Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Solar JSOC – опыт построения коммерческого SOC

Блог компании Ростелеком-СоларИнформационная безопасностьАнализ и проектирование системSaaS / S+S
Эта статья открывает цикл публикаций, посвященных функционированию центра по мониторингу и реагированию на инциденты информационной безопасности – Security Operations Center (SOC). В них мы будем рассказывать о том, что надо учитывать при создании SOC, о процессе подготовки инженеров мониторинга, регистрации инцидентов и практических кейсах, с которыми сталкивается Solar JSOC.

Цель данных статей не самореклама, а описание практических аспектов в реализации сервисной модели оказания услуг в области информационной безопасности. Первая статья будет иметь вводный характер, но она необходима для погружения в тему, которая все еще является достаточно новой для российского рынка информационной безопасности.

Зачем нужен SOC


Что такое SOC, чем он отличается от SIEM, и зачем вообще он нужен, я описывать не буду – слишком много статьей в последнее время написано на эту тему. Причем в статьях можно было встретить взгляд с любой стороны: эксперта, вендора SIEM, владельца или сотрудника SOC.

В качестве вводной информации стоит упомянуть статистику по данным исследований, проведенных ФРИИ, а также компаниями Group-IB и Microsoft:

  • Потери экономики РФ от киберпреступности за 2015 год оцениваются в 123,5 млрд рублей.
  • 60% российских компаний отметили рост числа киберинцидентов на 75%, а размера ущерба — в два раза.

Также хотелось бы упомянуть статистику по нашим клиентам, которая отражается в ежеквартальных отчетах JSOC Security Flash Report:

  • Двукратный рост количества инцидентов информационной безопасности в первом квартале 2016 года по отношению к аналогичному периоду 2015 года.
  • Значительный рост инцидентов, связанных с утечками конфиденциальной информации.
  • Увеличение критичных инцидентов с 26% до 32% по отношению к общему скоупу.
  • Рост числа различных кибергруппировок, работающих по известным схемам мошенничества.

Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры13.1K
Комментарии 11

Доступность JSOC: показатели и измерение

Блог компании Ростелеком-СоларИнформационная безопасностьSaaS / S+S
Мы продолжаем серию материалов, посвященных Security Operations Center, и представляем вашему вниманию второй выпуск.

Сегодняшняя статья посвящена «магическим девяткам» доступности и готовности сервисов. Мы расскажем, из чего складываются сервисные показатели облачного SOC с точки зрения «железа» и ПО, какими средствами они контролируются в Solar JSOC.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры3.4K
Комментарии 0

ПРАВИЛьная кухня

Блог компании Ростелеком-СоларИнформационная безопасностьАнализ и проектирование системSaaS / S+S
Добрый день, коллеги. Вот и подошел черед третьей статьи, посвященной Security Operations Center.

Сегодняшняя публикация затрагивает наиболее важный аспект любого SOC – контент, связанный с выявлением и анализом потенциальных инцидентов информационной безопасности. Это, в первую очередь, архитектура корреляционных правил в SIEM-системе, а также сопутствующие листы, тренды, скрипты, настройки коннекторов. В статье я расскажу про весь путь обработки исходных логов, начиная с обработки событий коннекторами SIEM-системы и заканчивая использованием этих событий в корреляционных правилах и дальнейшем жизненном цикле уже инцидентного срабатывания.


Читать дальше →
Всего голосов 23: ↑20 и ↓3 +17
Просмотры8.7K
Комментарии 6

Замена Oracle на PostgreSQL и возможности работы с секционированием внутри DLP-системы

Блог компании Ростелеком-СоларИнформационная безопасностьOpen sourceOraclePostgreSQL
Сегодня мы хотели бы затронуть очень важную для DLP-решений тему – выбор СУБД для хранения данных. Так исторически сложилось, что большинство российских DLP используют для этих целей Oracle Database. На заказчиков это накладывает определенные финансовые ограничения: стоимость лицензий Oracle закладывается в стоимость DLP-системы. Это создает определенный фильтр, сокращающий аудиторию пользователей продукта: СУБД Oracle могут позволить себе не все – как в техническом, так и в финансовом плане.

Теперь, когда импортозамещение шагает по стране, госсектор (и не только) формирует спрос на DLP, поддерживающие свободные СУБД. Это очень ощутимый импульс, но, метнувшись в сторону свободных СУБД, важно сохранить удобство, производительность и функциональные возможности продукта. В этой статье речь пойдет о том, как мы решали эту задачу, реализуя поддержку PostgreSQL и разрабатывая схему секционирования в Solar Dozor.


Читать дальше →
Всего голосов 23: ↑19 и ↓4 +15
Просмотры8.8K
Комментарии 7

История одного расследования или как DLP-система выявила целенаправленную атаку

Блог компании Ростелеком-СоларИнформационная безопасность
Аналитики Solar JSOC и Solar Dozor в своих статьях часто говорят о том, что даже все многообразие средств защиты, существующих на рынке, не защитит компанию от атаки, если она рассматривает данные каждой системы в отдельности. Чаще всего атаку, если она не совсем примитивная, можно выявить только сведя воедино данные с различных источников.

Сегодня мы хотим рассказать об очередном примере, подтверждающем эту истину. Под катом – история одной атаки, которая едва не прошла незамеченной.


Читать дальше →
Всего голосов 45: ↑40 и ↓5 +35
Просмотры12.7K
Комментарии 19

Один квартал из жизни SOC. Три инцидента без купюр

Блог компании Ростелеком-СоларИнформационная безопасностьSaaS / S+S
Для меня, как аналитика, самые полезные и интересные доклады и статьи – те, которые освещают практические аспекты информационной безопасности и дают конкретные примеры инцидентов и методов их выявления и расследования. Поэтому сегодняшняя статья посвящена нескольким интересным кейсам, с которыми мы в Solar JSOC сталкивались за последнее время.
Читать дальше →
Всего голосов 34: ↑32 и ↓2 +30
Просмотры11.9K
Комментарии 7

DNS-туннель, PsExec, кейлоггер: разбираем схему и технические инструменты атаки

Блог компании Ростелеком-СоларИнформационная безопасностьАнтивирусная защитаSaaS / S+S
Статью «Один квартал из жизни SOC. Три инцидента без купюр» весьма активно плюсовали, так что мы решили рассказать о еще одной интересной атаке, расследованием которой мы недавно занимались.

Существует мнение, что международные корпорации и крупные компании, идущие в ногу со временем в оказании услуг своим клиентам, так же четко выстраивают процессы во всех областях своей деятельности, в том числе в информационной безопасности. К сожалению, это не всегда так.

Некоторое время назад крупная компания с развитой инфраструктурой обратилась к нам за помощью. Проблема заключалась в странных событиях в инфраструктуре компании:

  1. Рабочие станции и серверы внезапно уходили на перезагрузку и выводились из домена.
  2. Пользователи обнаруживали, что их учетная запись заблокирована.
  3. Компьютеры некоторых сотрудников стали «тормозить» без видимой причины.


Читать дальше →
Всего голосов 26: ↑25 и ↓1 +24
Просмотры14.6K
Комментарии 11

«Представление, что этот фреймворк устарел, ошибочно»: Андрей Грицевич (Solar Security) про Ext JS

Блог компании JUG Ru GroupJavaScript


В онлайн-трансляции нашей конференции HolyJS мы подходили к стендам спонсоров и расспрашивали их о JavaScript-разработке. На стенде Solar Security Андрей gritsev Грицевич (руководитель разработки решения Solar Dozor) рассказал нам про используемый фреймворк Ext JS — и мы подумали, что его слова могут быть интересны не только зрителям трансляции, но и читателям Хабра, не работавшим с этим фреймворком. Поэтому расшифровали этот диалог и, немного отредактировав, публикуем здесь.
Читать дальше →
Всего голосов 47: ↑42 и ↓5 +37
Просмотры9.1K
Комментарии 49