Разработчики: | Газинформсервис (ГИС) |
Дата премьеры системы: | 2024.05.24 |
Отрасли: | Информационная безопасность |
Технологии: | ИБ - Управление информацией и событиями в системе безопасности (SIEM) |
Содержание |
Основные статьи:
2024
Предоставление вычислительной инфраструктуры Selectel
Selectel предоставил защищенную вычислительную инфраструктуру для коммерческого центра мониторинга информационной безопасности (Security Operations Center, SOC) компании «Газинформсервис». Об этом Selectel сообщил 19 августа 2024 года. Подробнее здесь.
Выход на рынок коммерческих SOC
Интегратор и вендор «Газинформсервис» объявил 24 мая 2024 года о выходе на рынок коммерческих SOC со своим центром мониторинга и реагирования. Он будет предоставлять услуги по анализу событий информационной безопасности (SIEM), по обслуживанию средств безопасности с возможностью расследования инцидентов (IRP/SOAR), по управлению активами (AM) и уязвимостями (VM) для соответствия требований регуляторов (Compliance) на конечных точках (EDR), по контролю и анализу поведения как обычных (UEBA), так и привилегированных пользователей (PAM).
Собственно, компания уже 20 лет занимается построением систем информационной безопасности для своих клиентов и уже накопила необходимую для построения коммерческого SOC экспертизу – в компании только разработкой контента для SIEM-систем занимаются 50 человек. По словам Николая Нашивочникова, заместителя генерального директора - технического директора «Газинформсервиса», ровно год назад проект стартовал, и с мая 2023 года были собраны и оттестированы все необходимые для коммерческого SOC компоненты. В частности, был построен центр мониторинга. Хотя изначально проект был рассчитан на полгода.
«С одной стороны мы были готовы сказать: «Да. Давайте запускать», а с другой — был определённый скепсис, — пояснил долгие сомнения с предложением услуг коммерческого SOC Николай Нашивочников. — Но мы прочувствовали некоторый нажим со стороны наших и бизнес-заказчиков, потому что возникли ограничения по кадрам, о которых мы много говорим. Квалифицированный персонал так просто не подготовить. Поэтому мы не устояли и построили свой центр мониторинга. У нас есть для этого всё». |
При этом компания рассчитывает на консервативный подход в построении защиты клиентов на базе своего центра мониторинга, не увлекаясь искусственным интеллектом и сложной корреляцией событий. Например, основным инструментом для выполнения атак стал Ankey SIEM NG, а уникальным дополнением к нему - Ankey ASAP, который занимается анализом поведения пользователей и сущностей (UEBA). Практика использования показала, что он способен выявлять такие атаки на инфраструктуру, которые не видит SIEM. Изначально продукт создавался для корреляции событий и выявления сложных атак.
Ещё одной особенностью SOC от «Газинформсервис» является ориентация на промышленные инфраструктуры, что обусловлено особенностью самой компании — ее клиенты в основном связаны с промышленностью. Поэтому системы корреляции SIEM будут учитывать особенности как промышленных протоколов, так и получать данные от популярных SCADA, таких как Simatic WinCC, CoDeSys, Yokogawa и других. При этом в качестве базовой матрицы реагирования на инциденты может использоваться ICS | MITRE ATT&CK.
Компания не собирается останавливаться на достигнутом и в течении этого года планирует активно развивать набор предоставляемых сервисов. В частности, предполагается наращивать команду аналитиков угроз, которая будет анализировать ситуацию в целом по SOC и готовить информацию для сервисов киберразведки (TI). В компании есть и команда активных исследователей ИБ (Red Team), которые будут проверять работу SOC, их услуги доступны и клиентам.
Также в составе SOC «Газинформсервис» планируется развивать третью линию аналитиков, которые уже займутся расследованием кибератак и устранением последствий инцидентов, в том числе и рекомендациями по перестройке защитных механизмов. Кроме того, предполагается участие специалистов компании в конвейерах DevSecOps и MLSecOps клиентов для обеспечения безопасной разработки веб-приложений и технологий искусственного интеллекта. В перспективе же компания рассчитывает предложить рынку услуги по моделированию атак и аварийных ситуаций (Breach and attack simulation — BAS) и по валидации информационной безопасности платформ (Platform security validation — PSV).
Подрядчики-лидеры по количеству проектов
Интеллектуальная безопасность ГК (бренд Security Vision) (92)
Positive Technologies (Позитив Текнолоджиз) (24)
SearchInform (СёрчИнформ) (16)
Инфосистемы Джет (16)
Softline (Софтлайн) (15)
Другие (144)
Интеллектуальная безопасность ГК (бренд Security Vision) (6)
R-Vision (Р-Вижн) (3)
Softline (Софтлайн) (3)
Ngenix (Современные сетевые технологии, ССТ) (2)
Positive Technologies (Позитив Текнолоджиз) (2)
Другие (10)
Интеллектуальная безопасность ГК (бренд Security Vision) (13)
Positive Technologies (Позитив Текнолоджиз) (6)
InnoSTage (Инностейдж) (4)
CyberOK (СайберОК) (4)
SearchInform (СёрчИнформ) (2)
Другие (11)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
Positive Technologies (Позитив Текнолоджиз) (17, 40)
SearchInform (СёрчИнформ) (2, 17)
Лаборатория Касперского (Kaspersky) (8, 14)
Micro Focus (5, 13)
Другие (280, 113)
Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
R-Vision (Р-Вижн) (1, 3)
Инфосекьюрити (Infosecurity) (2, 2)
IBM (2, 2)
Другие (7, 8)
Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
InnoSTage (Инностейдж) (2, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
SearchInform (СёрчИнформ) (1, 2)
Уральский центр систем безопасности (УЦСБ) (1, 2)
Другие (5, 5)
Лаборатория Касперского (Kaspersky) (3, 3)
SearchInform (СёрчИнформ) (1, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 2)
Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (9, 9)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Перспективный мониторинг (1, 4)
Лаборатория Касперского (Kaspersky) (3, 3)
Русием (RuSIEM) (1, 2)
Другие (7, 7)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 91 (0, 91)
MaxPatrol SIEM - 33 (33, 0)
СёрчИнформ SIEM - 17 (17, 0)
HPE ArcSight ESM (Security Information and Event Management, SIEM) - 12 (11, 1)
R‑Vision SOAR (ранее R-Vision IRP) - 10 (10, 0)
Другие 25
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 6 (0, 6)
R‑Vision SOAR (ранее R-Vision IRP) - 3 (3, 0)
MaxPatrol SIEM - 2 (2, 0)
Ngenix Облачная платформа - 2 (2, 0)
Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1 (1, 0)
Другие 3
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 15 (0, 15)
CyberART Сервисная служба киберзащиты - 4 (4, 0)
Innostage SOAR (ранее Innostage IRP) - 4 (4, 0)
СёрчИнформ SIEM - 2 (2, 0)
PT Network Attack Discovery (PT NAD) - 2 (2, 0)
Другие -7
СёрчИнформ SIEM - 3 (3, 0)
Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 2 (0, 2)
Spacebit X-Config Решение для управления уязвимостями конфигураций - 1 (1, 0)
RED Security SOC (ранее МТС RED SOC) - 1 (1, 0)
Kaspersky Unified Monitoring and Analysis Platform (KUMA) - 1 (1, 0)
Другие 8
СёрчИнформ SIEM - 9 (9, 0)
Перспективный мониторинг: Ampire Киберполигон - 4 (4, 0)
Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3 (3, 0)
Kaspersky Endpoint Detection and Response (KEDR) - 2 (2, 0)
MaxPatrol SIEM - 2 (2, 0)
Другие 11