Спецпроекты

Непрерывная трансформация ИБ: как банк «Открытие» построил новую систему кибербезопасности

Безопасность Интеграция ИТ в банках

Обеспечение информационной безопасности в кредитно-финансовой сфере — пожалуй, самое быстроразвивающееся направление ИБ как таковой. Финансовые учреждения, в первую очередь банки, вынуждены быть первопроходцами, использовать наиболее передовые средства борьбы с киберугрозами и постоянно совершенствовать свои процессы защиты информации.

Банки вынуждены внедрять такие системы информационной безопасности, которые не только максимально эффективны, но и обладают повышенной гибкостью, адаптивностью и масштабируемостью. А также, за счет активного применения в них технологий искусственного интеллекта и обработки больших данных, способны к интенсивному накоплению информации, ее анализу и, как следствие, к самообучению. Только такие ИБ-системы позволяют предприятиям финансовой отрасли (как, впрочем, и предприятиям прочих отраслей) постоянно и интенсивно совершенствовать процессы обеспечения информационной безопасности и быть способными противостоять новейшим угрозам.

Ярким примером такого интенсивного и успешного развития процессов ИБ является деятельность банка «Открытие», построенная на базе продуктов ИБ-платформы Security Vision.

Автоматизация и роботизация реагирования на инциденты ИБ

Модернизация системы обеспечения информационной безопасности банка началась в 2018 г. вместе с модернизацией бизнеса, связанной с присоединением БИН и интеграцией разрозненных систем БФКО в единый ландшафт. Эта модернизация стартовала практически сразу после прихода новой управленческой команды, в т.ч. команды менеджмента по информационной безопасности. Был проведен открытый многоэтапный конкурс среди российских и иностранных IRP-систем, победителем которого стала Security Vision Incident Response Platform (IRP).

Внедрение Security Vision IRP позволило автоматизировать множество рутинных операций, связанных с инцидентами кибербезопасности, и существенно ускорить процессы развития в области ИБ. С помощью системы были автоматизированы более 30 сценариев реагирования на инциденты ИБ, проведено более 50 интеграций со средствами защиты банка.

За счет интеграций и разработанных сценариев реагирования область действия SOC теперь покрывает следующие основные области обеспечения ИБ: антивирусную защиту, сетевую безопасность, защиту конечных узлов, электронной почты и внешних публикаций, контроль целостности критичных серверов, политики управления доступом и использования сетевых ресурсов.

Все разработанные сценарии реагирования были поделены по зонам ответственности сотрудников департамента информационной безопасности банка.

Разработанные автоматизированные процедуры включают в себя:

  • Сценарии реагирования на инциденты ИБ, в рамках которых осуществляются регистрация инцидента ИБ и первичный сбор информации о факте выявления инцидента ИБ из системы-источника, обогащение первичной информации дополнительными аналитическими данными (включая репутационные сервисы, песочницы, внутренние базы данных и базы активов), формирование маршрута обработки инцидента и выполнение действий в смежных системах.
  • Сценарии, связанные с поиском признаков угроз в инфраструктуре по факту получения информации от внешних CERTов, внесение вредоносных IOC в блокирующие списки на средствах защиты информации, контроль попыток взаимодействия компонент инфраструктуры с зарегистрированными IOC.

В ходе выполнения работ по автоматизации существующие сценарии реагирования были дополнены и уточнены для максимальной автоматизации. Также были разработаны новые сценарии реагирования.

Это напрямую повлияло на эффективность работы ИБ-специалистов: они получили действенный инструмент, который позволил им в условиях ограниченных человеческих ресурсов обеспечивать эффективное реагирование на инциденты кибербезопасности с высокой глубиной расследований. Если раньше ИБ-специалисту банка нужно было не менее двух часов для проверки 1-2 сложных параметров, то сейчас система осуществляет по 200+ проверок за несколько секунд. Повысились не только ширина охвата, но и глубина автоматических проверок параметров информационной безопасности. В настоящее время небольшой штат сотрудников службы мониторинга и реагирования на инциденты информационной безопасности обеспечивает контроль защищенности более 30 000 серверов и рабочих станций без потери качества. Помимо этого платформа является центром накопления знаний по киберинцидентам внутри банка.

Кроме того, на базе платформы Security Vision была реализована подготовка оперативной и тактической отчетности, которая теперь используется как операторами SOC, так и руководителями департамента информационной безопасности кредитной организации.

Модернизация системы обеспечения информационной безопасности банка началась в 2018 г.

Участие специалистов департамента ИТ-развития банка «Открытие» в определении стратегических направлений автоматизации и в их последующем воплощении позволило обеспечить органичную интеграцию и взаимодействие продуктов Security Vision с ИТ-системами и средствами защиты банка в рамках единой информационной среды.

«Эффективное использование информационных ресурсов возможно только при качественном обеспечении их взаимодействия. Особую актуальность этот вопрос приобретает в случаях, когда речь идет о крупной финансовой организации с развитой информационной структурой, объединяющей множество взаимосвязанных сложно организованных систем и процессов. Продукты Security Vision отличаются высокой гибкостью и адаптируемостью, что существенно упростило работу по их интеграции с системами и СЗИ банка», — говорит Дмитрий Первухин, вице-президент, заместитель директора департамента ИТ-развития банка «Открытие».

pervuhin.jpg
Дмитрий Первухин: Продукты Security Vision отличаются высокой гибкостью и адаптируемостью

Расширение области мониторинга и совершенствование процессов Security Operations Center

В результате первого этапа проекта был создан фундамент, позволяющий легко масштабировать систему (в том числе на другие компании группы «Открытие»), подключать новые источники событий информационной безопасности, не меняя архитектуру системы и процессы реагирования.

Так что закономерным развитием проекта стало расширение области мониторинга и усовершенствование процессов Центра информационной безопасности на базе системы Security Vision IRP. В ходе проекта специалисты Security Vision в тесном сотрудничестве с сотрудниками департаментов информационной безопасности и ИТ-развития банка выполнили следующие задачи:

  • интегрировали в Security Vision IRP 10 новых систем и средств защиты информации;
  • разработали и внедрили 20 новых процедур реагирования на инциденты кибербезопасности;
  • автоматизировали ряд процессов смежных подразделений Центра информационной безопасности, относящихся к ежедневной деятельности их сотрудников;
  • автоматизировали процесс отправки данных о выявленных угрозах и инцидентах ИБ в ФинЦЕРТ — Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, специальное структурное подразделение Банка России;
  • реализовали взаимодействие с новым компонентом ИБ-инфраструктуры банка, представляющим собой аналитический блок больших данных;
  • реализовали новые сценарии реагирования, связанные с контролем привилегированных пользователей, утечками информации, защитой бренда, защитой от DDoS-атак;
  • на базе платформы Security Vision реализовали и автоматизировали процессы, связанные с регулярной деятельностью SOC банка: контроль подключения источников к системе мониторинга, управление сетевыми средствами защиты, внутренний Service desk;
  • добавили новые источники инцидентов — подключили системы защиты компаний группы;
  • по мере реализации проекта сотрудники банка самостоятельно разрабатывали новые сценарии реагирования.

«Финансовая отрасль как никакая другая подвержена кибератакам, — уверен Илья Короткин, руководитель службы мониторинга и реагирования на инциденты информационной безопасности банка «Открытие». — Осознавая это, мы стремимся делать все возможное, чтобы наши информационные активы и, как следствие, денежные средства и личные данные клиентов банка «Открытие» находились под надежной защитой. Киберпреступники постоянно совершенствуют свой инструментарий, однако и мы не стоим на месте, а повышаем эффективность и расширяем возможности Центра информационной безопасности. Благодаря использованию современных и надежных систем защиты информации, таких как Security Vision IRP/SOAR, мы гарантируем клиентам самый высокий уровень обеспечения информационной безопасности».

korotkin.jpg
Илья Короткин: Финансовая отрасль как никакая другая подвержена кибератакам

Управление операционными рисками

Еще одним шагом в автоматизации и развитии процессов информационной безопасности банка «Открытие» на платформе Security Vision стало внедрение современной системы управления операционными рисками. Специально для этих целей специалисты группы компаний «Интеллектуальная безопасность» разработали уникальный модуль на базе Security Vision Cyber Risk System (Security Vision CRS). Кредитная организация внедрила его первой на российском рынке.

Новое технологическое решение через интеграцию с кадровой системой позволяет любому работнику банка сообщить о случившемся событии операционного риска профильным сотрудникам и подключить их к решению вопроса, дает возможность загружать события из других систем банка, осуществлять сбор и анализ событий операционного риска с организацией нескольких ролей пользователей, выявлять дубликаты и группировать события операционного риска, настроить уведомления пользователей через корпоративную электронную почту, автоматически обрабатывать типовые события. При этом решение в основном соответствует новым требованиям Банка России к управлению операционными рисками.

«Реализация системы управления операционными рисками банка на базе Security Vision CRS уже привела к заметным улучшениям — сокращению времени обработки событий операционного риска, ролевому доступу сотрудников к событиям, формированию более гибкой системы отчетности», — рассказывает Оксана Старосельская, вице-президент, директор департамента анализа розничных рисков банка «Открытие».

staroselskaya700.jpg
Оксана Старосельская: Реализация системы управления операционными рисками привела к заметным улучшениям

Аналитика больших данных и машинное обучение

Банк постоянно совершенствует безопасность и наращивает автоматизацию бизнес-процессов. Несколько лет назад ввиду постоянно растущих объемов данных и потребности в сервисах и аналитике больших данных был реализован проект с использованием больших данных на базе технологии Hadoop. Решение используется для надежных, масштабируемых и распределенных вычислений, а также применяется как хранилище файлов общего назначения, способное вместить петабайты данных.

Кроме того, на платформе Security Vision есть аналитический модуль, также позволяющий работать с большими данными. Это модуль семантического анализа инцидентов, содержащий модель машинного обучения и выполненный с возможностью автоматического определения и выполнения команд реагирования на инциденты кибербезопасности. Таким образом, использование алгоритмов машинного обучения для выявления аномалий обеспечивает автоматическое «взведение» инцидентов c возможностью автоматического определения команд реагирования на инцидент, обеспечивая автоматизацию на всем протяжении жизненного цикла инцидента.

Выявление отклонений в событиях ИБ средствами машинного обучения и обработка их на платформе Security Vision

Источник: Интеллектуальная безопасность, 2020 г.

В 2019 г. мировой рынок технологий искусственного интеллекта в индустрии кибербезопасности оценивался экспертами (MarketsandMarkets, Zion Market Research) в $8 млрд, с достижением $30 млрд в 2025 г. и ежегодным ростом на 23%. В 74% случаев внедрение технологий ИИ в кибербезопасность организации сокращает время обнаружения и реагирования на инцидент. Внедрение сервиса на базе платформы Security Vision дало первые результаты. В будущем он будет развиваться как в плане адаптации под особенности процессов банка, так и в плане расширения области его покрытия.

Будущее IRP/SOAR

SOC — это люди, процессы и технологии. И совершенствование идет в каждом направлении. Что касается технологий, то, безусловно, для решения ограниченного числа задач в малых масштабах подойдут и система лог-менеджмента, и SIEM. Но по достижении определенного уровня сложности процессов ИБ в SOC, в частности, при обработке киберинцидентов, нужны будут IRP/SOAR-решения. Можно сказать, что показателем зрелости центра SOC будет осознанная потребность в таких продуктах, позволяющих существенно ускорить обработку инцидентов и упростить решение рутинных задач ИБ. В процессе развития систем автоматизации информационной безопасности SIEM — это начальная точка зрелости. Впереди — большой путь развития, вплоть до автоматического контроля и роботизации ИБ и ИТ и автоматизированного контроля соответствия требованиям регуляторов — не на бумаге, а в реальности и в информационных системах.