Новые сервисы МТС SOC для защиты от кибератак
Компания МТС RED анонсировала новые сервисы и технологии центра мониторинга и реагирования на кибератаки – МТС SOC. Ключевое обновление – появление личного кабинета, который делает процессы защиты более прозрачными, а реагирование на инциденты – более оперативным. Кроме того, МТС SOC переводит технологическую основу на SIEM-систему Kaspersky Unified Monitoring and Analysis Platform. Решение «Лаборатории Касперского» позволяет централизованно собирать, анализировать и проводить корреляцию событий кибербезопасности из различных источников данных для выявления и предотвращения инцидентов и сложных хакерских атак.
Как комментируют в МТС SOC, заказчикам важно, чтобы сервисы кибербезопасности не были «черным ящиком». Именно это дает личный кабинет – полную прозрачность работы SOC и возможность оценивать его эффективность на реальных данных.
Личный кабинет МТС SOC обеспечивает прозрачность сервисов центра мониторинга на всех уровнях – от общего контроля эффективности до подключения источников событий и разбора инцидентов. Заказчикам доступны в нем ситуационные дашборды и ежемесячные аналитические отчеты, которые предоставляются в формате, наглядном как для сотрудников службы ИБ, так и для топ-менеджмента компании. Отчеты содержат ряд аналитических срезов в части событий ИБ: общее количество, динамика, распределение по уровням критичности и статусам, время, затраченное на их отработку, и др. Кроме того, отчеты отражают частоту срабатывания различных правил корреляции и распределение инцидентов по типам, что дает представление о ландшафте киберугроз, релевантном для конкретного заказчика, позволяет выявить слабые места инфраструктуры и оптимизировать настройки систем защиты.
В личном кабинете постоянно отображается уровень соблюдения центром мониторинга SLA (Service License Agreement) и используемый компанией объем показатель EPS (Events Per Second), который непосредственно влияет на стоимость сервисов. Заказчик также может видеть, как сработавшие правила корреляции накладываются на техники и тактики злоумышленников по матрице MITRE ATT&CK и классификации НКЦКИ. За счет этого заказчик может определить актуальные для его компании векторы атак и при необходимости подключить дополнительные источники событий и правила корреляции.
Интерфейс личного кабинета доступен как пользователю, так и дежурной смене МТС SOC. Благодаря этому сотрудник службы ИБ может в режиме реального времени видеть, как аналитики центра мониторинга обрабатывают инцидент, и давать свои комментарии во встроенном чате. Заказчик может самостоятельно отфильтровать список событий по необходимым параметрам: времени, статусу, типу инцидента и другим.
Интерфейс личного кабинета унифицирован и не зависит от используемой SIEM-системы. Даже при переходе на другую платформу (например, при смене западного решения на отечественное) процесс будет бесшовным и незаметным для заказчика. В личном кабинете по-прежнему будет доступна вся аналитика по сервисам мониторинга и реагирования на кибератаки, обогащенные контекстом карточки инцидентов и отчеты в едином привычном формате.
Чтобы предоставлять заказчикам более эффективный и гибкий сервис, в МТС RED в качестве SIEM-решения было выбрано решение российского разработчика Kaspersky Unified Monitoring and Analysis Platform (KUMA). Оно имеет высокую производительность и легко масштабируется. Решение «из коробки» поддерживает широкий перечень коннекторов к типовым источникам событий. KUMA может быть интегрировано как со средствами кибербезопасности «Лаборатории Касперского», так и с решениями сторонних поставщиков – за счет гибкого API.