Новое ядро Solar JSOC

SolarJSOC является одним из старейших (существует с 2013 г.) и крупнейших (более 250 заказчиков, более 500 сотрудников) коммерческих SOC в России. Он оказывает услуги по мониторингу и реагированию на инциденты ИБ и более 5 лет реализует проекты построения SOC для заказчиков. Технологическим ядром SolarJSOC является SIEM-система. "Ростелеком-Солар" стремится предоставить клиентам возможность выбора платформы под их задачи, и весной 2022 г. в компании приняли решение дополнить сервисный портфель платформой KUMA от "Лаборатории Касперского". Она была выбрана за гибкость архитектуры, возможность принимать и обрабатывать большие потоки данных и понятный процесс миграции с других решений, а также поддержку широкого перечня коннекторов к типовым источникам логов в базовой поставке. Платформа KUMA является ядром коммерческого SOC от "Крок" и ряда других корпоративных и коммерческих центров мониторинга ИБ. Кроме того, вендор проявил готовность к внесению доработок в продукт, что позволило упростить интеграцию KUMA в системы SolarJSOC и сократило сроки работы над проектом до 4 месяцев, что по оценке компаний вдвое меньше, чем обычно требуется на данные работы. Руководитель направления развития единой корпоративной платформы "Лаборатории Касперского" Илья Маркелов обратил внимание на то, что сценарии детектирования, используемые JSOC, потребовали создания таких правил корреляции, которые ранее не были предусмотрены в KUMA: "Чтобы соответствовать требованиям Solar, нам было необходимо поддержать в системе новые функции. Например, во многом именно из-за сложных сценариев Solar в KUMA появился механизм локальных переменных. Далее мы расширяли этот механизм, добавляя новые функции корреляции, чтобы постепенно закрывать всебольше сценариев. А введение локальных переменных можно считать самым значительным изменением KUMA, поскольку именно оно потребовало значительных доработок в одном из основных компонентов системы, и при этом открыло возможности для множества будущих доработок". "Внедряя вторую SIEM, мы были заинтересованы в сохранении качества сервиса. И это удалось благодаря наличию в SIEM-системе максимально гибкого функционала по разработке корреляционных правил, подключению источников событий, возможностям интеграции с внешними системами. Мы также отметили легкость и прозрачность миграции с решений зарубежных вендоров, в том числе за счет схожих подходов в архитектуре и использования единого формата событий. Кроме того, коллеги из "Лаборатории Касперского" проявили персонализированный подход и оперативно учитывали наши потребности и пожелания в развитии продукта. В итоге доработанная версия KUMA по эффективности соответствует уровню лучших решений того же класса от зарубежных вендоров", - отмечает руководитель отдела развития технологий и перспективных услуг SOC в "РТК-Солар" Максим Жевнерев. Вместе с тем, все чаще SIEM-системы в SOC заменяют на EDR и их дальнейшее развитие XDR, которые за счет более высокого уровня автоматизации позволяют "разгрузить" персонал и ускорить реагирование на события. "В продуктах и сервисах Group-IB мы используем собственную XDR систему. Решение для проактивного выявления и предотвращения киберугроз Group-IB Managed XDR, которые также используют в своей работе специалисты Центра мониторинга и реагирования на инциденты информационной безопасности Group-IB (CERT-GIB 24/7), позволяет организациям реагировать на угрозы на 20% быстрее, - Делится опытом перевода ядра SOC на XDR пресс-служба Group-IB. - На базе CERT-GIB 24/7 развернут Security Operation Center (SOC), специалисты которого обеспечивает круглосуточную поддержку и реагирование на инциденты информационной безопасности. С 2022 CERT-GIB использует единую платформу Group-IB Unified Risk Platform, которая обеспечивает максимальный уровень защиты для клиентов от киберугроз на трех основных направлениях: внешний периметр компании, внутренняя инфраструктура, интеллектуальная собственность (бренд)". "Основные тренды развития рынка ИБ – реальное импортозамещение, а также фокус на практическую безопасность – все, что связано с противодействием реальным атакам хакеров. Решения класса SIEM и XDR – непосредственно обеспечивают выявление инцидентов и реагирование на них. Именно поэтому в 2022 г. и на среднесрочной перспективе – эти технологии – технологии первого выбора для всех компаний, сколь либо всерьез занимающихся обеспечением ИБ, - считает директор по развитию бизнеса Positive Technologies в России Максим Филиппов. - Мы видим это по запросам бизнеса на наши продукты. За неполный год существования выполнено 10 внедрений PT Extended Detection and Response (PT XDR), самая масштабная инсталляция выполнена в инфраструктуре с более чем на 20 000 активов. Линейка MaxPatrol продемонстрировала не менее впечатляющую динамику: так, число инсталляций одного из продуктов этой линейки – MaxPatrol SIEM (системы выявления инцидентов ИБ в реальном времени) – в 2022 г. превысило 600". Ссылка на источник