STEP LOGIC завершил проект по внедрению и настройке системы мониторинга безопасности RuSIEM для оператора коммерческих центров обработки данных DataSpace.
Решение в режиме реального времени
позволяет собирать и анализировать информацию о событиях ИБ, получаемую из разнородных источников.
DataSpace предоставляет облачные и телекоммуникационные сервисы, обеспечивает непрерывность функционирования корпоративной ИТ-инфраструктуры российских и международных компаний. Управление событиями информационной безопасности и своевременное обнаружение угроз являются для оператора ключевыми приоритетами.
«Если раньше компании могли обеспечить безопасность информации минимальным набором средств защиты, то сегодня, на фоне стремительного роста числа кибератак, мы рекомендуем выстраивать комплексную защиту, одним из основных элементов которой является централизованная система сбора и обработки событий информационной безопасности – SIEM-система, – считает директор департамента информационной безопасности STEP LOGIC Николай Забусов. – При этом просто установить SIEM-систему недостаточно: чем более интеллектуальным и сложным становится ИБ-решение, тем строже и актуальнее требования к экспертизе по его настройке и технической поддержке. Мы предложили не только эффективное аналитическое решение, но и экспертное сопровождение, обеспечив простоту и прозрачность процессов мониторинга и управления инцидентами».
Первый этап проекта по внедрению SIEM-системы RuSIEM и настройке стандартных правил корреляции, предлагаемых «из коробки», STEP LOGIC завершил осенью прошлого года. Только за первое полугодие 2024 года система обнаружила более 7 000 инцидентов, значительная часть которых оказалась ложноположительными.
На втором этапе специалисты интегратора провели аудит системы и настроили пользовательские правила корреляции для выявления аномалий в событиях, адаптированные к инфраструктуре клиента с целью снижения количества ложноположительных инцидентов и расширения покрытия матрицы MITRE ATT&CK. Они также подключили новые источники событий к внедренной SIEM-системе, что повлияло на расширение видимости и контроль действий потенциального злоумышленника, обнаружение сложных и продвинутых угроз, повышение точности корреляции.
«Несмотря на то, что SIEM-система предоставляет большой набор уже готовых правил корреляции «из коробки», крайне важно настроить ее под потребности конкретного компании и её ИТ-инфраструктуры, чтобы обеспечить соответствие политикам информационной безопасности предприятия. Иногда может потребоваться экспертное мнение специалистов вендора или интегратора, которые помогут определить необходимую глубину логирования источников, чтобы собирать и обрабатывать только нужные события. Не менее важно оптимизировать существующие правила корреляции для повышения точности выявления инцидентов и снижения вероятности ложноположительных срабатываний. Например, повысить или понизить чувствительность правила, добавить в правило какое-то исключение, – подчеркивает руководитель отдела предпродажной подготовки RuSIEM Даниил Вылегжанин. – При этом сам процесс оптимизации или создания нового правила корреляции в SIEM-системе RuSIEM занимает всего несколько минут за счёт наличия понятного графического конструктора. Благодаря этому пользователь, даже при привлечении сторонних аудиторов или специалистов вендора, может самостоятельно провести настройку правил по их рекомендациям».
«Сегодня SIEM-системы остаются ключевым инструментом обеспечения информационной безопасности, предоставляя широкие возможности для мониторинга, анализа и оперативного выявления потенциальных угроз. Однако для достижения максимальной эффективности этих решений требуется тщательная настройка, адаптированная к уникальной ИТ-инфраструктуре компании и требованиям корпоративной политики информационной безопасности. Дополнительная настройка позволила нашей команде информационной безопасности эффективно выявлять потенциальные угрозы, тем самым снижая риски и повышая уровень защищенности компании», – отмечает Константин Симонов, руководитель департамента ИТ DataSpace.
О компаниях
STEP LOGIC – системный интегратор с 1992 года занимается комплексными инфраструктурными ИТ-проектами, с 2005 года – направлением кибербезопасности. Компания решает сложные задачи по обеспечению непрерывности, надежности, безопасности и высокой доступности информационных систем и сервисов клиентов. Ключевые направления: консалтинг, аудит, анализ защищенности, проектирование и внедрение сетевых и прикладных средств защиты информации, сервисное сопровождение, услуги SOC и MSS. В основе портфеля проектов – комплексные задачи по защите персональных данных, объектов КИИ, АСУ ТП, облачных инфраструктур, ЦОД, выполнению требований ЦБ РФ, а также сервисные услуги и аутсорсинг процессов ИБ. Компания имеет собственные разработки в области ИБ. Проектные и сервисные процессы ежегодно проходят аудиты по требованиям ISO 9001 и 27001.
*
RuSIEM – российская компания, занимающаяся созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени.
Компания работает на российском ИТ-рынке с 2014 года и является резидентом Сколково.
Среди решений компании – программный комплекс обеспечения информационной безопасности (ИБ), позволяющий собирать и анализировать информацию о событиях ИБ, получаемую из разнородных источников. Работа RuSIEM позволяет увидеть максимально полную картину активности сетевой инфраструктуры и событий информационной безопасности.
*
DataSpace – ведущий оператор коммерческих центров обработки данных в России, обеспечивающий непрерывность функционирования корпоративной ИТ-инфраструктуры российских и международных компаний. Компания предоставляет облачные и телекоммуникационные сервисы, коллокацию премиум класса. Деятельность DataSpace сертифицирована в соответствии с российскими и международными стандартами: в том числе Uptime Institute Tier III Gold, PCI DSS, ISO 9001:2015, 152-ФЗ.