На предыдущую страницу
#Security

Внедрение SOC для обеспечения безопасности ПО системы «Умный дом»

ITGLOBAL.COM Security успешно внедрила Security Operations Center для круглосуточного мониторинга инцидентов ИБ

О клиенте

Российская компания, занимается разработкой, производством и продажей электрооборудования. Один из продуктов компании – собственное программное обеспечение для управления системами “умного дома”.

Задача

Компания готовит к выводу своего продукта типа «Умный дом» на российский рынок. Цель клиента – защитить пользователей от несанкционированного доступа к подключенным устройствам со стороны третьих лиц. Основная задача – обеспечить непрерывный мониторинг безопасности ПО, оперативно выявлять и реагировать на возможные инциденты, минимизируя последствия и предотвращая возникновение новых.

Состав команды

Со стороны ITGLOBAL.COM Security:

  • Менеджер проекта: управление проектом на всех этапах
  • Архитектор SOC: изучение архитектуры продукта, определение векторов атак, разработка перечня недопустимых событий и формата логирования
  • Системный инженер SOC: установка сетевой связанности, настройка корректного сбора данных о событиях
  • Аналитик SOC: обработка входящих событий, разработка детектирующих правил корреляция

Со стороны клиента:

  • Команда разработки: реализация алгоритма логирования

Особенности проекта:

  • Разработкой решения занимается третья сторона (сторонний подрядчик)
  • Архитектура приложения – микросервисная
  • Среда приложения целиком находится в облаке хостинг-провайдера, не подконтрольная на нижних уровнях
  • Подключаемые к ПО устройства – китайские, с китайскими прошивками и драйверами
  • Отсутствие достаточного уровня логирования событий ИБ в приложении

Реализация задачи включала в себя разработку процесса создания событий ИБ: сбор, парсинг, корреляция нестандартных источников с самописного ПО. Так как архитектура приложения – микросервисная, проделать все это было необходимо для каждого микросервиса отдельно.

Хронология проекта

Выполнение задачи складывалось из следующих шагов:

  1. Изучение архитектуры приложения клиента.
  2. Определение актуальных векторов атаки на приложение.
  3. На базе п. 2, формирование списка недопустимых событий, которые необходимо регистрировать в продукте клиента.
  4. Установка сетевой связанности с инфраструктурой клиента на базе IaaS от хостинг-провайдера.
  5. Разработка и реализация единого формата логирования на основе уже имеющихся логов клиента.
  6. Разработка детектирующих правил корреляции для идентификации недопустимых событий.
  7. Тестирование и ввод SOC в эксплуатацию.
  8. Непрерывная поддержка и мониторинг состояния защищенности клиента в режиме 24х7.

Начальная стадия проекта продлилась 3 месяца. На данный момент Security Operations Center соответствует всем предъявленным требованиям и работает круглосуточно.

Результаты

Security Operations Center был успешно внедрен. В результате общий уровень защищенности продукта значительно вырос: события ИБ теперь под контролем аналитиков SOC на разных уровнях в режиме 24х7. Клиент сэкономил порядка 10 миллионов рублей из бюджета ИБ на внедрении SIEM-системы и формировании собственной команды ИБ для эксплуатации этого инструмента.

Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies