Весной 2020 года к нам обратился международный банк, который остался без обслуживания собственной SIEM-системы. У банка был небольшой штат ИТ- и ИБ-специалистов, поэтому часть задач выполнял MSSP-провайдер, уходивший с российского рынка из-за пандемии.
До момента обращения мы уже предоставляли клиенту услугу Internet Umbrella, которая успешно защищала сервисы от DDoS-атак.
Задача
В рамках проекта требовалось реализовать следующие задачи:
- Подключить технологический MPLS-канал к инфраструктуре заказчика.
- Провести аудит клиентской SIEM-системы и провести интеграцию с SOAR через API.
- Подключить источники событий.
- Настроить запланированный перечень сценариев детектирования и передать в эксплуатацию в SOC.
- Обеспечить мониторинг 24х7х365.
Мы предложили:
- Провести анализ подключенных источников событий к SIEM-системе заказчика.
- Предоставить рекомендации по снижению количества получаемых событий от текущих источников с целью подключения новых источников (модуль IPS Fortigate) в рамках используемой лицензии.
- Используя SIEM-систему заказчика, подключить к мониторингу внешний периметр (Fortigate + роутеры) и DMZ, настроить конечный список / каталог правил корреляции (use-case) и уведомлять клиента по ним. По каждому инциденту отправлять рекомендации.
Решение
Подключили технологический MPLS-канал
На момент обращения мы являлись межсетевым провайдером для клиента — обеспечивали сетевую связность офисов и предоставляли услугу «Бизнес VPN». Чтобы объединить инфраструктуру клиента с нашим CyberSOC, мы провели ряд сетевых настроек и организовали технологическое MPLS-подключение.
Аудит, настройка и интеграция SIEM-системы
Прежде чем приступать к подключению сервисов банка к нашему CyberSOC, мы проанализировали клиентскую SIEM-систему, обновили и приступили к интеграции с нашей SOAR-системой в три этапа:
Этап 1. Проанализировали SIEM-систему. Мы детально изучили систему клиента: набор текущих лицензий, задействованные и потенциально доступные опции. Провели ряд интервью со штатными ИТ-специалистами, чтобы выяснить, как был настроен деплоймент системы, какая установлена версия ПО и так далее.
Этап 2. Обновили. Выяснилось, что у клиента стояла старая версия SIEM. Ее предстояло обновить перед интеграцией. Мы подготовили необходимые руководства, чтобы упростить и ускорить процесс обновления.
При изучении лицензий мы поняли, что клиент использует не все доступные возможности. Текущая лицензия утилизировалась health-метриками самой платформы. Но сам механизм лицензирования работает так: все, что использует система, отдается обратно в пул (License Give Back) и не учитывается. Клиент об этом не знал и думал, что у него нет доступной емкости для подключения межсетевых экранов FortiGate.
Павел Сердюк,
архитектор по кибербезопасности
Бывают ситуации, когда интеграторы внедряют инструменты, но не обеспечивают поддержкой в процессе работы. В итоге клиент остается без полного понимания, какие лицензии установлены, что и как работает, какие еще возможности доступны.
В подобных случаях мы помогаем клиенту детально разобраться в системе и лицензиях, помогаем обновить ПО и задействовать доступные возможности без дополнительных затрат.
Этап 3. Провели интеграцию SIEM-системы. Клиентская SIEM-система стала источником данных об инцидентах, которые обрабатывает наша SOAR-система или IRP-платформа. Мы провели интеграцию систем через API.
SOAR-система сводит данные об угрозах с различных источников и объединяет для дальнейшего анализа. Аналитики по кибербезопасности с помощью этих данных изучают инциденты и занимаются их обработкой.
Анализ и подключение источников событий
После интеграций систем нам предстояло понять, какие источники событий нам доступны и какие необходимо подключить. Вначале мы проанализировали возможные векторы атак, на основе которых настроили и подключили источники событий.
Мы столкнулись с проблемой: текущая версия ОС системы защиты электронной почты выдавала разрозненные логи почтовых коммуникаций. Анализ таких логов SIEM-системой представлялся затруднительным.
Мы дали рекомендацию клиенту обновить версию ОС системы защиты электронной почты Cisco ESA для поддержки консолидированных логов почтовых коммуникаций (Single Line Log). Дополнительно написали коннектор, который помогал передавать и анализировать обновленные логи из системы защиты электронной почты в SIEM-систему клиента. Также мы написали несколько новых сценариев для детектирования случаев нелегитимной активности через электронную почту нашим SOC. Обновление системы защиты электронной почты позволило повысить уровень кибербезопасности.
Таким образом мы помогли обновить систему защиты электронной почты и сделать логи данной системы «понятными» для SIEM.
Разработка сценариев детектирования и передача в эксплуатацию SOC
Мы разработали внутренние плейбуки и процессы реагирования на инциденты, по которым работают аналитики нашего CyberSOC.
При создании документов мы опирались на подключенные источники инцидентов, возможные векторы атак и международный опыт Orange Cyberdefense — подразделение Группы Orange, отвечающее за разработку и поставку комплексных решений по кибербезопасности для международных предприятий. Глобальный опыт и экспертиза помогают нам аккумулировать актуальные сведения о киберугрозах по всему миру и использовать их в работе с нашими клиентами в России.
Как устроен CyberSOC
Команда и роли, процесс управления внутри отдела и пример реагирования на инцидент.
Мониторинг и защита систем клиента 24х7х365
Аналитики нашего CyberSOC обеспечили непрерывный мониторинг сети и сервисов клиента 24х7х365. Клиент самостоятельно запускал тестовые инциденты и в 100% случаев наш CyberSOC реагировал согласно регламенту и своевременно сообщал о подозрительной активности.
Результат
Мы помогли обновить SIEM-систему без дополнительных вложений, дали рекомендации по подключению межсетевых экранов FortiGate, обновили систему защиты электронной почты, написали коннектор для передачи обновленных логов.
Обеспечили мониторинг и защиту выделенных DMZ-серверов и сервисов, организовали подключение источников событий, проанализировали предполагаемые векторы атак, спроектировали сценарии детектирования и передали их в работу нашему CyberSOC.
На данный момент мы продолжаем сотрудничество и расширяем сферу мониторинга SOC.
Для реализации описанных задач мы предложили использовать наш CyberSOC, основными целями которого является повышение уровня защищенности контролируемых информационных систем; сокращение ущерба от инцидентов; снижение совокупных затрат на управление инцидентами путем организации круглосуточного мониторинга событий; выявление, оперативный анализ и реагирование на возникающие инциденты или прецеденты, которые могут повлечь возникновение инцидентов.
Специалисты по кибербезопасности Orange Business Russia знают, как защитить бизнес от киберугроз, предотвратить атаки и предсказать поведение злоумышленников. Они делятся полезными кейсами из своего опыта.