HackIT 2017

Матюхин Андрей

Cyber Guard - проект построения кибер-центра в государственном концерне «Укроборонпром»

Технический лидер проекта

Agenda

1\ О нас

2\ Миссия и задачи проекта «Cyber Guard».

3\ Концерн «Укроборонпром».

4\ Предпосылки для начала работы.

5\ Зачем это нужно, положение дел в Украине.

6\ Предлагаемые сервисы и статус проекта.

О нас

«Cybеr Guard» это совместный проект концерна «Укроборонпром» с частными компаниями: Укроборонпром , Укринмаш, Information Security Group, Moris Group.

Наши инициативы:

Создание центра оперативного реагирования на инциденты (CERT) в Концерне;

Проведение аналитических исследований законопроектов по кибербезопасности (2126a, 4302, 2133a, 2328a);

Создание инициативной группы по разработке White Paper, Policy Paper в сфере кибербезопасности (совместно с Лабораторией Законодательных Инициатив и Советом Европы);

Миссия и задача проекта «Cyber Guard»

Создайте центр компетенции - оперативного реагирования на инциденты, который работает в про-активном режиме, может определять и эффективно реагировать на кибер-угрозы, участвует во внедрении комплексных решений по безопасности.

Концерн «Укроборонпром»

Концерн это 130+ компаний

80 тыс сотрудников

Разрозненная ИТ инфраструктура

Предпосылки для начала работы:

Рост количества угроз и ущерба от них

Кадровый голод и текучесть ценных кадров

Желание уменьшения уровня возврат инвестиций для дорогостоящих программно-аппаратных решений, понижения затрат на их сопровождение.

CERT

Термином CERT называется группа экспертовв области IT безопасности, чья основнаяобязанность реагировать на инцидентыкомпьютерной безопасности. Эти группытакже предоставляют необходимые сервисыдля обработки инцидентов и поддержки своихклиентов в процессе восстановления послеобнаружения брешей в системахбезопасности.

CERT - Группа Оперативного Реагирования на КомпьютерныеИнциденты

CERT – Havelsan, наш adviser и бизнес партнер Укроборонпрома

Ожидаемые выгоды от создания отраслевого центра оперативного реагирования на инциденты:

Преимущества существования CERT:

Обмен опытом и знаниями с глобальной сетью зарегистрированных центров (385 шт);

Наличие централизованной координации вопросов IT безопасности внутри организации;

Централизованная и специализированная система обработки сообщений об инцидентах и реакции на них;

Наличие экспертизы и поддержки в процессе быстрого восстановления инцидентов безопасности;

Взаимодействие в юридических вопросах и сохранение доказательств в случае судебных процессов;

FIRST (англ. Forum of Incident Response and Security Teams) - это первая организация – признанный глобальный лидер в реагировании на инциденты компьютерной безопасности. Членство в FIRST позволяет командам реагирования на инциденты более эффективно отвечать на инциденты по безопасности, как активно в виде реагирования, так и профилактически.

FIRST сводит друг с другом разнообразные команды CSIRT из государственных, коммерческих и образовательных организаций.

Целями FIRST являются поощрение сотрудничества и координации по предупреждению инцидентов, стимулирование быстрой реакции на инциденты и продвижение обмена информации среди членов сообщества в целом.

Основными задачами оперативной группы являются:

- организация форума для обмена опытом и знаниями;

- пилотный запуск сервисов;

- продвижение общих стандартов и процедур для реагирования на инциденты компьютерной безопасности;

- помощь в создании новых CERT и обучении персонала CERT.

Статистика других стран

Количество центров реагирования на компьютерные чрезвычайные событий в мире = 385

50% от общего количества подобных центров находятся в 4 странах – США(77), Япония(30), Англия(17), Германия(27).

Украина - 2 зарегистрированных.

US20%

JP8%

DE7%

GB4%

ES4%FR

3%CA3%

NO3%

SG3%

CO2%

KR2%

CH2%

NL2%

Все остальные

37%

Value

Оптимизация затрат

- Уменьшение расходов на персонал

- Уменьшение расходов на инфраструктуру

- Минимизация расходов/затрат на меры реагирования по возникшим инцидентам

- Повышение эффективности вложенных инвестиций

- Минимизация расходов на выполнение соответствий

Повышение эффективности

- Подход превентивной защиты

- Синергия от работы экспертов

- Минимальное время получения первых результатов

- Множественные источники данных об угрозах

- Предоставление поддержки в режиме 24х7х365

Регуляторные соответствие

- внедрение контрольных мер для выполнения соответствия набора стандартов ISO/IEC 27000 и ISO/IEC 12207 других лучших практик, NIST стандартов.

Выгоды от создания отраслевого центра для каждого подразделения

Департамент финансов

- Отсутствие CapEx

- Высокий ROI

- Масштабируемость

Департамент ИТ

- Автоматизация процессов обеспечения безопасности

- Обмен опытом

- Доступ к широкому спектр услуг

Департамент Безопасности

- Превентивный подход

- Снижение времени реакции

- Актуальные технологии

- Наличие кибер лаборатории

- Поддержка 24x7x365

Вовлеченные эксперты

- реальный опыт

- рыночные зарплаты

Кооперация с университетами

- вовлечение талантливой молодежи в работу

Сервисы, оказываемые Центром

Базовые сервисы оказываемые центромСервисы реагирования

- Оповещение и предупреждение

- Обработка инцидентов

- Анализ инцидентов

- Реакция на инциденты

- Координация реагирования на инциденты

- Реакция на инциденты на месте

- Обработка уязвимостей

- Анализ уязвимостей

- Реакция на уязвимости

- Координация реагирования на

уязвимости

Профилактические сервисы

- Объявления

- Слежение за развитием технологий

- Анализ и оценка систем безопасности

- Конфигурирование и поддержка

систем безопасности

- Разработка средств обеспечения

безопасности

- Обнаружение вторжения

- Распространение информации о

системах безопасности

Управление качеством систем

безопасности

- Анализ рисков

- Непрерывность рабочего процесса и

восстановление при аварийных ситуациях

- Консультирование по вопросам

безопасности

- Повышение осведомлённости

- Обучение / Тренинги

- Оценка продукта и Сертификация

Статус развития Проекта

Уже:

Набор middle\senior специалистов (say hi to dou );

Проведение ИБ аудита группы компаний концерна;

Регистрация в статуса CERT в курирующем органе;

Создание портфеля продуктов по безопасности.

Среднесрочные перспективы:

Предоставлять услуги обеспечения безопасности коммерческим

организациям и государственным учреждениям;

Стать образовательным провайдером по кибер безопасности;

Разработка и стратап аккселерация продуктов по кибербезопасности.

Долгосрочные перспективы:

Расширение спектра услуг для клиентов предприятий;

Предоставление услуг на международном рынке.

Матюхин АндрейТехнический лидер проекта

info@cyberguard.com.ua

Спасибо за внимание!