Технологическая платформа для центров ГосСОПКА
Компания Positive Technologies выпустила решение PT Platform 187, предназначенное для быстрого создания корпоративных и ведомственных центров ГосСОПКА. Оно включает набор технических средств, необходимых для взаимодействия с Национальным координационным центром компьютерных инцидентов (НКЦКИ) и построения эффективной системы безопасности объектов КИИ в рамках № 187-ФЗ.
Решение PT Platform 187 предназначено для организаций с ИТ-инфраструктурой, не превышающей 250 сетевых узлов. Его также можно устанавливать как часть сегмента ГосСОПКА в территориальных подразделениях крупных организаций с распределенной инфраструктурой. Решение позволит:
• получать данные о событиях ИБ из различных источников, автоматически их анализировать и выявлять инциденты;
• обнаруживать уязвимости и контролировать их устранение;
• проводить ретроспективный анализ при расследовании инцидентов;
• инвентаризировать информационные ресурсы и поддерживать сведения об инфраструктуре в актуальном состоянии;
• контролировать процессы реагирования на инциденты, ликвидации их последствий и взаимодействовать с НКЦКИ.
PT Platform 187 объединяет пять продуктов, разработанных в Positive Technologies: это система контроля защищенности MaxPatrol 8, система мониторинга событий и выявления инцидентов ИБ MaxPatrol SIEM, система комплексного анализа сетевого трафика PT Network Attack Discovery, система выявления вредоносного контента PT MultiScanner и «ПТ Ведомственный центр» – система управления инцидентами и взаимодействия с НКЦКИ. Продукты могут использоваться для выполнения методических рекомендаций ФСБ по построению центров ГосСОПКА, требований ФСТЭК России к системам безопасности значимых объектов КИИ и к обеспечению их безопасности, а также требований проекта приказа ФСБ России к техническим средствам ГосСОПКА.
Все продукты интегрированы между собой, благодаря чему обеспечивается совместимость компонентов. Ядро платформы – MaxPatrol SIEM. Он формирует модель защищаемой ИТ-инфраструктуры, что позволяет лучше оценить ее уязвимые места и вероятность успешной реализации атак и упрощает расследование инцидентов. Модель инфраструктуры обогащается сведениями о конфигурации, уязвимостях, программном и аппаратном обеспечении информационных ресурсов из MaxPatrol 8 и PT Network Attack Discovery.
MaxPatrol SIEM собирает события безопасности из различных источников, в том числе из PT Network Attack Discovery и PT MultiScanner, и по определенным признакам выявляет инциденты. Для выявления вредоносного контента PT Network Attack Discovery передает файлы из сетевого трафика в PT MultiScanner. При обнаружении зараженного файла сообщение об инциденте уходит из PT MultiScanner в MaxPatrol SIEM, где срабатывает уведомление. Информация об инцидентах автоматически передается в «ПТ Ведомственный центр» для регистрации, реагирования и последующей отправки в НКЦКИ.
Предусмотрена единая система аутентификации (SSO), что упрощает работу ИБ-специалиста. Пользователь проходит авторизацию в системе идентификации и управления доступом и автоматически получает доступ ко всем продуктам.
Все продукты платформы разворачиваются с помощью единого инсталлятора. Это позволяет оперативно внедрить PT Platform 187 с минимальными трудозатратами и быстро начать взаимодействие с ГосСОПКА. Внедрение, по оценкам Positive Technologies, займет от месяца до полугода в зависимости от инфраструктуры и зрелости ИБ-процессов в организации.
Решение отличается простотой использования и понятными интерфейсами. Для эффективной работы в штате компании достаточно иметь аналитика и специалиста по администрированию и обслуживанию системы.