Solar JSOC обеспечивает круглосуточный мониторинг кибербезопасности «Тинькофф Банка»

Безопасность Стратегия безопасности ИТ в банках Аутсорсинг
мобильная версия
, Текст: Татьяна Короткова

Компания Solar Security подключила инфраструктуру «Тинькофф Банка» к услуге круглосуточного мониторинга и реагирования на инциденты кибербезопасности Solar JSOC. Об этом CNews сообщили в Solar Security.

Первоначально мониторингом инцидентов «Тинькофф Банк» занимался самостоятельно, для этого была приобретена SIEM-система HP ArcSight, настроена собственная логика корреляционных правил для обнаружения инцидентов. В связи со стремительным ростом бизнеса специалистами банка было принято решение о привлечении дополнительных ресурсов для осуществления непрерывной аналитики новых векторов угроз, мониторинга инцидентов в режиме реального времени, постоянной работы с SIEM по разработке новых правил, дэшбордов, отчетов и написания коннекторов для подключения новых систем.

Компанию-подрядчика привлекли по гибридной схеме, когда аутсорсер использует уже внедренную в банке систему HP ArcSight. Для реализации такой модели взаимодействия после проведения пилотного проекта и технико-экономического обоснования был выбран Solar JSOC — российский коммерческий центр мониторинга, выявления и реагирования на инциденты компании Solar Security.

«Для финансовой компании, которая обслуживает клиентов в режиме 24/7, информационная безопасность — один из ключевых приоритетов. Круглосуточный мониторинг инцидентов и реагирование на них — это критичные процессы для онлайн-банкинга, а значит, и для бизнеса. Поэтому мы приняли решение о сотрудничестве с Solar JSOC по данному направлению», — рассказал Станислав Павлунин, вице-президент по безопасности «Тинькофф Банка».

В рамках подключения перед специалистами Solar JSOC ставились задачи по существенному расширению логики обнаружения инцидентов среди уже подключенных к SIEM источников событий информационной безопасности. Был определен список систем, которые необходимо было подключить к мониторингу и предоставить новые правила под них. Основной задачей стал непрерывный мониторинг и анализ происходящего в инфраструктуре банка с точки зрения кибербезопасности.

Запуск услуг Solar JSOC проводился в несколько этапов. Так как банк долгое время вел работы по наполнению HP ArcSight собственными правилами и отчетами, было важно сохранить полученные результаты, поэтому на первом этапе был проведен анализ SIEM-системы и установлен новый контент без нарушения работы накопленной логики. Далее шло профилирование и адаптация сценариев обнаружения инцидентов Solar JSOC под подключенную инфраструктуру и принятую в банке за норму работу сервисов, систем и пользователей. На третьем этапе состоялось подключение SIEM-системы банка к дежурным линиям Solar JSOC для обеспечения круглосуточного мониторинга и реагирования на инциденты. После ввода в эксплуатацию специалисты Solar JSOC приступили к непосредственному оказанию услуги с регулярным обновлением и адаптацией правил, написанием логики под новые подключаемые источники и мониторингом работоспособности ПО и оборудования SIEM, которое по-прежнему находится на администрировании у специалистов банка.

При реализации гибридной модели аутсорсинга банк достиг развития наиболее важных функций собственного SOC. В результате подключения к Solar JSOC был расширен перечень сценариев обнаружения инцидентов, минимизировано количество ложных оповещений, введен регламент взаимодействия в случае обнаружения инцидентов и проработан roadmap подключения новых источников инфраструктуры и бизнес-приложений.

«Команда информационной безопасности “Тинькофф Банка” — настоящие профессионалы своего дела. В банке на протяжении нескольких лет работала система мониторинга. Поэтому при обсуждении технических деталей подключения HP ArcSight, развернутого в банке, к Solar JSOC, стало понятно, что “со своим уставом” к ним приходить не нужно, — отметил руководитель направления аутсорсинга информационной безопасности Solar Security Эльман Бейбутов. — Для того чтобы реализовать подключение, нам потребовалось решить две ключевые задачи: уже во время пилота показать эффективность наших методик выявления инцидентов и предложить схему совместной работы администраторов ArcSight со стороны банка и Solar JSOC».