Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации номер Л024-00107-77/0179424 (виды работ, услуг по пунктам а; б; в; г; д; е)
Круглосуточный сбор событий безопасности со всех компонентов IT‑инфраструктуры (серверов, сетевых устройств, рабочих станций, облачных сервисов), а также средств и систем защиты информации (NTA, SB, EDR, DLP и пр.) с
последующим анализом, с применением собственной экспертизы и использованием систем SIEM, SOAR, а также других инструментов
Проверка поступающих событий:фильтрация ложных срабатываний, определение природы угрозы и степени риска.
Для подтверждённых инцидентов — выяснение причинипоследствий
Нейтрализация подтверждённой атаки: изоляция задействованных в атаке узлов, блокировка скомпрометированных учётных записей, удаление вредоносных файлов.
Также в задачи SOC входит сбор информации для сотрудников, занимающихся восстановлением нормальной работы систем и устранением найденных уязвимостей
Подготовка отчётов о поступающих событиях и обнаруженных инцидентах, составление подробных отчётов по произошедшим инцидентам
Решаемая задача
Согласно требований ФЗ-187; приказов ФСТЭК №235, 239; ПП РФ №№127, 1272; УП РФ №166, 203, 250: Субъектам КИИ (организациям, которые управляют значимыми объектами критической информационной инфраструктуры из сфер: здравоохранения, науки, транспорта, связи, энергетики и ТЭК, банковского и финансового секторов, атомной энергии, оборонной и ракетно-космической отраслей, горнодобывающей, металлургической и химической промышленности), необходимо присоединиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Сроки передачи информации зависят от типа объекта: об инцидентах назначимых объектах КИИ нужно сообщать в течение 3 часов с момента обнаружения, на прочих объектах— в течение 24 часов.
Корпоративные центры ГосСопка и Национальный координационный центр по компьютерным инцидентам (НКЦКИ) обеспечивают:
Security Information and Event Management — сбор и корреляция данных из различных источников, анализ событий ИБ, обнаружение признаков атак
Network Traffic Analysis — анализ сетевого трафика для выявления аномалий
Endpoint Detection and Response / Extended Detection and Response — мониторинг и защита конечных точек, автоматическое изолирование заражённых устройств
SandBox — анализ содержимого подозрительных файлов и их поведения в случае активации
Security Orchestration, Automation and Response — автоматизация реагирования на инциденты
Круглосуточный анализ событий информационной безопасности с применением лучших практик в области мониторинга и реагирования;
Опытная команда высококвалифицированных специалистов, с опытом и компетенциями, подтвержденными сертификатами крупнейших отечественных вендоров;
Быстрое выявление и реагирование на вредоносные активности;
Личный кабинет и дашборды в реальном времени;
Оперативная реконфигурация правил корреляции и алертов, в соответствии с изменениями в процессе эксплуатации систем;
Использование собственной экспертизы для выявления злоумышленника на ранних этапах, а также предоставления рекомендаций по устранению уязвимостей;
Ежемесячные отчёты о событиях и инцидентах
обрабатывают поступающие события ИБ, определяя среди них потенциально опасные, также собирают данные о подозрительной активности и проводят первичную аналитику
проводят углублённое расследование атак, анализируют данные о подозрительной активности, занимаются поиском аномалий
проводят расследование сложных (комплексных) атак, занимаются корректированием и доработкой правил
настраивают и поддерживают технические средства защиты
(охоте за угрозами) — занимаются поиском и выявлением скрытых угроз
(разработке безопасного ПО) — оказывают услуги в построении процесса «безопасной разработки»
оказывают услуги в областях: защита веб-приложений, vulnerability management (управление уязвимостями), работа с DLP-системами, PAM-системами и пр.
