«Ингосстрах» создает центр мониторинга информационной безопасности

Группа компаний Angara и СПАО «Ингосстрах» завершили основной этап работ по созданию ядра центра мониторинга и реагирования на инциденты информационной безопасности (Security Operations Center, SOC). На время его строительства СПАО «Ингосстрах» использует MSSP услуги по оперативному мониторингу и управлению инцидентами Центра киберустойчивости AngaraCyber Resilience Center (SOC ACRC). Ядром SOC стала собственная разработка Angara Professional Assistance — система мониторинга событий информационной безопасности «АЦРЦ Платформ».

«Защита информационных активов — одна из ключевых задач СПАО «Ингосстрах». SOC облегчит выполнение общего стратегического плана по управлению угрозами информационной безопасности (ИБ), включая сбор, выявление, приоритезацию при рассмотрении ИБ-угроз, взаимодействие подразделений организации при реагировании на инциденты ИБ и формирование отчетности для руководства», — прокомментировал начальник отдела мониторинга и реагирования СПАО «Ингосстрах» Андрей Поломошнов.

«Ингосстрах» предъявляет высокие требования к доступности системы мониторинга, непрерывности сбора событий, соблюдению временных ограничений выявления и реагирования. Для удовлетворения требований и обеспечения финансовых гарантий их соблюдения, экспертами компании Angara Professional Assistance совместно с сотрудниками Ингосстрах проработан вопрос отказоустойчивости кластерной архитектуры для платформы «АЦРЦ Платформ» и система штрафов при невыполнении SLA. Разработанная архитектура позволит обрабатывать прогнозируемый поток более 30 000 EPS с возможностью бесшовного увеличения. Сейчас обрабатывается поток событий, для хранения которого требуется около 25 Тб в месяц», — прокомментировала генеральный директор Angara Professional Assistance Оксана Васильева.

С целью снижения совокупной стоимости владения без снижения функциональности данные были разделены на оперативные и архивные, обеспечен скоростной доступ к данным. Также группа компаний Angara производит доработку «АЦРЦ Платформ» по запросам СПАО «Ингосстрах». В результате продуктивного взаимодействия двух компаний внедрен в эксплуатацию новый тип правил корреляции, позволяющий выявлять цепочки событий и значительно уменьшающий количество ложноположительных срабатываний.

«Опираясь на наш собственной опыт, мы помогли обучить команду операторов SOC. Эксперты Angara Professional Assistance разработали план профессионального роста для сотрудников СПАО «Ингосстрах», чтобы они смогли самостоятельно выявлять и нейтрализовывать угрозы ИБ в режиме 24х7х365, а также эффективно управлять средствами центра мониторинга», — сообщила Оксана Васильева.

«Перед нами еще стоит целый ряд задач: подключение дополнительных нестандартных типов источников событий, улучшение модели ядра центра мониторинга, создание процессов threat hunting, подключение к государственным центрам мониторинга и автоматизация обмена данными с ними, обеспечение регулярных проверок аналитиков SOC с привлечением экспертов Red Team, дальнейшее масштабирование охвата мониторинга с постепенным снижением участия группы компаний Angara в процессе выявления и реагирования на инциденты. Но уже сейчас можно сказать, что за год проделана огромная работа и ее результаты полностью соответствуют предъявленным требованиям. Мы можем отметить высокий уровень профессионализма всей команды SOC ACRC, их слаженную работу и гибкость при работе с нестандартными задачами», — добавил Андрей Поломошнов.