CNews Forum 2019

Глинский Андрей, Банк Открытие

Рахметов Руслан, Security Vision

Внедрение IRP в банке «Открытие», или Как системно повысить автоматизацию ИБ

в группе компаний

ПРЕДПОСЫЛКИ INCIDENT RESPONSE PLATFORM ДЛЯ БАНКА

3

Incident Response Platform [IRP] – основные предпосылки построения IRP в Банке:

• Снижение риска человеческого фактора и ошибок персонала, привлекаемого на реагирование инцидентов кибербезопасности;[две трети киберинцидентов связаны с человеческим фактором]

• Роботизация [24х7x365] выполнение дежурных процедуроператора в режиме реального времени; [после громких эпидемий вирусов и троянцев шифровалильщиков, стало очевидным, что реагирование это не оповещение, а это автоматическое выполнение действий оператора]

4

Incident Response Platform [IRP] – основные предпосылки построения IRP в Банке:

• Автоматическое насыщение и обогащение инцидента информацией о событиях со смежных ИТ и ИБ систем; [двусторонний обмен между ИТ и ИБ системами обеспечивает необходимое и достаточное условия отсутствия белых пятен]

• Глубина проверок (количество и качество); [ручной режим тратит на разбор стандартного инцидента 2 часа с минимальной глубиной проверок – до 10, автоматический за несколько минут способен провести сотни проверок]

5

Incident Response Platform [IRP] – основные предпосылки построения IRP в Банке:

• Снижение воздействия инцидентов ИБ за счёт снижения времени реагирования; [время реакции снижает пагубное воздействие случившихся инцидентов]

• Систематизация интеграций: Средство обеспечения безопасности электронной почты, Средство антивирусной защиты (серверы), Средство антивирусной защиты + IPS (пользователи), Корпоративная система Service Desk, Windows Servers & Hosts, Active Directory, Средство контроля изменений межсетевых экранов, Средство контроля целостности данных, Межсетевые экраны, Платформа сетевой безопасности, Средство защиты от фишинговых атак, Система предотвращения вторжений (IPS), Средство анализа угроз N1 («песочница»), Средство анализа угроз N2 («песочница»), Система хранения журналов событий, Средство хранения архивов корпоративной электронной почты, FinCert, VirusTotal, UrlScan.io, MXTool.box, MessengerActive Directory, Cisco ASA, CMDB iTop, Microsoft DNS, Cisco FirePower, и другие.

6

Incident Response Platform [IRP] – основные предпосылки построения IRP в Банке:

Удобство и наглядность:

• Учет активов в собственной базе CMDB системы

• Построение картинки активных инцидентов;

• Построение графических схем инцидентов (взаимосвязь объектов в рамках расследования);

• Интеграция с более чем одной SIEM системой, зонтичная технология;

• Построение отчетов и дашбордов для разных ролей;

• Оповещение о критичных инцидентах – email, sms, IM.

РЕЗУЛЬТАТЫ

8

Incident Response Platform [IRP] – основные результаты внедрения:

• Автоматизированы более 30 сценариев реагирования на инциденты ИБ, проведено более 50 интеграций со средствами защиты Банка;

• Это напрямую повлияло на эффективность работы сотрудников. Если раньше специалисту банка нужно было не менее двух часов для проверки 1-2 сложных инцидентов, то сейчас система осуществляет по 200+ проверок за несколько секунд;

9

Incident Response Platform [IRP] – основные результаты внедрения:

• 19 сотрудников Службы мониторинга и реагирования на инциденты ИБ могут обслуживать более 25 тысяч рабочих мест финансовой группы без потери качества;

• Security Vision IRP позволил роботизировать исполнение программно-технических функций оператора безопасности с долей автоматизации до 90%;

• Система обеспечивает автоматическое выполнение полного спектра дежурных процедур в режиме 24/7;

10

11

Примеры реализованных проверок:

• Наличие на АРМ антивирусного ПО, Запуск сканирования на АРМ;• Проверка URL, хэшей, почтовых адресов на внешних сервисах (VirusTotal, URLScan.io,

MxToolBox0);• Длина пароля в соответствии с политикой безопасности;• Отсутствие уязвимостей на АРМ или на сервере;• Проверка файлов в песочницах;• Контроль целостности;• Формирование чек-листов и их обработка• Блокировка IP-адресов на межсетевых экранах, блокировка сетевых ресурсов (URL, домены);• Сбор информации по почтовому серверу и/или почтовому ящику;• Анализ запросов регуляторов;• Сбор информации об узле/ УЗ в домене, блокировка УЗ в домене;• Получение параметров и определение категории значимости объекта;• Контроль изменений параметров АС;• Наличие обновлений на АРМ;• Моделирование угроз;• Формирование актов и отчетов по стандартам и нормативам;

АРХИТЕКТУРА

13

SECURITY VISION: АРХИТЕКТУРА

Архитектура универсальной платформы автоматизации

14

• графическое моделирование рабочих процессов управления инцидентами;

• интерактивное сопровождение процесса управления инцидентами в режиме реального времени;

• управление командами SOC: L1/L2/L3 в режиме реального времени.

SECURITY VISION: РАБОЧИЕ ПРОЦЕССЫ

15

SECURITY VISION: UI UX

16

SECURITY VISION: UI UX

Пример визуализации конструктора витрины дашбордов для оператора.Могут быть представлены любые формы и представления.Доступно разграничение отображения по ролям и географии.

17

SECURITY VISION: КОННЕКТОРЫ ДАННЫХ

18

SECURITY VISION: КОННЕКТОРЫ ДАННЫХ

Коннекторы сбора данных с внешних систем (примеры из практики):

Универсальные коннекторы данных:• База данных (СУБД Microsoft SQL,

PostgreSQL, Oracle Database, MySQL);

• Файл (любой формат, XML, JSON, CSV, TXT, Binary);

• Электронная почта (POP3, IMAP);• REST;• SOAP;• Syslog;

Преднастроенные коннекторы на получение событий с внешних систем:• FinCERT;• FireEye CMS;• FireEye CMS IPS;• Cisco IronPort ESA;• Kaspersky IPS;• Kaspersky Security Center;• MaxPatrol;• OTRS;• Palo Alto Networks Panorama;• IBM QRadar SIEM;• Skybox Security;• Symantec Endpoint Protection;• Symantec IPS;• TripWire Enterprise;

• Apache Kafka;• IBM WebSphere MQ;• ArcSight ESM;• Splunk Enterprise;• InfoWatch Traffic Monitor;• Tenable Nessus;• RedCheck;

19

Пример визуализации универсальных коннекторов связи позволяющие обеспечить односторонние и двусторонние связи системы с ИТ и ИБ системами для достижения обратной автоматической реакции в соответствии со сценариями реагирования.

SECURITY VISION: ВНЕШНИЕ КОННЕКТОРЫ

20

SECURITY VISION: ВНЕШНИЕ КОННЕКТОРЫ

Коннекторы реагирования и обогащения данных (примеры из практики):

Универсальные коннекторы:• IBM WebSphere MQ;• DNS;• Apache Kafka;• Microsoft Exchange;• PowerShell;• LDAP;• База данных (СУБД Microsoft

SQL, PostgreSQL, Oracle Database, MySQL);

• REST;• SOAP;• Электронная почта (SMTP, POP3,

IMAP);• SNMP;• SSH;• Windows Shell;

Преднастроенные коннекторы взаимодействия с внешними системами:Microsoft Active Directory, System Center Configuration Manager, СУБД MySQL, Imperva SecureSphere, Apache Kafka, Splunk Enterprise, IBM WebSphere MQ, InfoWatch Traffic Monitor, ArcSight Logger, Symantec Critical System Protection, Skybox Security, Cisco IronPort ESA, URLScan.io (API), Symantec Endpoint Protection, VirusTotal (API), Kaspersky Security Center, Check Point SandBlast, Lieberman ERPM, MXtoolBox (API), VMware ESXi, Cisco ASA, MaxPatrol, CMDB iTop, VMware vCenter, OpenStack, Microsoft Forefront Threat Management Gateway, СУБД Oracle Database, Microsoft Windows, Palo Alto Networks Panorama, Microsoft Windows Server, СУБД PostgreSQL, Red Hat Enterprise Linux, Cisco FirePower, CentOS, Fortinet Fortimail, Microsoft Exchange Server, QLikView, Zabbix, Gigamon (GigaVue), СУБД Microsoft SQL Server, IBM QRadarSIEM, MailArchiva, HP Service Manager, TripWire Enterprise, URLScan.io, VirusTotal и другие.

ПЕРСПЕКТИВЫ

22

SECURITY VISION: ЭВОЛЮЦИЯ СИСТЕМ

23

Incident Response Platform [IRP] – основные перспективы развития в Банке:

• Расширение области покрытия IRP-системы на множество систем защиты Финансовой Корпорации; [подключение дочерних структур и их СЗИ к отработанным сценариям и процедурам];

• Задачи, связанные с подключением и аналитикой безопасности в системах обработки BigData с модулем семантического анализа инцидентов, содержащим модель машинного обучения. Модуль обладает возможностью автоматического определения команд реагирования на инцидент и передачи команд реагирования в подключенные внешние системы и устройства;

SECURITY VISION IRP: 2020

24

Incident Response Platform [IRP] – основные перспективы развития в Банке:

• Автоматизация взаимодействия с регуляторами - к примеру, обеспечение полного жизненного цикла во взаимодействии с FinCERT [АСОИ, Фид-АнтиФрод];

• Переход к вопросам Auto-Compliance на базе внедренных инструментов IRP, автоматизация соответствия важнейшим в финансовой отрасли нормативам и стандартам. [Например, автосоответствие финансовым Стандартам ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018];

SECURITY VISION IRP: 2020

25

SECURITY VISION МОДУЛИ

Проектные внедрения могут быть дополнены опционными или индивидуальными модулями, такими как:

1. Управление активами2. Управление инцидентами3. Конструктор рабочих процессов4. Конструктор отчетов и дашбордов5. Географическая карта6. SIEM Security Vision7. Коннекторы к источникам данных8. Коннекторы реагирования9. Конструктор процессов реагирования10. Управление уязвимостями11. Управление рисками кибербезопасности

26

SECURITY VISION МОДУЛИ

Проектные внедрения могут быть дополнены опционными или индивидуальными модулями, такими как:

12. Управление соответствием13. Управление соответствием обработки персональных данных15. Управление документами и стандартами ИБ16. Управление аудитами17. База знаний / решений18. Режим высокой доступности / многонодность19. Кластер аналитики BigData: ML, OLAP, Hadoopsample20. Модуль взаимодействия с ФинЦЕРТ21. Модуль взаимодействия с НКЦКИ (ГосСОПКА)22. Модуль Threat Intelligence Platform

27

www.securityvision.ru