МТС Центр информационной безопасности (SOC)

Продукт
Разработчики: Мобильные ТелеСистемы (МТС)
Дата последнего релиза: 2023/04/11
Технологии: ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

Центр информационной безопасности МТС (Security operation center, SOC) контролирует защищенность внешнего периметра ИТ-систем компании, анализирует инциденты (вирусные заражения, кибератаки, внутренние нарушения политики информационной безопасности), координирует устранение причин и последствий инцидентов.

2023: Интеграция с Kaspersky Unified Monitoring and Analysis Platform

11 апреля 2023 года компания МТС RED представила обновление центра мониторинга и реагирования на кибератаки МТС SOC. Так, технологическая основа теперь реализуется на SIEM-системе Kaspersky Unified Monitoring and Analysis Platform. Решение от «Лаборатории Касперского» позволяет централизованно собирать, анализировать и проводить корреляцию событий кибербезопасности из различных источников данных для выявления и предотвращения инцидентов и сложных хакерских атак. Также ключевым обновлением МТС SOC стало появление личного кабинета, который делает процессы защиты более прозрачными, а реагирование на инциденты — более оперативным.

SOC

По информации компании, личный кабинет МТС SOC обеспечивает прозрачность сервисов центра мониторинга на всех уровнях — от общего контроля эффективности до подключения источников событий и разбора инцидентов. В личном кабинете заказчикам доступны ситуационные дашборды и ежемесячные аналитические отчёты. Они предоставляются в формате, наглядном как для сотрудников службы информационной безопасности, так и для топ-менеджмента компании. Отчёты содержат ряд аналитических срезов в части событий информационной безопасности: общее количество, динамика, распределение по уровням критичности и статусам, время, затраченное на их отработку, и многое другое. Кроме того, отчёты отражают частоту срабатывания различных правил корреляции и распределение инцидентов по типам, что дает представление о ландшафте киберугроз, релевантном для конкретного заказчика, позволяет выявить слабые места инфраструктуры и оптимизировать настройки систем защиты.

В личном кабинете постоянно отображается уровень соблюдения центром мониторинга SLA (Service License Agreement) и используемый компанией объем показатель EPS (Events Per Second), который непосредственно влияет на стоимость сервисов. Также заказчик может видеть, как сработавшие правила корреляции накладываются на техники и тактики злоумышленников по матрице MITRE ATT&CK и классификации НКЦКИ. За счёт этого заказчик может определить актуальные для его компании векторы атак и при необходимости подключить дополнительные источники событий и правила корреляции.

Интерфейс личного кабинета доступен как пользователю, так и дежурной смене МТС SOC. Благодаря этому сотрудник службы информационной безопасности компании может в режиме реального времени видеть, как аналитики центра мониторинга обрабатывают инцидент, и давать свои комментарии во встроенном чате. Также заказчик может самостоятельно отфильтровать список событий по необходимым параметрам: времени, статусу, типу инцидента и другим.

«
Заказчикам важно, чтобы сервисы кибербезопасности не были "черным ящиком". Это и обеспечивает личный кабинет – полную прозрачность работы SOC и возможность оценивать его эффективность на реальных данных. Поскольку мы используем собственные технологий IRP, мы можем быстро откликаться на запросы рынка и гибко управлять планами разработки дальнейших функций личного кабинета.

рассказал Андрей Дугин, руководитель МТС SOC
»

Интерфейс личного кабинета унифицирован и не зависит от используемой SIEM-системы. Даже при переходе на другую платформу — например, при смене западного решения на отечественное — процесс будет «бесшовным» и незаметным для заказчика. В личном кабинете по-прежнему будет доступна вся аналитика по сервисам мониторинга и реагирования на кибератаки, обогащенные контекстом карточки инцидентов и отчеты в едином привычном формате.

В качестве SIEM-решения было выбрано решение российского разработчика Kaspersky Unified Monitoring and Analysis Platform (KUMA).

«
Благодаря тесному взаимодействию с заказчиками и партнёрами "Лаборатория Касперского" развивает KUMA с учётом реальных потребностей бизнеса: продукт не просто соответствует требованиям, а помогает решать повседневные задачи специалистов ИБ. Интеграция KUMA SIEM в МТС SOC позволит сохранить качество мониторинга в условиях перехода с западных решений и растущего числа киберугроз, а архитектурные возможности KUMA оптимизирует дальнейшее развитие сервисов компании.

отмечает Илья Маркелов, руководитель направления развития единой корпоративной платформы «Лаборатории Касперского»
»

KUMA обладает оптимальной производительностью и легко масштабируется. Решение «из коробки» поддерживает широкий перечень коннекторов к типовым источникам событий. KUMA может быть интегрирована как с продуктами кибербезопасности «Лаборатории Касперского», так и с решениями сторонних поставщиков — за счёт гибкого API.

2017: Оказание ИБ-услуг сторонним клиентам

В мае 2017 года МТС сообщила о выходе на рынок услуг информационной безопасности. Для этого оператор будет использовать возможность своего центра SOC, пишет РБК со ссылкой на представителя компании Дмитрия Солодовникова.

По его словам, МТС собирается разработать типовые продукты для будущих клиентов — как по типу информационных угроз, так и вертикальные решения для отраслей или масштабов бизнеса. К маю 2017 года оператор тестирует сервисы совместно с несколькими компаниями. Их имена и объем инвестиций в проект не называются. Выход коммерческих ИБ-продуктов МТС ожидается до конца 2017 года.

МТС предложит услуги кибербезопасности другим компаниям

Дмитрий Солодовников отметил, что МТС использует для защиты от хакерских нападений собственные разработки, ресурсы дочерней компании «Энвижн Групп» и системы крупнейших мировых производителей. В 2016 году оператор зафиксировал 4,5 млн случаев заражения устройств клиентов и предотвращено порядка 200 млн абонентских переходов по ссылкам на вредоносные программы.

По словам Солодовникова, центр информационной безопасности есть у каждого крупного оператора связи, банка или владельца облачного хранилища. При этом в МТС поняли, что SOC может обслуживать не только собственные нужды компании, добавил он.

Опрошенные РБК компании, занимающиеся информационной безопасностью, в целом нейтрально отнеслись к возможности появления на нем нового игрока в лице МТС.  

Решение МТС выйти на новые рынки РБК объясняет замедлением роста выручки в компании. Общая выручка компании в 2016 году составила 435,7 млрд рублей, доходы от основных для оператора направлений бизнеса перестали расти.[1]

Примечания



ПРОЕКТЫ (2) ИНТЕГРАТОРЫ (2) СМ. ТАКЖЕ (6)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (92)
  Positive Technologies (Позитив Текнолоджиз) (23)
  SearchInform (СёрчИнформ) (16)
  Инфосистемы Джет (16)
  Softline (Софтлайн) (14)
  Другие (140)

  Интеллектуальная безопасность ГК (бренд Security Vision) (6)
  R-Vision (Р-Вижн) (3)
  Softline (Софтлайн) (3)
  Инфосекьюрити (Infosecurity) (2)
  Инфосистемы Джет (2)
  Другие (10)

  Интеллектуальная безопасность ГК (бренд Security Vision) (13)
  Positive Technologies (Позитив Текнолоджиз) (6)
  CyberOK (СайберОК) (4)
  InnoSTage (Инностейдж) (4)
  SearchInform (СёрчИнформ) (2)
  Другие (11)

  SearchInform (СёрчИнформ) (3)
  Softline (Софтлайн) (2)
  Интеллектуальная безопасность ГК (бренд Security Vision) (2)
  Лаборатория Касперского (Kaspersky) (2)
  МТС RED (Серенити Сайбер Секьюрити) ранее МТС Кибербезопасность (2)
  Другие (11)

  SearchInform (СёрчИнформ) (8)
  Softline (Софтлайн) (5)
  Positive Technologies (Позитив Текнолоджиз) (4)
  Перспективный мониторинг (2)
  Step Logic (Стэп Лоджик) (1)
  Другие (11)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Интеллектуальная безопасность ГК (бренд Security Vision) (13, 92)
  Positive Technologies (Позитив Текнолоджиз) (17, 39)
  SearchInform (СёрчИнформ) (2, 17)
  Лаборатория Касперского (Kaspersky) (8, 13)
  ArcSight (5, 13)
  Другие (276, 110)

  Интеллектуальная безопасность ГК (бренд Security Vision) (4, 6)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  R-Vision (Р-Вижн) (1, 3)
  Инфосекьюрити (Infosecurity) (2, 2)
  IBM (2, 2)
  Другие (7, 8)

  Интеллектуальная безопасность ГК (бренд Security Vision) (3, 13)
  InnoSTage (Инностейдж) (2, 4)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  SearchInform (СёрчИнформ) (1, 2)
  Уральский центр систем безопасности (УЦСБ) (1, 2)
  Другие (5, 5)

  Лаборатория Касперского (Kaspersky) (3, 3)
  SearchInform (СёрчИнформ) (1, 3)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 2)
  R-Vision (Р-Вижн) (1, 1)
  Инфосистемы Джет (1, 1)
  Другие (9, 9)

  SearchInform (СёрчИнформ) (1, 9)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Перспективный мониторинг (1, 3)
  Лаборатория Касперского (Kaspersky) (3, 2)
  Русием (RuSIEM) (1, 2)
  Другие (6, 6)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 91 (0, 91)
  MaxPatrol SIEM - 33 (33, 0)
  СёрчИнформ SIEM - 17 (17, 0)
  HPE ArcSight ESM (Security Information and Event Management, SIEM) - 12 (11, 1)
  R‑Vision SOAR (ранее R-Vision IRP) - 10 (10, 0)
  Другие 20

  Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 6 (0, 6)
  R‑Vision SOAR (ранее R-Vision IRP) - 3 (3, 0)
  Ngenix Облачная платформа - 2 (2, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Jet CyberCamp - 1 (1, 0)
  Другие 3

  Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 15 (0, 15)
  CyberART Сервисная служба киберзащиты - 4 (4, 0)
  Innostage SOAR (ранее Innostage IRP) - 4 (4, 0)
  УЦСБ: DATAPK - 2 (2, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Другие -7

  СёрчИнформ SIEM - 3 (3, 0)
  Security Vision Специализированная платформа для автоматизации процессов информационной безопасности - 2 (0, 2)
  Киберполигон Мультифункциональный программно-аппаратный комплекс для проведения киберучений - 1 (1, 0)
  Spacebit X-Config Решение для управления уязвимостями конфигураций - 1 (1, 0)
  Kaspersky Unified Monitoring and Analysis Platform (KUMA) - 1 (1, 0)
  Другие 8

  СёрчИнформ SIEM - 9 (9, 0)
  Перспективный мониторинг: Ampire Киберполигон - 3 (3, 0)
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3 (3, 0)
  MaxPatrol SIEM - 2 (2, 0)
  RuSIEM Система сбора информации и событий от ИТ-систем - 2 (2, 0)
  Другие 9