасности в ИТ-инфраструктуре заказчика с использованием платформ SIEM, XDR, EDR.
Проект начинается с аудита ИТ-инфраструктуры для определения источников событий безопасности: серверы, рабочие станции, сетевое оборудование, средства защиты информации. Настраивается централизованный сбор логов, производится интеграция с SIEM-системой (MaxPatrol SIEM, RuSIEM, KUMA или другими решениями).
Аналитики SOC ежедневно анализируют события безопасности, выявляют аномалии и индикаторы компрометации. Используются корреляционные правила, модели поведения пользователей и систем, актуальные базы индикаторов угроз (threat intelligence). При обнаружении инцидента запускается процедура реагирования: изоляция поражённых систем, сбор артефактов, анализ масштаба компрометации.
Заказчику предоставляется регулярная отчётность о состоянии информационной безопасности: еженедельные сводки по инцидентам, ежемесячные аналитические отчёты, квартальные обзоры ландшафта угроз. Для субъектов КИИ обеспечивается подключение к ГосСОПКА с передачей необходимых данных в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Выбор платформы мониторинга событий информационной безопасности зависит от масштаба инфраструктуры, бюджета и отраслевых требований. КРЕДО-С предлагает несколько сегментированных решений: для организаций без бюджета на коммерческие продукты — Wazuh (открытая платформа SIEM + EDR); для инфраструктур на базе решений «Инфотекс» и госсектора — ViPNet IDS в связке с ViPNet TIAS; для субъектов КИИ с обязательным подключением к ГосСОПКА — RuSIEM; для коммерческого сегмента — F.A.C.C.T. Managed XDR с полным циклом обнаружения и реагирования на целевые атаки.
Мониторинг событий информационной безопасности входит в перечень мер защиты информации, учитываемых при расчёте показателя защищённости КЗИ по приказу ФСТЭК России № 117. Наличие непрерывного мониторинга и выстроенных процессов реагирования на инциденты напрямую влияет на значение показателя состояния технической защиты информации организации. Результаты работы SOC-центра документируются и могут использоваться при аттестации информационных систем и прохождении проверок ФСТЭК.
КРЕДО-С — обладатель лицензии ФСТЭК России на техническую защиту конфиденциальной информации и лицензии ФСБ на криптографию. Компания использует комбинацию коммерческих и opensource решений, что позволяет оптимизировать стоимость услуги мониторинга без потери качества. Собственный SOC-центр и более 33 лет на рынке информационной безопасности обеспечивают экспертный уровень защиты для организаций финансового сектора, госорганов, промышленности и субъектов КИИ.
Что входит
- Аудит ИТ-инфраструктуры и определение источников событий безопасности
- Настройка централизованного сбора логов и интеграция с SIEM
- Разработка корреляционных правил и моделей поведения
- Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
- Обнаружение инцидентов и оперативное реагирование
- Подключение к ГосСОПКА для субъектов КИИ
- Управление индикаторами угроз (Threat Intelligence)
- Регулярная аналитическая отчётность о состоянии ИБ
Результаты работы
Преимущества
Собственный SOC-центр КРЕДО-С работает с 2020 года
Платформы: MaxPatrol SIEM, RuSIEM, KUMA, F.A.C.C.T. Managed XDR
Подключение к ГосСОПКА и взаимодействие с НКЦКИ для субъектов КИИ
Комбинация opensource и коммерческих решений для оптимизации стоимости
Опыт мониторинга в финансовом секторе, госорганах, промышленности
Лицензии ФСТЭК и ФСБ России
Проекты по этой услуге
Мониторинг ИБ и защита от целевых атак в финансовой организации
Развёртывание системы мониторинга 24/7 и защиты от целевых атак на базе F.A.C.C.T. Managed XDR для крупной финансовой организации в рамках MSSP-партнёрства.
- За год решение выявило и заблокировало более 126 500 кибератак, из них около 125 000 пришлись на сетевые атаки и более 700 относились к атакам на хосты
- Модуль MXDR для защиты корпоративной почты заблокировал более 100 опасных рассылок, содержащих программы-шпионы или стилеры для кражи данных
- Обеспечена защита от широкого спектра киберрисков: программы-шифровальщики, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных
Анализ защищённости ИС авиастроительной корпорации
Комплексный анализ защищённости ИТ-инфраструктуры авиастроительной корпорации с полувековой историей и штатом более 2 000 специалистов.
- Подготовлен Аналитический отчёт по оценке защищённости с подробным анализом уязвимых мест и описанием рекомендуемых точек роста в системе ИБ
- Подготовлен Технический отчёт по оценке защищённости с подробными рекомендациями по устранению уязвимостей — полнота отчёта позволяет штатным специалистам самостоятельно устранить выявленные уязвимости
- Выявлены уязвимости с присвоением уровней критичности для правильной приоритизации
Защита КИИ и мониторинг ИБ предприятия энергетического машиностроения
Категорирование 7 объектов КИИ, внедрение SIEM и сканера защищённости на оборонно-промышленном предприятии энергетического машиностроения.
- Проведено категорирование 7 объектов КИИ и спроектирована СБЗОКИИ в соответствии с 187-ФЗ
- Внедрено 7 продуктов ИБ: SIEM KUMA, сканер RedCheck, решения UserGate и другие
- Система непрерывно отслеживает события, выявляет аномалии и формирует оповещения на узлах значимых объектов КИИ
MSSP-мониторинг информационной безопасности финансовой компании
Круглосуточный мониторинг и реагирование на инциденты ИБ по модели MSSP — без покупки оборудования и найма ИБ-специалистов.
- Развёрнут круглосуточный мониторинг событий ИБ по модели MSSP
- Выполнен переход на отечественные средства защиты информации
- Обеспечено оперативное реагирование на инциденты без найма штатных ИБ-специалистов
Другие услуги
Расследование инцидентов
Компьютерная криминалистика и расследование инцидентов информационной безопасности. Анализ индикаторов компрометации, определение векторов атак, сбор цифровых доказательств, восстановление хронологии событий.
- Экстренное реагирование на инцидент и локализация угрозы
- Сбор и консервация цифровых доказательств (образы дисков, дампы памяти)
- Анализ индикаторов компрометации (IoC) и вредоносного ПО
- Восстановление хронологии событий и вектора атаки
- и ещё 4...
MSSP-услуги
Managed Security Services: управляемая безопасность как сервис. XDR, SIEM, IDS, WAF, Sandbox в облачной модели. Экономия на инфраструктуре и персонале при сохранении высокого уровня защиты.
- Managed XDR на платформе F.A.C.C.T. (F6)
- SIEM как сервис (RuSIEM, MaxPatrol SIEM, KUMA)
- ViPNet IDS в связке с системой анализа угроз TIAS
- WAF как сервис для защиты веб-приложений
- и ещё 4...
Защита критической информационной инфраструктуры
Полный комплекс работ по обеспечению безопасности КИИ согласно 187-ФЗ: категорирование объектов, создание системы защиты, подключение к ГосСОПКА, расчёт показателей состояния защищённости.
- Формирование комиссии и проведение категорирования объектов КИИ
- Подготовка перечня объектов КИИ, подлежащих категорированию
- Оформление актов категорирования и направление в ФСТЭК России
- Проектирование системы безопасности значимых объектов КИИ по приказу ФСТЭК 239
- и ещё 4...
Часто задаваемые вопросы
Что такое SOC-мониторинг?
Работает ли мониторинг круглосуточно?
Какие системы используются для мониторинга?
Что происходит при обнаружении инцидента?
Обсудить ваш проект
Рассчитайте класс защищённости онлайн или оставьте заявку для бесплатной консультации