Платежная инфраструктура финансовой экосистемы "Тинькофф Банка" находится под контролем Solar JSOC
Заказчики: Т-Банк (Тинькофф Банк) Москва; Финансовые услуги, инвестиции и аудит Подрядчики: Солар (ранее Ростелеком-Солар) Продукт: Solar JSOCНа базе: Solar inView ранее Jet inView Security (JiVS) Дата проекта: 2015/11 — 2020/02
|
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Система обнаружения мошенничества (фрод)
|
2020: Организация контроля над платежной инфраструктурой
19 марта 2020 года «Ростелеком-Солар» сообщил, что совместно с Тинькофф начали очередной этапе сотрудничества. Теперь под контролем центра мониторинга и реагирования на кибератаки Solar JSOC находится и платежная инфраструктура финансовой экосистемы.
Сотрудничество «Ростелеком-Солар» и Тинькофф началось в 2015 году. Изначально основной задачей сервис-провайдера было выявление компьютерных атак и защита ИТ-инфраструктуры компании. Первый год эксплуатации сервисов продемонстрировал их высокую эффективность и уже через год перечень сервисов был существенно расширен: помимо мониторинга инцидентов и оптимизации сценариев в руки экспертов Solar JSOC были переданы задачи по выявлению индикаторов компрометации хакерского инструментария и поиска их следов в инфраструктуре, вопросы эксплуатации и тюнинга производительности SIEM-платформы, кастомизации уже существующих у заказчика сценариев по выявлению инцидентов.
В условиях стремительно изменяющейся инфраструктуры банка, роста количества и сложности компьютерных атак крайне важно опереться на надежного партнера в вопросах обеспечения операционной безопасности наших продуктов и сервисов. Наше длительное сотрудничество с Solar JSOC прошло проверку временем, техническими и процессными изменениями. Вместе с ними мы ежедневно повышаем уровень защищенности нашей экосистемы и рады продолжению сотрудничества с такой высококлассной командой, рассказал Дмитрий Гадарь, вице-президент, руководитель департамента информационной безопасности Тинькофф
|
Следующим этапом сотрудничества между Тинькофф и Solar JSOC стало подключение критичной платежной инфраструктуры на круглосуточный мониторинг. Помимо мониторинга и анализа инцидентов специалисты Solar JSOC разработали специальные сценарии, заточенные исключительно под платежную инфраструктуру заказчика.
Solar JSOC собирает информацию о событиях информационной безопасности более чем с 200 технических источников внутри экосистемы. В ходе совместной работы специалистов Тинькофф и Solar JSOC под нужды заказчика только за последний год работы было создано 10 специализированных сценариев, еще 15 – серьезно кастомизировано.«Группа Астра» в свободном доступе опубликовала курс по российской службе каталога ALD Pro для обучения администраторов
Параллельно была проведена работа по выстраиванию сквозного бесшовного процесса реагирования на инциденты. Тинькофф усилил управление информационной безопасности круглосуточной командой реагирования на инциденты. Этот шаг позволил в 2 раза сократить совокупное время противодействия компьютерным атакам.
Помимо этого, в рамках управления информационной безопасности экосистемы была создана внутренняя команда Red Team – экспертов по анализу защищенности и тестированию на проникновение. Они на регулярной основе без предупреждения специалистов внешнего SOC и своей команды реагирования реализуют различные сценарии атак на инфраструктуру, применяемых злоумышленниками. Деятельность Red Team позволяет проверить степень защищенности экосистемы, качество сценариев выявления инцидентов, а также уровень работы экспертов «Ростелеком-Солар» и управления информационной безопасности Банка, которые отвечают за выявление, анализ и реагирование на инциденты.
Жизнь под интенсивным непрерывным тестированием защищенности от первоклассных специалистов – всегда вызов для команды SOC. Но пока мы успешно справляемся – аналитики Solar JSOC выявляют свыше 80% ключевых шагов «злоумышленника», в то время как для успеха атаки каждый из них должен оставаться незамеченным. При этом и для нас, и для команды информационной безопасности банка это возможность непрерывно улучшать качество сценариев выявления инцидентов и оптимизировать процессы нашего взаимодействия и совместного реагирования на инциденты. Работа в такой агрессивной среде с высококлассной командой специалистов со стороны банка позволяет достигать высокого уровня защищенности инфраструктуры, говорит Антон Юдаков, операционный директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар»
|
2016: Подключение к услуге круглосуточного мониторинга
В июне 2016 года Solar Security сообщила, что подключила инфраструктуру Тинькофф Банка к услуге круглосуточного мониторинга и реагирования на инциденты кибербезопасности Solar JSOC.
Первоначально мониторингом инцидентов Тинькофф Банк занимался самостоятельно, для этого была приобретена SIEM-система HP ArcSight, настроена собственная логика корреляционных правил для обнаружения инцидентов. В связи со стремительным ростом бизнеса специалистами банка было принято решение о привлечении дополнительных ресурсов для осуществления непрерывной аналитики новых векторов угроз, мониторинга инцидентов в режиме реального времени, постоянной работы с SIEM по разработке новых правил, дэшбордов, отчетов и написания коннекторов для подключения новых систем.
Компанию-подрядчика привлекли по гибридной схеме, когда аутсорсер использует уже внедренную в банке систему HP ArcSight. Для реализации такой модели взаимодействия после проведения пилотного проекта и технико-экономического обоснования был выбран Solar JSOC – российский коммерческий центр мониторинга, выявления и реагирования на инциденты компании Solar Security.
В рамках подключения перед специалистами Solar JSOC ставились задачи по существенному расширению логики обнаружения инцидентов среди уже подключенных к SIEM источников событий информационной безопасности. Был определен список систем, которые необходимо было подключить к мониторингу и предоставить новые правила под них. Основной задачей стал непрерывный мониторинг и анализ происходящего в инфраструктуре банка с точки зрения кибербезопасности.
Запуск услуг Solar JSOC проводился в несколько этапов. Так как банк долгое время вел работы по наполнению HP ArcSight собственными правилами и отчетами, было важно сохранить полученные результаты, поэтому на первом этапе был проведен анализ SIEM-системы и установлен новый контент без нарушения работы накопленной логики. Далее шло профилирование и адаптация сценариев обнаружения инцидентов Solar JSOC под подключенную инфраструктуру и принятую в Банке за норму работу сервисов, систем и пользователей. На третьем этапе состоялось подключение SIEM-системы банка к дежурным линиям Solar JSOC для обеспечения круглосуточного мониторинга и реагирования на инциденты. После ввода в эксплуатацию специалисты Solar JSOC приступили к непосредственному оказанию услуги с регулярным обновлением и адаптацией правил, написанием логики под новые подключаемые источники и мониторингом работоспособности ПО и оборудования SIEM, которое по-прежнему находится на администрировании у специалистов банка.
При реализации гибридной модели аутсорсинга банк достиг развития наиболее важных функций собственного SOC. В результате подключения к Solar JSOC был существенно расширен перечень сценариев обнаружения инцидентов, минимизировано количество ложных оповещений, введен регламент взаимодействия в случае обнаружения инцидентов и проработан roadmap подключения новых источников инфраструктуры и бизнес-приложений.