Разработчики: | Газинформсервис (ГИС) |
Дата премьеры системы: | 2024.05.24 |
Отрасли: | Информационная безопасность |
Технологии: | ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Основные статьи:
2024: Выход на рынок коммерческих SOC
Интегратор и вендор «Газинформсервис» объявил 24 мая 2024 года о выходе на рынок коммерческих SOC со своим центром мониторинга и реагирования. Он будет предоставлять услуги по анализу событий информационной безопасности (SIEM), по обслуживанию средств безопасности с возможностью расследования инцидентов (IRP/SOAR), по управлению активами (AM) и уязвимостями (VM) для соответствия требований регуляторов (Compliance) на конечных точках (EDR), по контролю и анализу поведения как обычных (UEBA), так и привилегированных пользователей (PAM).
Собственно, компания уже 20 лет занимается построением систем информационной безопасности для своих клиентов и уже накопила необходимую для построения коммерческого SOC экспертизу – в компании только разработкой контента для SIEM-систем занимаются 50 человек. По словам Николая Нашивочникова, заместителя генерального директора - технического директора «Газинформсервиса», ровно год назад проект стартовал, и с мая 2023 года были собраны и оттестированы все необходимые для коммерческого SOC компоненты. В частности, был построен центр мониторинга. Хотя изначально проект был рассчитан на полгода.
![]() | «С одной стороны мы были готовы сказать: «Да. Давайте запускать», а с другой — был определённый скепсис, — пояснил долгие сомнения с предложением услуг коммерческого SOC Николай Нашивочников. — Но мы прочувствовали некоторый нажим со стороны наших и бизнес-заказчиков, потому что возникли ограничения по кадрам, о которых мы много говорим. Квалифицированный персонал так просто не подготовить. Поэтому мы не устояли и построили свой центр мониторинга. У нас есть для этого всё». | ![]() |
При этом компания рассчитывает на консервативный подход в построении защиты клиентов на базе своего центра мониторинга, не увлекаясь искусственным интеллектом и сложной корреляцией событий. Например, основным инструментом для выполнения атак стал Ankey SIEM NG, а уникальным дополнением к нему - Ankey ASAP, который занимается анализом поведения пользователей и сущностей (UEBA). Практика использования показала, что он способен выявлять такие атаки на инфраструктуру, которые не видит SIEM. Изначально продукт создавался для корреляции событий и выявления сложных атак. Boston Scientific отзывает бракованные сосудистые устройства, из-за которых люди умирают
Ещё одной особенностью SOC от «Газинформсервис» является ориентация на промышленные инфраструктуры, что обусловлено особенностью самой компании — ее клиенты в основном связаны с промышленностью. Поэтому системы корреляции SIEM будут учитывать особенности как промышленных протоколов, так и получать данные от популярных SCADA, таких как Simatic WinCC, CoDeSys, Yokogawa и других. При этом в качестве базовой матрицы реагирования на инциденты может использоваться ICS | MITRE ATT&CK.
Компания не собирается останавливаться на достигнутом и в течении этого года планирует активно развивать набор предоставляемых сервисов. В частности, предполагается наращивать команду аналитиков угроз, которая будет анализировать ситуацию в целом по SOC и готовить информацию для сервисов киберразведки (TI). В компании есть и команда активных исследователей ИБ (Red Team), которые будут проверять работу SOC, их услуги доступны и клиентам.
Также в составе SOC «Газинформсервис» планируется развивать третью линию аналитиков, которые уже займутся расследованием кибератак и устранением последствий инцидентов, в том числе и рекомендациями по перестройке защитных механизмов. Кроме того, предполагается участие специалистов компании в конвейерах DevSecOps и MLSecOps клиентов для обеспечения безопасной разработки веб-приложений и технологий искусственного интеллекта. В перспективе же компания рассчитывает предложить рынку услуги по моделированию атак и аварийных ситуаций (Breach and attack simulation — BAS) и по валидации информационной безопасности платформ (Platform security validation — PSV).
Подрядчики-лидеры по количеству проектов
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)
![](/skins/ta/img/0.gif)