Проекты: Построили гибридный SOC для «АльфаСтрахование»
г. Москва, ул. Василисы Кожиной, д.1, к.1, БЦ "Парк Победы"
Построили гибридный SOC для «АльфаСтрахование»

И сократили время реагирования на инциденты до 4-х часов

Группа «АльфаСтрахование» — крупнейшая частная российская страховая группа с универсальным портфелем услуг, включающим как комплексные программы защиты интересов бизнеса, так и широкий спектр страховых продуктов для частных лиц.

Задачи
1

Обеспечить защиту вверенных активов, включая ключевые — данные клиентов

2

Повысить уровень осведомленности о безопасности (Security Awareness)

3

Обеспечить масштабируемость Security Operations

4

Внедрить процесс контроля метрик эффективности Security Operations

5

Развивать экспертизу сотрудников Заказчика

6

Подтвердить соответствие требованиям регуляторов

Решение
  • Заменить используемую SIEM-систему
  • Поделить основные функции SOC между заказчиком и исполнителем: взять на себя разработку правил, мониторинг событий и сопровождение новой SIEM-системы
  • Масштабировать работу на 11 часовых поясов и более 200 городов
  • Обеспечить сбор базовых данных, необходимых для расчетов различных SMART метрик
  • Совместно пройти аудит соответствия требованиям ISO 27001 и аудиты отраслевых регуляторов
Что сделано

Построен гибридный SOC

Предотвращено 326 «детонаций» среди общего числа подтвержденных инцидентов за прошедший год

Сокращено и регламентировано время реагирования на инциденты (от 2 до 4 часов)

С чего все начиналось

Компания «АльфаСтрахование» — безусловный лидер в онлайн-страховании с долей рынка почти 21%. Более 5 млн россиян — обладатели личного кабинета в мобильном приложении и на сайте компании.

Управление информационной безопасности «АльфаСтрахование» поставило перед собой задачу построить собственный SOC для усиления защиты ключевых активов, в том числе персональных данных клиентов. Как правило, для создания SOC привлекают внешних специалистов, и заказчик обратился в Центр киберустойчивости Angara SOC.

Первоначальными целями было разгрузить ИБ-специалистов «АльфаСтрахование»: начать видеть более прозрачно, что происходит в инфраструктуре компании, и оперативно на это реагировать.

В процессе обсуждения предстоящего скоупа работ родилось понимание, что у «АльфаСтрахование» есть запрос не только на передачу функций внешним специалистам, но и на развитие экспертизы внутренних сотрудников по безопасности — так изначальная задача на построение SOC трансформировалась в создание гибридного SOC: внешний SOCaaS + собственный Open-Source

Эффективность гибридного SOC выше, чем у традиционного — и по времени реагирования, и по качеству
Инфраструктура заказчика
  • > 7000

    Персональных компьютеров

  • > 700

    Серверов Windows

  • > 400

    Серверов Linux

Филиалы присутствуют во всех часовых поясах РФ

Этапы работ
  • Отказ от использования Prelude Pro SIEM — тяжело поддерживаемой системы, для которой нет нормальной документации, в т.ч. как подключать источники данных об угрозах
  • Экспресс-обследование инфраструктуры и закупка необходимого оборудования
  • Совместное формирование перечня базовых контролей (security baseline) и карт контактов
  • Организация каналов связи и развертывание систем Angara SOC
  • Начало оказания услуг
По каким критериям выбирали поставщика услуг
  • Используемые технологии*
  • Возможность доступа внутренних специалистов к консоли SIEM
  • Соотношение цена/качество
* Центром киберустойчивости Angara SOC используется платформа Alertix — универсальный инструмент для сбора и обработки данных, поиска и автоматического сигнатурного обнаружения нежелательных событий или их комбинаций, а также визуализации динамики и значений хранимых данных. Платформа изначально проектировалась и разрабатывалась для оказания коммерческих услуг SOC по требованиям опытных аналитиков ИБ)
2

месяца

Сроки реализации проекта

на работы по построению гибридного SOC

Артем Сычев

Руководитель направления Управления информационной безопасности АльфаСтрахование

«Взломать любую систему можно всегда, поэтому мы сделали упор на развитие сценариев и автоматизацию реагирования, а также на проактивный поиск угроз. Разработку правил, мониторинг событий и сопровождение SIEM доверили Центру киберустойчивости Angara SOC. За год нам хотелось получить готовые сценарии реагирования и систему учета инцидентов, не потратив при этом слишком много ресурсов — как денежных, так и людских»

Какие сложности были в процессе

Мы столкнулись со сложностями в сборе инвентаризации с региональных подразделений – свою роль здесь сыграла распределенность инфраструктуры заказчика по всем часовым поясам страны.

Для решения этой проблемы были разработаны бланки экспресс-опросов для региональных подразделений, подготовлены необходимые пакеты для установки программ и конфигураций. Все материалы дополнялись комментариями и инструкциями, рекомендациями по настройке, позволяющими не привлекать специалистов Angara SOC к прямому участию в работах без необходимости.

Результаты выполняемых действий в части регионов контролировались ночной сменой Angara SOC по мере развития инсталляции, некоторые рекомендации направлялись и во внерабочее время.

По каким критериям измерялась успешность проекта
326 за год

Число предотвращенных инцидентов

от 2 до 4 часов

Время подтверждения обнаруженного подозрения на инцидент до времени подготовки рекомендаций по восстановлению безопасного состояния

2500 активов

под управлением ОС MS Windows

>150 активов

активов с ОС GNU\Linux

> 20 типов СЗИ

и активного сетевого оборудования

Артем Сычев

Руководитель направления Управления информационной безопасности АльфаСтрахование

«Мы как заказчик довольны операционными показателями SOCaaS:

  • Совокупный уровень качества услуг (SLA) > 99.99 %. Он включает в себя доступность платформы, соблюдение сроков обработки событий и инцидентов, а также соблюдение сроков обработки и решения заявок
  • Среднее количество обработанных подозрений на инциденты > 2000 за период (SLA по обработке подозрений на инциденты > 99.99 %)
  • Средний поток «чистых» EPS > 6000 за период
    (после фильтрации и агрегации)»

Тимур Зиннятуллин

Директор Центра киберустойчивости

«Я бы хотел отметить высокий уровень технической экспертизы со стороны «АльфаСтрахование»: их сотрудники каждый день сидят в консолях и сами во всем разбираются, демонстрируют глубокий уровень погружения в задачи»

Архитектура гибридного SOC
Ключевые участники проекта
Евгений Солянкин

Руководитель Управления информационной безопасности АльфаСтрахование

Павел Панишев

Архитектор Управления информационной безопасности АльфаСтрахование

Артем Сычев

Руководитель направления Управления информационной безопасности АльфаСтрахование

Кирилл Скобенников

Инженер Управления информационной безопасности АльфаСтрахование

Александр Самрега

Инженер Управления информационной безопасности АльфаСтрахование

Тимур Зиннятуллин

Директор Центра киберустойчивости

Игорь Александров

Руководитель группы сопровождения Центра мониторинга Angara SOC

Максим Павлунин

Руководитель центра мониторинга Angara Professional Assistance

Даниел Вукоевич

Главный аналитик Центра мониторинга Angara SOC, персональный выделенный аналитик для «АльфаСтрахование»

Никита Струков

Руководитель группы анализа и расследований Центра мониторинга Angara SOC

Планы и направления развития гибридного SOC
Автоматизация реагирования на инциденты и доработка соответствующих пунктов SLA
Автоматизация предоставления отчетов в ФинЦЕРТ ЦБ РФ
Гитхабификация сценариев реагирования, основных документов SOC Threat Hunting
Доработка SLA для внедрения автоматизированных сценариев обогащения и реагирования по ряду типовых инцидентов (разгрузка in house части гибридного SOC от рутинных задач по реагированию)
Автоматические тесты Atomic Red Team
Совместный SaaS с Security Vision
Дополнительные материалы
Узнать подробнее об Angara SOC