Внедрение SOC для обеспечения безопасности ПО системы “Умный дом”
ITGLOBAL.COM Security успешно внедрила Security Operations Center для круглосуточного мониторинга инцидентов ИБ
О клиенте
Российская компания, занимается разработкой, производством и продажей электрооборудования. Один из продуктов компании – собственное программное обеспечение для управления системами “умного дома”.
Задача
Компания готовит к выводу своего продукта типа “Умный дом” на российский рынок. Цель клиента – защитить пользователей от несанкционированного доступа к подключенным устройствам со стороны третьих лиц. Основная задача – обеспечить непрерывный мониторинг безопасности ПО, оперативно выявлять и реагировать на возможные инциденты, минимизируя последствия и предотвращая возникновение новых.
Состав команды
Со стороны ITGLOBAL.COM Security:
- Менеджер проекта: управление проектом на всех этапах
- Архитектор SOC: изучение архитектуры продукта, определение векторов атак, разработка перечня недопустимых событий и формата логирования
- Системный инженер SOC: установка сетевой связанности, настройка корректного сбора данных о событиях
- Аналитик SOC: обработка входящих событий, разработка детектирующих правил корреляция
Со стороны клиента:
- Команда разработки: реализация алгоритма логирования
Особенности проекта:
- Разработкой решения занимается третья сторона (сторонний подрядчик)
- Архитектура приложения – микросервисная
- Среда приложения целиком находится в облаке хостинг-провайдера, не подконтрольная на нижних уровнях
- Подключаемые к ПО устройства – китайские, с китайскими прошивками и драйверами
- Отсутствие достаточного уровня логирования событий ИБ в приложении
Реализация задачи включала в себя разработку процесса создания событий ИБ: сбор, парсинг, корреляция нестандартных источников с самописного ПО. Так как архитектура приложения – микросервисная, проделать все это было необходимо для каждого микросервиса отдельно.
Хронология проекта
Выполнение задачи складывалось из следующих шагов:
- Изучение архитектуры приложения клиента.
- Определение актуальных векторов атаки на приложение.
- На базе п. 2, формирование списка недопустимых событий, которые необходимо регистрировать в продукте клиента.
- Установка сетевой связанности с инфраструктурой клиента на базе IaaS от хостинг-провайдера.
- Разработка и реализация единого формата логирования на основе уже имеющихся логов клиента.
- Разработка детектирующих правил корреляции для идентификации недопустимых событий.
- Тестирование и ввод SOC в эксплуатацию.
- Непрерывная поддержка и мониторинг состояния защищенности клиента в режиме 24х7.
Начальная стадия проекта продлилась 3 месяца. На данный момент Security Operations Center соответствует всем предъявленным требованиям и работает круглосуточно.
Результаты
Security Operations Center был успешно внедрен. В результате общий уровень защищенности продукта значительно вырос: события ИБ теперь под контролем аналитиков SOC на разных уровнях в режиме 24х7. Клиент сэкономил порядка 10 миллионов рублей из бюджета ИБ на внедрении SIEM-системы и формировании собственной команды ИБ для эксплуатации этого инструмента.