Финтех-платформа ROWI (входит в финансовую группу QIWI) использует сервис центра противодействия кибератакам Solar JSOC компании «РТК-Солар» для защиты от киберпреступников.
К ИБ-мониторингу подключена ИТ-инфраструктура платформы, что позволило за 2022 год зафиксировать более 2 тыс. киберинцидентов. Все они были успешно отражены и никак не сказались на работоспособности платформы.
По оценке экспертов «РТК-Солар», за 2022 год число кибератак на российские компании выросло в 2 раза. Финсектор всегда был в центре внимания злоумышленников из-за возможности прямого вывода денег со счетов пользователей, а также большого объема чувствительных персональных данных. В таких условиях крайне важно обнаружить угрозу на ранней стадии, чтобы хакер не успел закрепиться в инфраструктуре и начать развивать свою атаку.
«Наша платформа осуществляет финансовые, кредитные операции, обрабатывает большое количество транзакций и должна гарантировать клиентам как сохранность данных, так и финансов, — подчеркивает генеральный директор ROWI.tech Евгений Родионов. — Для защиты от киберугроз мы выбрали сервисную модель SOC. Такой вариант позволяет наилучшим образом обеспечивать контроль ИТ-инфраструктуры и максимально продуктивно использовать силы внешней команды. Для нас важно распределять нагрузку и вовремя анализировать информацию, получаемую от Solar JSOС. Это позволят принимать правильные решения в части оперативных мер реагирования».
Сервис мониторинга предоставляется по облачной модели. На инфраструктуре клиента установлен коллектор для сбора событий, которые обрабатываются в SIEM-системе, расположенной в облаке «РТК-Солар». На данный момент к сервису подключены важные элементы ИТ-инфраструктуры — сетевые устройства, средства защиты информации, контроллеры домена, критические серверы и другие элементы базовой инфраструктуры. Для обеспечения процесса мониторинга запущены сценарии выявления инцидентов разных категорий: контроль сетевого доступа, использования ПО, целостности данных, обнаружение НСД, сетевые атаки, эксплуатация уязвимостей. А отдельная группа Threat Hunting объединяет более 200 сценариев выявления признаков компрометации инфраструктуры по техникам, которые злоумышленники используют на основе Mitre ATT&CK. Эксперты Solar JSOC обеспечивают круглосуточное выявление, анализ, обогащение и формирование оповещений о потенциальных инцидентах. Таким образом компания получает исчерпывающую информацию и рекомендации по противодействию конкретной угрозе.
«В сервисной модели предоставления услуг SOC провайдер берет на себя все задачи по мониторингу инцидентов на базе собственных правил выявления и обогащения инцидентов ИБ, настройке и поддержке работоспособности SIEM. Однако без слаженной работы линий мониторинга Solar JSOC и ИБ-службы клиента, выполняющих шаги по локализации и дальнейшему реагированию на инциденты, мы не смогли бы обеспечить высокий уровень защищенности и киберустойчивости компании. Для нас особенно важно, что коллеги из ROWI это понимают и своевременно взаимодействуют с нами по всем вопросам и выявленным инцидентам. Это позволяет значительно повысить безопасность в компании и качество мониторинга», — заключил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Алексей Павлов.