Проект

Платежная инфраструктура финансовой экосистемы "Тинькофф Банка" находится под контролем Solar JSOC

Заказчики: Т-Банк (Тинькофф Банк)

Москва; Финансовые услуги, инвестиции и аудит

Продукт: Solar JSOC
На базе: Solar inView ранее Jet inView Security (JiVS)

Дата проекта: 2015/11 — 2020/02
Технология: ИБ - Межсетевые экраны
подрядчики - 386
проекты - 1453
системы - 729
вендоры - 263
Технология: ИБ - Предотвращения утечек информации
подрядчики - 278
проекты - 1114
системы - 427
вендоры - 246
Технология: ИБ - Система обнаружения мошенничества (фрод)
подрядчики - 69
проекты - 214
системы - 184
вендоры - 134

2020: Организация контроля над платежной инфраструктурой

19 марта 2020 года «Ростелеком-Солар» сообщил, что совместно с Тинькофф начали очередной этапе сотрудничества. Теперь под контролем центра мониторинга и реагирования на кибератаки Solar JSOC находится и платежная инфраструктура финансовой экосистемы.

Сотрудничество «Ростелеком-Солар» и Тинькофф началось в 2015 году. Изначально основной задачей сервис-провайдера было выявление компьютерных атак и защита ИТ-инфраструктуры компании. Первый год эксплуатации сервисов продемонстрировал их высокую эффективность и уже через год перечень сервисов был существенно расширен: помимо мониторинга инцидентов и оптимизации сценариев в руки экспертов Solar JSOC были переданы задачи по выявлению индикаторов компрометации хакерского инструментария и поиска их следов в инфраструктуре, вопросы эксплуатации и тюнинга производительности SIEM-платформы, кастомизации уже существующих у заказчика сценариев по выявлению инцидентов.

«
В условиях стремительно изменяющейся инфраструктуры банка, роста количества и сложности компьютерных атак крайне важно опереться на надежного партнера в вопросах обеспечения операционной безопасности наших продуктов и сервисов. Наше длительное сотрудничество с Solar JSOC прошло проверку временем, техническими и процессными изменениями. Вместе с ними мы ежедневно повышаем уровень защищенности нашей экосистемы и рады продолжению сотрудничества с такой высококлассной командой,
рассказал Дмитрий Гадарь, вице-президент, руководитель департамента информационной безопасности Тинькофф
»

Следующим этапом сотрудничества между Тинькофф и Solar JSOC стало подключение критичной платежной инфраструктуры на круглосуточный мониторинг. Помимо мониторинга и анализа инцидентов специалисты Solar JSOC разработали специальные сценарии, заточенные исключительно под платежную инфраструктуру заказчика.

Solar JSOC собирает информацию о событиях информационной безопасности более чем с 200 технических источников внутри экосистемы. В ходе совместной работы специалистов Тинькофф и Solar JSOC под нужды заказчика только за последний год работы было создано 10 специализированных сценариев, еще 15 – серьезно кастомизировано.«Группа Астра» в свободном доступе опубликовала курс по российской службе каталога ALD Pro для обучения администраторов 4.2 т

Параллельно была проведена работа по выстраиванию сквозного бесшовного процесса реагирования на инциденты. Тинькофф усилил управление информационной безопасности круглосуточной командой реагирования на инциденты. Этот шаг позволил в 2 раза сократить совокупное время противодействия компьютерным атакам.

Помимо этого, в рамках управления информационной безопасности экосистемы была создана внутренняя команда Red Team – экспертов по анализу защищенности и тестированию на проникновение. Они на регулярной основе без предупреждения специалистов внешнего SOC и своей команды реагирования реализуют различные сценарии атак на инфраструктуру, применяемых злоумышленниками. Деятельность Red Team позволяет проверить степень защищенности экосистемы, качество сценариев выявления инцидентов, а также уровень работы экспертов «Ростелеком-Солар» и управления информационной безопасности Банка, которые отвечают за выявление, анализ и реагирование на инциденты.

«
Жизнь под интенсивным непрерывным тестированием защищенности от первоклассных специалистов – всегда вызов для команды SOC. Но пока мы успешно справляемся – аналитики Solar JSOC выявляют свыше 80% ключевых шагов «злоумышленника», в то время как для успеха атаки каждый из них должен оставаться незамеченным. При этом и для нас, и для команды информационной безопасности банка это возможность непрерывно улучшать качество сценариев выявления инцидентов и оптимизировать процессы нашего взаимодействия и совместного реагирования на инциденты. Работа в такой агрессивной среде с высококлассной командой специалистов со стороны банка позволяет достигать высокого уровня защищенности инфраструктуры,
говорит Антон Юдаков, операционный директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар»
»

2016: Подключение к услуге круглосуточного мониторинга

В июне 2016 года Solar Security сообщила, что подключила инфраструктуру Тинькофф Банка к услуге круглосуточного мониторинга и реагирования на инциденты кибербезопасности Solar JSOC.

Первоначально мониторингом инцидентов Тинькофф Банк занимался самостоятельно, для этого была приобретена SIEM-система HP ArcSight, настроена собственная логика корреляционных правил для обнаружения инцидентов. В связи со стремительным ростом бизнеса специалистами банка было принято решение о привлечении дополнительных ресурсов для осуществления непрерывной аналитики новых векторов угроз, мониторинга инцидентов в режиме реального времени, постоянной работы с SIEM по разработке новых правил, дэшбордов, отчетов и написания коннекторов для подключения новых систем.

Компанию-подрядчика привлекли по гибридной схеме, когда аутсорсер использует уже внедренную в банке систему HP ArcSight. Для реализации такой модели взаимодействия после проведения пилотного проекта и технико-экономического обоснования был выбран Solar JSOC – российский коммерческий центр мониторинга, выявления и реагирования на инциденты компании Solar Security.

В рамках подключения перед специалистами Solar JSOC ставились задачи по существенному расширению логики обнаружения инцидентов среди уже подключенных к SIEM источников событий информационной безопасности. Был определен список систем, которые необходимо было подключить к мониторингу и предоставить новые правила под них. Основной задачей стал непрерывный мониторинг и анализ происходящего в инфраструктуре банка с точки зрения кибербезопасности.

Запуск услуг Solar JSOC проводился в несколько этапов. Так как банк долгое время вел работы по наполнению HP ArcSight собственными правилами и отчетами, было важно сохранить полученные результаты, поэтому на первом этапе был проведен анализ SIEM-системы и установлен новый контент без нарушения работы накопленной логики. Далее шло профилирование и адаптация сценариев обнаружения инцидентов Solar JSOC под подключенную инфраструктуру и принятую в Банке за норму работу сервисов, систем и пользователей. На третьем этапе состоялось подключение SIEM-системы банка к дежурным линиям Solar JSOC для обеспечения круглосуточного мониторинга и реагирования на инциденты. После ввода в эксплуатацию специалисты Solar JSOC приступили к непосредственному оказанию услуги с регулярным обновлением и адаптацией правил, написанием логики под новые подключаемые источники и мониторингом работоспособности ПО и оборудования SIEM, которое по-прежнему находится на администрировании у специалистов банка.

При реализации гибридной модели аутсорсинга банк достиг развития наиболее важных функций собственного SOC. В результате подключения к Solar JSOC был существенно расширен перечень сценариев обнаружения инцидентов, минимизировано количество ложных оповещений, введен регламент взаимодействия в случае обнаружения инцидентов и проработан roadmap подключения новых источников инфраструктуры и бизнес-приложений.