Solar JSOC – коммерческий центр мониторинга и реагирования на инциденты ИБ, набор сервисов ИБ для противодействия современным угрозам.
Solar JSOC включает более 40 атомарных сервисов, объединенных в более высокоуровневые сервисы, которые обеспечивают комплексное решение бизнес-задач. Важным преимуществом Solar JSOC является информационный обмен с государственными и отраслевыми CERT, а также ведущими вендорами ИБ. Репутационные базы и фиды сквозным образом обогащают все сервисы Solar JSOC, обеспечивая защиту от самых новых и актуальных киберугроз. Модель Solar JSOC предоставляет более глубокий уровень аналитики, демонстрируя заказчикам корневые причины и следствия инцидентов и уязвимостей.
Формат предоставления сервиса Solar JSOC опирается на три уровня – Security Maintenance (эксплуатация средств защиты), Security Monitoring (мониторинг уровня информационной безопасности) и Security Management (управление информационной безопасностью).
Функции Solar JSOC:
- мониторинг инцидентов, работающий 24х7 для мониторинга и реагирования на внутренние угрозы и атаки киберпреступности. Позволяет получить сервис с гарантированным SLA – от долговременного хранения событий ИБ до расследования инцидентов, выявленных с помощью корреляционных правил. При этом мониторинг инцидентов уровня приложений и пользователей основывается на анализе бизнес-процессов и информации о целевых атаках от ведущих лабораторий ИБ России.
- контроль защищенности, выявляющий и приоритезирующий уязвимости, исходя из их уровня рисков, инфраструктуры, наличия актуальных систем безопасности и компенсационных мер защиты. Также с помощью услуги «JSOC – контроль защищенности» проводится периодическая проверка на наличие следов работы или экземпляров вредоносного ПО, не выявляемого антивирусными средствами.
- анти-DDoS, надежно защищающий от атак на доступность сервисов и приложений. Услуга предоставляется на базе лидирующих решений в сегменте рынка защиты от DDoS.
- защита от киберпреступности, основанная на оперативных данных об актуальных угрозах и целевых атаках. Услуга дает возможность вовремя принять ответные меры: заблокировать скомпрометированные учетные записи, проверить инфраструктуру на наличие целевого вредоносного ПО, провести анализ атаки и вернуть информационные системы в прежнее состояние.
- администрирование систем безопасности, представляющее собой классический аутсорсинг обслуживания множества решений ИБ для высвобождения собственных ресурсов компаний-клиентов для новых задач и проектов.
- анализ кода приложений, помогающий выстроить полноценный процесс выявления и устранения уязвимостей перед запуском систем собственной или заказной разработки в эксплуатацию.
- защита веб-приложений, организованная как сервис с предоставлением WAF и услуг по его эксплуатации в виде подписки. Такой подход исключает необходимость обработки трафика вне сети клиента, а оперативная настройка сигнатур под блокирование неизвестных типов веб-атак дает возможность противостоять угрозам на ранних этапах.
2023: Запуск SIEM «Лаборатории Касперского» для оказания сервисов по мониторингу и реагированию на кибератаки.
Для оказания сервисов по мониторингу и реагированию на кибератаки «Ростелеком-Солар» запустил в работу SIEM-платформу Kaspersky Unified Monitoring and Analysis Platform (KUMA). Она позволяет централизованно собирать, анализировать и проводить корреляцию событий кибербезопасности из различных источников данных для оперативного выявления и предотвращения киберинцидентов. Об этом 20 января 2023 года сообщили в Лаборатории Касперского.
Один из ключевых инструментов SOC — SIEM-система. При этом «Ростелеком-Солар» традиционно стремится предоставить клиентам возможность выбора платформы под их задачи. Весной 2022 года в компании приняли решение дополнить сервисный портфель платформой KUMA, высоко оценив гибкость архитектуры, возможность принимать и обрабатывать большие потоки данных и понятный процесс миграции с других решений. Кроме того, продукт поддерживает широкий перечень коробочных коннекторов к типовым источникам логов. Важную роль в процессе внедрения сыграла готовность «Лаборатории Касперского» оперативно доработать функционал продукта согласно строгим требованиям Solar JSOC и актуальным запросам рынка. Все эти факторы позволили почти в два раза ускорить интеграцию и запуск сервиса: полный цикл занял всего 4 месяца.
Опыт Solar JSOC может быть полезен тем компаниям, которым необходимо осуществить миграцию с иностранных решений. Чтобы сделать этот процесс комфортным, заказчики могут обратиться к сервис-провайдерам, которые оказывают услуги мониторинга и консалтинга в области SOC. Сервис на базе KUMA поможет оперативно обеспечить защиту инфраструктуры благодаря передаче ряда функций внешним специалистам.
У «Лаборатории Касперского» и «Ростелеком-Солар» серьёзные планы относительно тесной совместной работы для повышения уровня защиты компаний на российском рынке. Компания учитывает требования Solar JSOC, основанные на реальном опыте мониторинга многочисленных клиентов. Это позволило развивать KUMA с пониманием реальных потребностей заказчика― не просто соответствовать тенденциям рынка, а решать актуальные задачи, прокомментировал Илья Маркелов, руководитель направления развития единой корпоративной платформы «Лаборатории Касперского».
Внедряя вторую SIEM, комапния была заинтересована в сохранении качества сервиса. И это удалось благодаря наличию в SIEM-системе максимально гибкого функционала по разработке корреляционных правил, подключению источников событий, возможностям интеграции с внешними системами. Также была отмечена лёгкость и прозрачность миграции с решениями зарубежных вендоров, в том числе за счёт схожих подходов в архитектуре и использования единого формата событий. Кроме того, коллеги из «Лаборатории Касперского» проявили персонализированный подход и оперативно учитывали потребности и пожелания в развитии продукта. В итоге доработанная версия KUMA по эффективности соответствует уровню решений того же класса от зарубежных вендоров, отметил Максим Жевнерев, руководитель отдела развития технологий и перспективных услуг SOC в «Ростелеком-Солар».