Сергей Рысин: Для нас важно постоянно совершенствовать систему противодействия внешним угрозам

Сергей Рысин: Для нас важно постоянно совершенствовать систему противодействия внешним угрозам

Сергей Рысин

Начальник управления информационной безопасности ПАО «ГТЛК»

Выпускник кафедры компьютерной безопасности МИРЭА – Российского технологического университета.

В 2006 году начал работу на должности инженера службы технической поддержки в ЗАО «Компания объединенных кредитных карточек». Работу совмещал с учебой, неоднократно проводил расследования в области ИБ.

В 2010 году перешел на должность заместителя генерального директора в ОАО «Торжокский завод полиграфических красок» и выполнял задачи автоматизации и защиты информации.

В 2013 году перешел в ООО «СтройГазКонсалтинг», где курировал задачи проведения внутренних расследований в области информационной безопасности.

В 2015 году перешел на должность советника директора по безопасности в ПАО «Государственная Транспортная Лизинговая компания», где курирует вопросы автоматизации компьютерной безопасности и информационной безопасности.

...

В 2020 году ПАО «Государственная транспортная лизинговая компания» совместно с Infosecurity a Softline Company реализовала проект по созданию облачного центра мониторинга и реагирования на инциденты на базе внедрённой несколько лет назад SIEM. Начальник управления информационной безопасности ПАО «ГТЛК» Сергей Рысин в интервью Anti-Malware.ru в рамках совместного проекта «SOC с Softline» рассказал о том, как действующая в организации система противодействия киберинцидентам эволюционировала за 5 лет с базового уровня до работы с полноценным SOC в облаке.

Сергей, расскажите подробно о самом начале реализации проекта. В какой момент руководство компании осознало необходимость управления инцидентами в области безопасности? Как было принято решение о необходимости внедрения SIEM?

С. Р.: В ГТЛК я пришёл в 2015 году, и на тот момент направление информационной безопасности в компании было недостаточно развито. Использовались отдельные решения для защиты от хакерских атак и утечек, но даже их функционал был задействован не в полной мере. Совместно с коллегами мы взялись за разработку стратегии ИБ. В рамках проекта мы провели пентесты и обнаружили, что проникнуть в информационные системы организации достаточно просто для профессионала, а значит, для создания надёжной защиты необходимо как минимум начать сбор и анализ событий, происходящих в ИС.

В течение последующих двух лет мы расширяли работу в данном направлении, присматривались к существующим на рынке SIEM. Было рассмотрено около семи решений, в том числе с открытым исходным кодом. Выбор пал на продукт Positive Technologies — SIEM MaxPatrol. Решение было доработано в соответствии с потребностями нашей компании, более того, возможность кастомизации SIEM частично была передана ГТЛК, что стало для нас важным фактором.

Внедрять и обслуживать систему на первоначальном этапе планировалось своими силами, но позднее посчитали, что более целесообразно привлечь к реализации проекта ИБ-провайдера. Специалисты провайдера совместно с вендором очень помогли нам в процессе внедрения и настройки SIEM, в самый активный период работа велась в формате 24х7.

Когда и почему вы поняли, что одной SIEM мало и в компании необходимо построить полноценный SOC?

С. Р.: Примерно через год использования SIEM мы поняли, что поток инцидентов, который обрабатывает система, достаточно велик, и для их эффективного разбора необходимо либо расширять штат специалистов внутри компании, либо автоматизировать процессы мониторинга и реагирования. Создание SOC должно было позволить нам эффективнее управлять существующими в компании ИБ-системами.

Для нас было важно построить SOC на базе используемой SIEM. Такую возможность предоставляли несколько компаний, и Infosecurity снова выиграла тендер, предложив нам оптимальные условия реализации проекта. Благодаря профессиональной работе команды сервисного провайдера мы подключились к ISOC в течение месяца — это очень короткий срок.

Почему в качестве партнёра в реализации проекта была выбрана Infosecurity? На чём основывались, делая выбор?

С. Р.: При проведении конкурсов мы рассматривали предложения ряда ИБ-провайдеров. В пользу Infosecurity говорило не только лучшее соотношение цены и качества, но и богатый опыт в реализации подобных проектов. Для нас было важно работать с компанией, специалисты которой имеют подтверждённую экспертизу в расследовании инцидентов.

Почему решили выбрать ISOC, а не строить центр реагирования внутри компании?

С. Р.: Мы рассматривали все варианты построения SOC и пришли к выводу, что подключение к облачному решению более выгодно. По нашим подсчётам, в построение SOC внутри компании нам пришлось бы вложить больше 50 миллионов рублей за первый год, а на то, чтобы он полноценно заработал, необходимо не менее двух лет. Кроме того, для обслуживания SOC внутри компании необходимо было найти высококлассного специалиста в штат — сделать это непросто, работа такого эксперта стоит очень дорого, при этом есть риск не сработаться.

Иначе говоря, мы можем потратить 100 миллионов рублей и получить продукт, качество которого не гарантировано, потому что у экспертов внутри ГТЛК не было опыта реализации таких проектов. ISOC оплачивается по подписочной модели — подключение к нему не потребовало капитальных затрат.

Конкуренция на рынке коммерческих SOC довольно высока, и тот факт, что провайдер находится в топе, говорит о его умении постоянно меняться и улучшать свой продукт. Команда Infosecurity смогла гарантировать нам обеспечение услуги стабильно высокого качества с учётом всех требований законодательства.

Можете ли оценить первые итоги работы с ISOC?

С. Р.: Мы сразу смогли отсеять достаточно большую долю информационного шума и адекватно оценить, что происходит внутри ИТ-периметра организации. В процессе совместной работы с уже существующим SOC мы продолжаем его совершенствовать, внедряя новые механизмы мониторинга, подключая новые сервисы, нормализуя новые классы событий от тех систем, которые ранее не были подключены. Вместе мы прорабатываем новые кейсы, которые позволяют улучшить систему противодействия инцидентам в компании.

Через некоторое время после подключения к SOC мы провели тест на проникновение, в ходе которого стало понятно, что специалисты центра мониторинга очень точно отследили все действия, производимые «белыми хакерами». Это лишний раз говорит о качестве выбранного решения и высоком уровне компетенций команды провайдера. Обнаруженные во время эксперимента недочёты в работе SOC были оперативно устранены. В дальнейшем мы намерены повторять аналогичные эксперименты, а также дорабатывать существующее решение, используя другие источники полезной информации. Методы, которыми пользуются киберпреступники, постоянно совершенствуются, а значит, и нам важно непрерывно оптимизировать систему для противодействия им.

Сергей, спасибо за беседу!