Реагирование на угрозы: новый подход сбербанка

Обзор решений

Kaspersky Unified Monitoring and Analysis Platform

Еще одно важное преимущество KUMA – это наличие встроенных сценариев автоматического реагирования на выявленные ИБ-события. SIEM, благодаря модулю ГосСОПКА, полностью интегрирована с технической инфраструктурой Национального координационного центра по компьютерным инцидентам (НКЦКИ), что помгает обеспечить соответствие законодательству РФ в сфере защиты объектов критической информационной инфраструктуры, в частности требованиям 187-ФЗ и приказа ФСТЭК России № 239

MaxPatrol SIEM

База знаний PT Knowledge Base, применяемая в MaxPatrol SIEM, регулярно пополняется пакетами экспертизы благодаря работе ИБ-специалистов PT Expert Security Center и R&D-подразделений Positive Technologies. Эксперты исследуют новые угрозы и методы их работы.

RuSIEM

Также стоит отметить, что теперь у пользователей есть возможность актуализировать информацию об активах компаний в понятном user-friendly интерфейсе. Также реализована возможность писать и запускать автоматизированные скрипты. В последнем обновлении продукта появилась возможность создавать разветвленные структуры реагирования.

Также RuSIEM можно использовать как ядро SOC-центра благодаря комплексному подходу к управлению кибербезопасностью. Теперь продукт может быть полноценно интегрирован с ГосСОПКА благодаря новому модулю НКЦКИ.

KOMRAD Enterprise SIEM

Помимо этого, KOMRAD Enterprise SIEM поддерживает установку на один сервер (all-in-one) и распределенное развертывание. Взаимодействие с источниками событий возможно по многим современным протоколам: SFTP, Syslog, SQL, FTP, SSH, xFlow, SNMP. События в форматах CEF, RFC 5424, RFC 3164, EVTX нормализуются автоматически, на случай нестандартного формата предусмотрен механизм разбора с помощью регулярных выражений (RE2).

Наше будущее и перспективы

Основа интернета (TCP/IP, архитектура операционных систем), по сути, не сильно изменилась с начала его существования. Но с точки зрения информационной безопасности проблем будет становиться все больше. Потому что сейчас новая функциональность появляется за счет наращивания объемов кода, вычислительных возможностей, но нет никаких базовых и фундаментальных решений, связанных с безопасностью самой основы. Мы не переходим на IPv6, новые архитектуры, стандарты и протоколы. Поэтому можно сказать, что наша работа будет востребована еще долго.

Нас ждут новые уязвимости, новые атаки, новые интересные события. И конечно, в таких условиях единственное «лекарство» — это технические компетенции и правильно организованная система управления операционной безопасностью. На самом деле в этом нет ничего сложного.

Когда заканчивалась эпоха Windows XP, лично у меня возникло ощущение, что Windows наконец-то стала безопасной. Новых уязвимостей тогда долгое время не обнаруживали, все было спокойно. Но как только поддержка Windows XP прекратилась, начался переход на новую Windows, и вместе с ней появились новые ОС, мобильные платформы. Получили развитие клоны Android, вновь стали находить 0day-уязвимости.

О проведении ИБ-учений и их важности

Мы на постоянной основе проводим учения для всех наших сотрудников. Самое распространенное — это фишинговые атаки. Об этом много писали в интернете. Когда приходит письмо от имени главы компании, никто не смотрит на адрес, письмо открывают все подряд. А потом получают уведомление, что это были учения службы кибербезопасности. И всем «двоечникам» назначается наш курс «Агент кибербезопасности». Это четырехчасовой игровой курс, состоящий из нескольких модулей и построенный на геймификации по нашему сценарию.

Также у нас есть командно-штабные учения, в которых участвует все руководство банка. Все сотрудники и руководители банка по специальному сигналу собираются в центре кризисного управления. Мы отрабатываем несколько вводных. Например, одна из вводных — масштабное заражение вирусом-шифровальщиком. Мы смотрим, как наша IT-служба будет планировать восстановление данных. Это поможет расставить приоритеты и понять, что и в какой последовательности нужно восстанавливать. Также руководители должны принять меры по управлению бизнесом в ситуации, когда часть IT-систем или ряд компьютеров пользователей не работают.

В этом году мы дважды проводили такие учения. Учения были полностью засекречены, причем мы начали «атаку» не с обычных пользователей, а с администраторов. У администратора на экране вылетает окно: «Все зашифровано, плати деньги». На самом деле наша программа ничего не шифровала, она только блокировала экраны и имитировала шифрование. То есть, если ввести секретную комбинацию, компьютер возвращался в строй. Об этом мы, конечно, никого не предупреждали заранее.

Несколько сотен администраторов выехали в резервный центр управления, где на специально созданных позициях восстанавливали инфраструктуру. Когда администраторы научились это делать, мы перешли к следующему этапу.
Поначалу администраторы, конечно, и компьютеры отключали-подключали, и из розетки их выдергивали. Теперь, если такая атака повторится, если произойдет что-то подобное, мы знаем, что действия администраторов будут осознанными, это будет не стихийное делание всего подряд.

Киберучения для нас очень полезны. Благодаря таким учениям сегодня мы точно знаем, сколько дней у нас занимает восстановление той или иной части инфраструктуры, в зависимости от масштабов и зараженных элементов, если нас накроет какой-либо шифровальщик. Нужно понимать, что никто не застрахован от подобного, уязвимости есть всегда, особенно уязвимости нулевого дня.

Мы отрабатываем различные сценарии на пользователях. К примеру, это может быть проверка соблюдения правил безопасности при работе с носителями информации. Мы специально разбрасываем флешки, на которых записана специальная программа. И если пользователь откроет содержащийся на носителе файл, мы всегда узнаем об этом. У нас бывают учения в области социальной инженерии, связанные со звонками по телефону и выуживанием конфиденциальной информации. Для этого мы специально обзваниваем наших сотрудников.

Также мы проводим много тренировок с участием нашей RedTeam. Здесь существует много направлений, начиная от несанкционированного подключения к Ethernet и различных действий внутри локальной сети. Мы определяем, через какое время наша служба кибербезопасности обнаружит злоумышленника и обнаружит ли вообще. Какими средствами его обнаружат, как будут работать процессы, какие меры будут приняты.

Есть и более сложные сценарии, например когда не просто имеет место подключение к инфраструктуре, а происходит реальная атака. У нас бывали случаи, когда с помощью одной простой атаки «вскрывали» какую-то другую «незаметную» уязвимость и подрывали устойчивость инфраструктуры, эксплуатируя нечто элементарное.

Переход с иностранных решений

Некоторые компании сознательно оттягивают процесс интеграции новой SIEM-системы. Для этого есть ряд причин:

Кулуарные соглашения. Иностранные компании не хотят терять российских клиентов, несмотря на все трудности взаимодействия, вызванные санкциями в финансовом секторе

Важно понимать, что в данный момент экономика и бизнес определяются политическими процессами, которые ни один из вендоров не может как контролировать, так и предугадать. И выполнение любых договоренностей может оказаться невозможным в любой момент.
Надежда на возвращение вендоров

В СМИ регулярно можно встретить новости о намерении вернуться тех или иных иностранных компаний из разных отраслей. Теоретические возможности для этого есть, но они пропорциональны вероятности взлома неизбежно теряющей актуальность защитной инфраструктуры компании.
Попытка справиться своими силами. Или с привлечением сторонних команд. Если оставить за скобками интеграцию opensource-решений (процесс, в котором подводных камней в разы больше, чем при работе с проприетарным продуктом), то любая такая попытка – это создание «костыля», который решает задачу в моменте, но не решает проблему комплексно.

В условиях увеличения количества кибератак на российские компании и одновременного ужесточения требований в сфере ИБ со стороны государства, вопрос перехода на российские инструменты становится еще более насущным для множества компаний.

Промедление чревато тем, что процесс интеграции придется проводить в авральном режиме, что неизбежно повлечет ошибки и недоработки, которые могут сказаться на уровне защиты в дальнейшем.

В контексте решений класса SIEM ситуация с импортозамещением более чем благоприятная: есть и выбор, и возможности для качественной интеграции. А главное, прямо сейчас есть время на вдумчивый выбор и качественную интеграцию системы в инфраструктуру компании.

Минус пять

Топменеджеропад в «Сбере» продолжается. С должности ушёл старший вице-президент банка Андрей Шеметов – формально для того, чтобы сосредоточиться на собственных проектах. При этом РБК безжалостно уточняет, что до этого топ-менеджер находился «в длительном отпуске». Местонахождение господина Шеметова широкой публике неизвестно, но люди на таких должностях редко отдыхают в России.

Одновременно стало известно, что и старший вице-президент Сбербанка Юлия Чупина покинула рабочее место – разумеется, после длительного отпуска, который, по данным источников, опять же, проводила не в России. Ранее Чупина, к слову, работала в московском представительстве McKinsey & Company – американской консалтинговой компании, одном из агентов влияния США на развивающиеся рынки. Известно, что у неё есть испанский паспорт.

Достаточно очевидно, что оба топ-менеджера не желают находиться под санкциями и иметь что-то общее с современной российской политикой.

Равно как и предыдущие беглецы с завидных и очень высокооплачиваемых постов. 25 февраля, на следующий день после начала спецоперации, первый заместитель председателя правления Сбербанка, гражданин США Лев Хасис досрочно сложил свои полномочия. Подчёркивали, что подчинённым он сообщил об этом своём намерении 21 февраля, то есть накануне признания Россией ЛНР и ДНР – а значит, решение вовсе не связано со спецоперацией. Однако Лев Аронович – персонаж прожжённый, с феноменальным чутьём, сошедший со страниц то ли Драйзера, то ли Ильфа с Петровым. Вполне возможно, что он заметил течь в корабле «Сбера», когда её не видел даже бессменный вождь банка Герман Греф. Вскоре стало известно, что уроженец Куйбышева уехал домой, в США. Нет никаких сомнений, что и личный капитал в нужную страну он перевёл заблаговременно.

На следующий после Хасиса день появилась информация об увольнении исполнительного вице-президента Давида Рафаловского (паспорта США и Израиля). Этот американец – посланец Citibank, приехавший в Москву, чтобы курировать технологическое развитие системы «Сбера».

Все эти прекрасные руководители национального розничного банка России, выражаясь антисоветским языком, «выбрали свободу». Но перечисляя четырёх высокопоставленных замов и вице- системы «Сбера», покинувших свои посты в последнее время, нельзя не упомянуть феноменальную Марину Ракову, вице-президента «Сбера» по образовательным проектам. С прошлой осени она находится в СИЗО по ряду очень неприятных обвинений. Равно как и проходящие по тому же делу бывшие топ-менеджеры «Сбера» Евгений Зак и Максим Инкин.

Поиск данных и аналитика

Результаты тестирования решений по критериям блока «Поиск данных и аналитика» представлены в табл. 4.

Табл. 4. Поиск данных и аналитика

    Вендоры PT SIEM IBM QRadar HP ArcSight RSA Security Analitycs McAfee ESM
Критерий Параметры Вес компания Х Вес компания Y Оценки
Поиск данных и аналитика Возможности по поиску событий 5 5 2 2 2 2 2
Возможность группировки событий 4 5 2 2 2 2 2
Возможности Drilldown по полям 5 5 2 1 2 2 2
Google Like Search 5 5 2 2 2 1 2
Скорость работы интерфейса 5 5 1 2 2 2 2
Возможность применения активного воздействия 2 2 2 2 2 2
Использование встроенных средств диагноcтики компонентов системы и создание своих 5 5 1 2 2 2 1

PT MaxPatrol SIEM. Поддерживается поиск по событиям. Присутствует возможность группировки событий, Drilldown по полям и применения активного воздействия. Поддерживается механизм Google Like Search. Скорость работы интерфейса в боевой системе средняя. В качестве средств диагностики компонентов системы используются файлы журналов компонентов. События аудита работы самой системы не попадают в основной поток событий SIEM. Есть возможность активного воздействия средствами самой платформы (сканирование), а также выполнения скриптов.

IBM QRadar. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий. Присутствует механизм Google Like Search. Скорость работы интерфейса высока с учетом выполнения аппаратных требований. События аудита работы самой системы являются частью основного потока событий SIEM. Существуют преднастроенные правила, реагирующие на критичные события диагностики внутренних компонентов. Присутствует возможность создания своих правил. Поддерживается возможность выполнения скриптов.

HP ArcSight. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий, есть возможность создания нескольких различных Drilldown для одного Dashboard. Механизм Google Like Search реализован только в web-интерфейсах продукта. Скорость работы интерфейса высока с учетом выполнения аппаратных требований. События аудита работы самой системы являются частью основного потока событий SIEM. Существуют преднастроенные правила, реагирующие на критичные события диагностики внутренних компонентов. Присутствует возможность создания своих правил. Также есть возможность выполнения команд на некоторых продуктах HP (а также некоторых других вендоров), кастомных скриптов (на менеджере или коннекторах).

RSA Security Analytics. Поддерживаются поиск по событиям и группировка событий. Drilldown по полям осуществляется в несколько действий. Механизм Google Like Search доступен при использовании дополнительного модуля Warehouse. Скорость работы интерфейса высокая с учетом выполнения аппаратных требований. Существуют встроенные средства диагностики компонентов системы.

McAfee ESM. На практике встречаются ситуации, когда скорость работы интерфейса падает: например, при выборке по небольшому промежутку данных, которые были зафиксированы более 3 месяцев назад. Создание собственного dashboard и поиск по нему приводят к задержкам. Есть предположение, что индексируется только строго определенные значения (SRC IP, DST IP и т.п.). Соответственно, поиск по другим значениям занимает длительное время. Присутствуют средства диагностики компонентов системы, но зачастую нужно обращаться к вендору, т.к. штатная диагностика обычно говорит о том, что события не поступают, ресивер не доступен и т.п.

О квалификации в сфере ИБ

По моему глубокому убеждению, специалист по безопасности — прежде всего эксперт в IT. Для IT-компаний существует стандартный подход: сотруднику нужно сдать экзамены, тесты и таким образом подтвердить квалификацию. Но в случае секьюрити-команды это сделать достаточно сложно. Дело в том, что сначала ты должен хорошо знать IT-технологии, а уже потом говорить, что умеешь что-то в сфере безопасности. Иначе это приводит к ситуациям, когда, например, специалист по межсетевым экранам умеет эксплуатировать только само устройство, но не знает, как работает канал связи, как пакеты трансформируются и передаются между сегментами, как происходит сетевая трансляция адресов, обработка трафика на межсетевом экране.

Оценить качество команды кибербезопасности, по моему мнению, очень тяжело. Потому что стандартные тесты — это для IT’шников. Для безопасников тоже существует широкий круг тестов, но областей, где их можно проверить, настолько много, что нет некоего универсального подхода.

У нас в компании разработана своя система. Мы отошли от проверки при помощи тестов и внедрили систему сертификации. «Коллеги, в течение какого-то времени вы должны предоставить сертификаты по соответствующим вашей позиции компетенциям. Где и как вы будете учиться, решать вам. Обучение мы оплатим». И у каждого сотрудника есть четкое понимание, как он подтвердит свою квалификацию. В результате это, конечно, увеличило стоимость обучения сотрудника в разы, но банк пошел нам навстречу, разрешив внедрить такую систему.

Но это все равно очень тяжелый труд. Мы оценили, что подтверждать квалификацию сертификатами на длительном промежутке времени — это тоже достаточно долго, дорого и тяжело. Поэтому следующий способ — это подтверждение квалификации «с рынка». Чтобы экспертное сообщество сказало нам, что мы компетентны. Как это можно сделать? Конференции, журналы, публикации и другая «внешняя жизнь».

Такой путь кажется мне наиболее интересным и жизнеспособным. Хотя в конечном счете все зависит от качества «материала», с которым мы работаем. Например, у сетевых инженеров уходит примерно пять лет, чтобы соответствовать всем стандартам безопасности, которые мы внедрили и приняли. То есть инженер пришел в банк, начал работать, и через пять лет он соответствует тому, что мы хотим видеть с точки зрения экспертизы безопасности. В то же время участие в различных внешних мероприятиях может ускорить этот процесс, создать некую систему ценностей внутри коллектива.

Два года назад первые статьи давались нашим сотрудникам чуть ли не со слезами. Причем это грамотные и умные люди, которые управляют крупнейшей инфраструктурой в стране, но, оказалось, они не могут доступно изложить свои знания. Отчасти это связано с тем, что целеполагание у них направлено на поддержание систем, а не на управление рисками, понимание технических процессов в системе и технических стандартов. Это вопрос повышения технической экспертизы в общем стриме повышения компетенции команды, и это одна из самых главных наших задач

Зачем это нужно? Затем, что мы — крупнейшая цифровая компания и нам очень важно иметь технические компетенции, соответствующие тому бизнесу, которым банк занимается

Мы повышаем грамотность наших специалистов за счет хакерских скиллов. Для этого мы проводим различные тренинги с российскими и международными центрами, пишем технические тексты и хотим писать еще больше. Мы взаимодействуем с вузами по этим направлениям, и у нас есть собственная RedTeam, которая должна изнутри помогать, усиливать нас своим знанием и пониманием современных угроз и вызовов, а с другой стороны, она же должна нас «раскручивать» и «расшатывать».

Работа в Сбербанке

Мы приглашаем на работу ребят, которые имеют опыт исследования технологий. Но стоит сказать, что мы ждем «белых» хакеров, «черные» хакеры нам не нужны. Людям с криминальным прошлым тяжело встать на «светлый путь».

Конечно, мы понимаем и признаем необходимость таких высокотехнологичных хакерских компетенций. Именно по этой причине в прошлом году Сбербанк создал дочернюю компанию BI.Zone («Бизон», Безопасная Информационная Зона). Задача этой компании и ее команды — постоянно тестировать наши сервисы, системы и продукты за периметром банка. Там собраны очень интересные специалисты. Я считаю, что это одна из лучших команд в России. В частности, на прошедшей недавно конференции ZeroNights проводился один из крупнейших CTF под эгидой BI.Zone.

BI.Zone была создана специально для того, чтобы иметь внешнюю компетенцию. Эта команда не должна знать ничего об инфраструктуре Сбербанка. При проведении исследований их задача — смотреть на систему так же, как на нее смотрят хакеры. Они не знают о нас ничего и помогают нам следить за всеми нашими «дочками», ведь сегодня в группе компаний их насчитывается более трехсот. Примерно половина из них имеют IT-составляющие и свои сервисы, за которыми тоже нужно присматривать.

Непосредственно Сбербанк — это огромная компания. Говоря о Сбербанке, мы подразумеваем его мобильное приложение, веб-сайт. Но на самом деле Сбербанк — это множество сервисов, которые распространены по всей России и за которыми тоже нужно следить. У нашей компании одна из крупнейших лабораторий в мире для исследования информационных систем. Она имеет специальную лабораторную базу, построенную на оборудовании различных производителей. Она проводит исследования безопасности различных продуктов, как для нас самих, так и для рынка.

Консультационные услуги по развитию центра ИБ

Выбор подрядчика

В апреле 2016 года IBM была выбрана консультантом Сбербанка по развитию единого операционного центра информационной безопасности (Security Operation Center, SOC).

В рамках проекта американская корпорация проведет обследование и анализ процессов управления и обеспечения, реализованных в существующем SOC Сбербанка, обследование ИТ и ИБ – инфраструктуры внешнего и внутреннего сетевых сегментов банка, проверку и анализ текущего состояния системы управления инцидентами ИБ (SIEM).

Срок оказания услуг составляет 3 месяца с даты заключения договора. В результате IBM должна будет спроектировать целевую модель SOC на основе «лучших мировых практик» и предоставить Сбербанку детальную дорожную карту поэтапного развития SOC.

Консультанта по развитию центра Сбербанк выбирал с декабря 2015 года. Максимальная цена контракта составляла 60,9 млн рублей, IBM согласился выполнить работу за 56,9 млн.

Заявки на участие в конкурсе также подавали Microsoft Россия, Accenture и Deloitte. Самое большое снижение максимальной цены контракта предлагала Microsoft: компания готова была оказать услуги за 16,1 млн рублей. За ней следовала Accenture, предложившая выполнить работы за 51,8 млн.

Все заявки за исключением IBM были признаны не соответствующими требованиям банка к квалификации. В опубликованном протоколе говорится, что компании не в полной мере представили информацию о наличии опыта построения SOC в финансовых организациях, входящих в рейтинг Fortune 500, а также о наличии опыта участия в подобных проектах у своих проектных команд.

Сбербанк получит модель SOC, соответствующего мировым стандартам

Задачи проекта

Сбербанк осуществил централизацию сбора информации об инцидентах ИБ и создал технологическую основу построения единого операционного центра по информационной безопасности, — говорится в конкурсной документации. — Для дальнейшего развития функциональности SOC и повышения его зрелости до уровня мировых стандартов требуется приобретение консультационных услуг по проектированию его целевого состояния.

В Сбербанке пояснили TAdviser, что по состоянию на апрель 2016 года в банке завершен первый этап создания SOC – внедрена централизованная на всю страну система сбора и корреляций событий безопасности (SIEM-система), к которой подключены основные источники событий информационной безопасности, разработаны базовые правила корреляции событий и базовые процессы обработки инцидентов.

Следующий этап состоит в развитии SOC в направлении централизации функций мониторинга и запуска всех процессов управления безопасностью. Также планируется внедрение современных аналитических технологий, переход от реагирования к проактивному прогнозированию угроз и предотвращению инцидентов, рассказал TAdviser представитель Сбербанка.

Целевая модель SOC должна включать набор таких компонент и технологий как:

  • система SIEM и ее целевое состояние;
  • описание источников событий во внешнем и внутреннем сегментах Сбербанка, а также в его дочерних организациях для подключения к SIEM-системе;
  • описание сценариев событий (use cases) для обнаружения инцидентов ИБ и процедуры реагирования на инциденты;
  • использование заявок (ticketing) и механизмов работы с ними;
  • использование инструментов для анализа полуструктурированных и неструктурированных данных, в том числе бизнес-транзакций, с целью выявления наиболее опасных атак, длительных по времени и состоящих в последовательном проникновении через рубежи и заслоны защиты «маленькими шагами», реализации flow-analytics, forensics, context analytics, predictive analytics;
  • оперативный сбор и анализ информации об актуальных угрозах ИБ (threat intelligence), получаемой, в том числе, из внешних источников;
  • процедуры обработки информации подсистемами SOC на поступающую информацию о новых угрозах;
  • управление соответствием требованиям информационной безопасности по политикам, согласованным с Заказчиком (не менее 4-х политик, в том числе, соответствие требованиям PCI DSS);
  • взаимодействие с анти-фрод системами для проведения анализа;
  • оптимальная схема взаимодействия внутренних процессов обработки заявок SOC, построенных на механизме ticketing, и системой Help Desk Заказчика.

В компании Solar Security отметили, что решение банка создать свой SOC полностью обосновано, поскольку Сбербанк – это очень большая ИТ-инфраструктура, одна из самых больших в России.

Мы про этот проект знаем и с интересом наблюдаем за успехами команды, которая отвечает за построение SOC, обмениваемся опытом. Хочется отметить, что это одна из самых профессиональных команд в России, — говорит представитель Solar Security Валентин Крохин.

Активы Сбербанка

  • Сбербанк (основная статья)
  • Финансовые показатели Сбербанка
  • Поглощения и продажа активов Сбербанка
  • Экосистема Сбербанка

Компании в России

  • Северо-Западный Сбербанк
  • Сбербанк Восточно-Сибирское отделение
  • Сбербанк капитал
  • Сбербанк Управление Активами
  • НПФ Сбербанка
  • Сбербанк Лизинг
  • Сбербанк Факторинг
  • Сбербанк страхование
  • Сбербанк Девелопмент
  • Сбербанк-Телеком
  • Сбербанк — АСТ
  • АО ДБ Сбербанк
  • Сбербанк-Сервис
  • Сбербанк-Технологии (СберТех)
  • Сбербанк-Технологии (Белоруссия)

За рубежом

  • Сбербанк за рубежом
  • Сбербанк РФ (Казахстан)
  • Сбербанк РФ (Украина)
  • Сбербанк РФ (Индия)
  • Сбербанк РФ (Германия)
  • Сбербанк РФ (Китай)

Информационные технологии

  • Цифровой бизнес Сбербанка
  • Инновационные лаборатории Сбербанка
  • СберКлауд, СберТех
  • Информационные технологии в Сбербанке
  • Сбербанк (новая технологическая платформа)
  • Искусственный интеллект в Сбербанке
  • Большие данные (Big Data) в Сбербанке
  • Marketplace Сбербанк Бизнес Онлайн
  • ИТ-бюджет Сбербанка
  • ЦОДы Сбербанка
  • Автоматизированные системы Сбербанка
  • Единая корпоративная телефонная сеть Сбербанка
  • Информационная безопасность в Сбербанке
  • Утечки данных в Сбербанке
  • Блокчейн в Сбербанке
  • Школа 21
  • Банкоматы Сбербанка

RedTeam

В этом году мы впервые создали в России RedTeam. Эта команда ломает нашу же службу безопасности, по согласованным методам и сценариям. Есть очень интересные результаты.

Команда RedTeam — это подразделение, которое работает по собственному плану, тестирует безопасность IT-систем, проверяет качество работы нашей собственной службы кибербезопасности. Существует план работы этой команды. Он согласован с нашим курирующим зампредом, Станиславом Кузнецовым. Задача RedTeam — найти уязвимости, реализовать их, не нарушив непрерывность работы банка, показать их. Если служба кибербезопасности отработала, обнаружила уязвимость или «атаку» — все молодцы. Если нет, нужно разобраться, почему так произошло.

В прошлом году мы провели обучение всего коллектива в Москве и частично в регионах. Мы привлекли к этому несколько центров: Pentestit, лабораторию безопасности МГУ, IBM’овский киберцентр в Дублине. Также мы ведем переговоры с несколькими исследовательскими компаниями. Задача — научить наших инженеров, как стать хакерами. Чтобы они думали, как хакеры, и понимали, как действуют злоумышленники.

Если говорить о процессах, то раньше у нас был один процесс, а сейчас двадцать семь процессов в рамках операционной деятельности. В качестве основы мы выбрали операционную модель Security Operation Center, разработанную компанией IBM. Перед этим мы изучили все существующие в мире модели, глубоко погрузились в решения Hewlett-Packard, Dell, Microsoft, Cisco и в итоге выбрали модель IBM, как наиболее зрелую и способную к жизни.

Работа RedTeam очень важна, потому что в прошлом году мы запустили крупнейший в Европе проект по строительству Security Operation Center. Для нас SOC — это не экраны и не консоли управления. Для нас это прежде всего процессы и правила действия наших сотрудников. Для нас это огромная трансформация сознания. Если раньше задача дежурной службы заключалась в том, чтобы подсчитать и доложить, сколько операций на средствах защиты, связанных с внесением изменений, они провели за сутки, то относительно недавно мы начали действительно управлять рисками безопасности в нашей инфраструктуре, и RedTeam помогает отлаживать наши же процессы.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Центр Начало
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: