Регистрация компьютерных инцидентов и атак
Регистрация инцидента/подозрения на инцидент путём создания заявки на его обработку (карточки инцидента).

Прием обращений о возможных инцидентах
Приём обращений о возможных компьютерных инцидентах с использованием средств взаимодействия с персоналом и пользователями информационных систем (приём по электронной почте, либо по телефону).

Взаимодействие с группой реагирования Заказчика
Предоставление первичных рекомендаций Заказчику по нейтрализации и ликвидации последствий инцидентов.

Ликвидация последствий компьютерных инцидентов
Координация действий по ликвидации последствий компьютерных инцидентов.

Подготовка отчетов о причинах выявленных инцидентов
Предоставление ежемесячных отчетов, включая информацию по статистике собранных событий, типах зарегистрированных инцидентов (подозрений на инциденты) ИБ, статусу выявленных инцидентов ИБ и мерах обработки (реагирования). Формирование предложений по повышению уровня защищенности информационных ресурсов.

Установление причин компьютерных инцидентов
Анализ дампов жестких дисков, анализ дампов оперативной памяти, анализ дампов трафика, анализ поведения подозрительного ВПО, установление логики его работы.

Узнать подробнее

Данный вариант предусматривает бесплатное подключение к Центру мониторинга Инфолайн и доступ к аналитической системе автоматического выявления инцидентов на основе анализа событий информационной безопасности. Заказчик самостоятельно осуществляет мониторинг и реагирование на инциденты.

Аналитическая система автоматического выявления инцидентов на основе анализа событий информационной безопасности Центра мониторинга Инфолайн выполняет следующие функции:

• Производит сбор событий из источников обнаружения вторжений;
• Анализирует поступающие события и автоматически выявляет инциденты информационной безопасности;
• Оповещает об инцидентах через веб-интерфейс и по электронной почте;
• Дополняет информацию об инцидентах и событиях сведениями с дополнительных источников;
• Предоставляет графический интерфейс для мониторинга угроз информационной безопасности в режиме реального времени;
• Предоставляет графический интерфейс для анализа при расследовании инцидентов;
• Предоставляет инструменты для самостоятельного анализа событий и выявления инцидентов;
• Позволяет создавать отчеты о событиях и выявленных инцидентах.

Преимущества использования аналитической системы автоматического выявления инцидентов на основе анализа событий информационной безопасности Центра мониторинга Инфолайн:

• в разы сокращается время обнаружения инцидента;
• снижение затрат на эксплуатацию и обслуживания средств обнаружения вторжений;
• автоматическое формирование рекомендаций по устранению инцидентов;
• возможность оперативного проведения удаленного расследования инцидентов аналитиками Центра мониторинга Инфолайн;
• возможность получать дополнительные услуги и сервисы от Центра мониторинга Инфолайн.

Узнать подробнее

Выявление существующих уязвимостей в сервисах компании путем инструментального анализа.

Обработка всего реестра выявленных уязвимостей, его приоритезация, исходя из инфраструктурных особенностей клиента, критичности конкретной системы, используемых средств защиты, политик безопасности и компенсирующих мер, снижающих общую критичность уязвимости.

Административно-технический контроль и формирование конечных рекомендаций для ИТ-специалистов по устранению наиболее критичных и актуальных уязвимостей.

Контроль устранения уязвимостей, включая разработку компенсирующих мер совместно с ИТ.

Узнать подробнее

Каждый год пополняется перечень уязвимостей в различных ИТ. Вместе с ним растёт и количество методов атак на информационные системы.

Анализ защищенности – это возможность оценить, как защищена информация в организации. Эксперты Центра мониторинга Инфолайн, опираясь на лучшие практики, выполнят проверку состояния безопасности ИТ-инфраструктуры, выявят слабые места и несоответствия, предложат рекомендации по их устранению.

Анализ защищенности – это возможность:

• Оценить защищенность ИТ-инфраструктуры
• Локализовать имеющиеся проблемы
• Получить экспертные рекомендации по их устранению.

Состав услуги:

• Проверка инфраструктуры

Обследование состояния ИТ-инфраструктуры

• Проверка систем безопасности

Анализ уровня защищенности: конфиденциальность финансовых и других критических данных, политики доступа к ним, процессов по обеспечению ИБ, работа со средствами защиты информации, работа с уязвимостями и инцидентами, безопасность сетевой инфраструктуры, информированность сотрудников о внутренних правилах безопасности

• Поиск лучшего решения

Предложение решений различного уровня для повышения уровня ИБ

• Разработка рекомендаций

Составление плана по устранению обнаруженных уязвимостей ИТ-инфраструктуры и несоответствий стандартам ИБ

• Отчет

Отчет о проведенном аудите информационной безопасности с описанием найденных уязвимостей и несоответствий

Все инструментальные тесты заранее согласуются с Заказчиком, планируются так, чтобы не нарушить работу исследуемых систем и не вызвать отказ в обслуживании, и проводятся под контролем ИТ и ИБ-служб. Мы можем провести проверки в нерабочее время.

Результаты анализа защищенности

Отчёт по результатам анализа защищенности содержит:

• описание характеристик и компонентов информационной системы, которые влияют на уровень защищённости;
• результаты инструментальных тестов;
• выводы и рекомендации по повышению уровня защищённости.

Благодаря этой информации Заказчик сможет доработать требования к СЗИ и оценить эффективность принятых мер по защите информации.

Узнать подробнее

Центр мониторинга Инфолайн осуществляет техническую поддержку и сопровождение как систем обнаружения вторжений (сетевых и хостовых сенсоров), так и других средств защиты информации.

Техническая поддержка и сопровождение средств защиты информации:

• Системы обнаружения вторжений (сетевые и хостовые сенсоры)
• Антивирусные средства
• Средства защиты от несанкционированного доступа (СЗИ от НСД)
• Межсетевые экраны
• Средства аутентификации
• Программные и аппаратные модули доверенной загрузки
• Сканеры уязвимостей

Узнать подробнее

Если заказчик не обладает необходимым бюджетом, но хочет приобрести системы обнаружения вторжений (сетевые и хостовые сенсоры) и подключиться к Центру мониторинга Инфолайн, мы предлагаем схему аренды.

Какие сенсоры предоставляются в аренду: Сетевые и Хостовые

В рамках арендной схемы Заказчику предоставляется Сертификат доступа к аналитической системе выявления инцидентов Центра мониторинга Инфолайн

Состав сертификата:

• Предоставление сенсоров обнаружения вторжений на время действия сертификата;
• Доступ к аналитической системе выявления инцидентов;
• Техническая поддержка сенсоров обнаружения вторжений, включая предоставление обновлений по запросу;
• Обновление баз решающих правил сенсоров обнаружения вторжений.

Минимальный срок действия сертификата: 12 месяцев

Узнать подробнее

Инцидент — негативное событие с финансовыми, правовыми и репутационными последствиями для жертвы компьютерной атаки. Если организация хочет быть готовой противостоять злоумышленникам, она должна реагировать на каждый такой случай. И мы можем в этом помочь.

Наша работа по расследованию инцидентов состоит из 5 этапов.

Выявление инцидента информационной безопасности

Инцидент информационной безопасности может обнаружить дежурная смена Центра мониторинга. Или к нам может обратиться непосредственно владелец ресурса, если в его информационной системе есть подозрительная активность, при которой внедрённые ранее средства защиты информации «молчат». При этом у объекта атаки может быть недостаточно ресурсов или опыта для расследования инцидента.

Мы также можем определить, подвергалась ли организация атакам в прошлом и был ли какой-либо ущерб, проанализировав имеющиеся записи журналов различных систем.

Сдерживание

Главная задача после обнаружения инцидента — не допустить компрометации данных и снизить влияние на бизнес-процессы. Для этого заказчик локализует атакованный узел и блокирует вредоносную активность.

Сбор доказательств

На этом этапе мы находим и документируем любые сведения, связанные с инцидентом, чтобы ответить на следующие вопросы:

• Что произошло?
• Когда произошло?
• Объект атаки?
• Откуда «пришла» атака?
• Каковы цели и мотивация атакующего?
• Кто был вовлечён в проведение атаки со стороны жертвы?
• Какие методы, уязвимости и инструменты использовал атакующий?

Ликвидация последствий

После того, как мы соберём информацию об инциденте, заказчик расследования может запускать процессы восстановления после инцидентов ИБ. Если таких процессов нет, мы поможем восстановить работоспособность затронутых атакой информационных систем и ресурсов.

Недопущение повторения

После анализа результатов расследования компьютерного инцидента мы даём рекомендации по изменению настройки и состава средств защиты информации, которые могут предотвратить повторение инцидента в будущем или закрывают наиболее критичный вектор атак.

Результаты

• Заключение по результатам расследования инцидента.
• Документированная информация об инциденте и собранные доказательства.
• Результаты анализа причин, развития и последствий инцидента, предположения о виновных лицах.
• Рекомендации по недопущению подобных инцидентов в будущем.

Узнать подробнее

Пентест — или тест на проникновение — показывает, насколько легко злоумышленнику проникнуть в корпоративную информационную систему. В ходе тестирования на проникновение моделируются действия злоумышленника и даётся оценка, сколько ресурсов и времени потребуется для успешной кибератаки на Заказчика. Мы выявляем вероятные направления атак и даём рекомендации, как устранить слабые места в защите и повысить уровень ИБ.

Чем полезны пентесты

Тест на проникновение показывает, как будет действовать потенциальный злоумышленник во время кибератаки на организацию. Знание векторов атак даёт возможность подготовиться к ним и снизить негативные последствия.

Пентестер находит и эксплуатирует уязвимости в сетевом оборудовании, средствах защиты информации, серверном, системном, прикладном ПО, узнаёт, насколько актуальны знания сотрудников атакуемой организации в области ИБ. Центр мониторинга Инфолайн даёт заказчикам подробные рекомендации, как можно устранить обнаруженные уязвимости или принять компенсационные меры, и, если необходимо, помогает это сделать.

Регулярные периодические пентесты помогают оценить уровень защищённости информационной системы в динамике (меняются настройки средств защиты, приходят и уходят люди, появляются новые атаки) и ответить на вопрос — «Наша защита стала лучше после того, как мы поставили эту „железку“ за кучу денег?!». Пентестеры «Инфолайн» выясняют, насколько группа реагирования на инциденты готова противостоять действиям злоумышленника.

Приказы ФСТЭК России № 17, № 21 и № 31 требуют анализировать защищённость информационных систем. Приказ № 21 содержит требование к периодичности — не реже одного раза в 3 года.

Виды тестов на проникновение

3 вида пентестов:

1. Тест на проникновение, основанный на технических методах. В рамках него мы находим и эксплуатируем уязвимости оборудования и ПО. Мы используем инструменты автоматического и ручного тестирования, которые детектирует IPS/IDS заказчика. Поэтому этот вид пентеста проводится на заранее определённые системы в согласованное со службой ИБ время.
2. Тест на проникновение, основанный на методах социальной инженерии. Мы проверяем уровень осведомлённости сотрудников заказчика в вопросах информационной безопасности. Любопытство, жадность и желание развлечься — лучшие инструменты злоумышленников, которыми они успешно пользуются.
3. Социотехнический пентест. Он совмещает преимущества первых двух и помогает выявить наибольшее число вероятных направлений атак и уязвимостей.

Тесты отличаются по степени информированности пентестера о средствах защиты, сетевой инфраструктуре, аппаратном и программном обеспечении заказчика:

• внешний без учётных данных,
• внешний с учётными данными клиента,
• внутренний без учётных данных,
• внутренний с учётными данными клиента,
• внутренний с учётными данными администратора.

Объекты исследований

• Сайты и веб-приложения.
• СУБД.
• Сетевые службы и сервисы (электронная почта, прокси, VoIP, FTP и пр.).
• Протоколы различных уровней сетевой модели OSI.
• Сетевое оборудование.
• Беспроводные технологии.
• Средства защиты информации.
• Серверные и пользовательские операционные системы.
• Прикладное ПО.

Сроки

Сбор информации — от 1 до 5 дней.

Подготовка к пентесту — до 5 дней.

Атака — 1–2 дня.

Подготовка отчёта — до 5 дней.

«Разбор полётов» с заказчиком — до 10 дней.

Обучение сотрудников заказчика — от 1 до 10 дней.

Результат

Отчёт о тестировании на проникновение содержит:

• перечень проведённых тестов;
• перечень выявленных уязвимостей с оценкой по методике Common Vulnerability Scoring System (CVSS);
• описание способов эксплуатации уязвимостей для проведения атак;
• описание применённых техник социнженерии с результатами проверки;
• протокол действий службы реагирования;
• рекомендации по устранению уязвимостей.

При необходимости мы разработаем программу повышения осведомлённости сотрудников в вопросах ИБ.

Узнать подробнее

Центр ГосСОПКА Инфолайн проводит комплекс работ, который обеспечивает взаимодействие субъекта КИИ с НКЦКИ (ГосСОПКА).

ДЛЯ ПОДКЛЮЧЕНИЯ НЕОБХОДИМО

1. Подписание Соглашения о неразглашении (NDA)
2. Заполнение анкеты для подключения к ГосСОПКА
3. Оценка работ и заключение договора, передача акта категорирования КИИ
4. Проведение технического подключения объектов КИИ Заказчика к центру ГосСОПКА Инфолайн
5. Письменное уведомление НКЦКИ о включении объекта КИИ в зону ответственности центра ГосСОПКА Инфолайн
6. Старт передачи информации в НКЦКИ (ГосСОПКА)

Ответственность

Центр ГосСОПКА Инфолайн несёт ответственность перед Заказчиком в соответствии с заключёнными соглашениями и нормативно-правовыми актами РФ.

Узнать подробнее

Компания «Инфолайн» оказывает услуги по проектированию и вводу в эксплуатацию центров мониторинга информационной безопасности (Security Operation Center, SOC) для государственных и коммерческих организаций и центров ГосСОПКА.

SOC представляет собой комплекс персонала, технических средств и процессов. Предназначен для централизованного сбора и анализа информации о событиях и инцидентах информационной безопасности, поступающих из различных источников ИТ-инфраструктуры организации и своевременного реагирования на них.

Предпосылкой для реализации центров информационной безопасности в государственных и коммерческих организациях является потребность в противодействии современным киберугрозам для повышения показателей непрерывности бизнес-процессов, выполнении требований законодательства, доступности внешних и внутренних сервисов, и снижения потенциальных репутационных рисков, связанных с успешной реализацией кибератак на информационные системы.

SOC представляет собой подразделение, в котором сотрудники-процессы-технологии объединены для своевременного реагирования и выявления существующих и потенциальных угроз.

В рамках построения корпоративного или ведомственного Центра мониторинга или Центра ГосСОПКА компания «Инфолайн» предлагает следующие услуги:

Этап №1: Обследование

Предпроектное исследование информационных систем заказчика, инвентаризация информационных ресурсов и систем, состояние которых должен отслеживать Центр мониторинга.

Этап №2: Проектирование

Проектирование корпоративного или ведомственного Центра мониторинга или Центра ГосСОПКА.   Определение перечня технических средств мониторинга, их спецификации и схемы размещения и подключения. Отладка процессов управления: кто за что отвечает, что делать, если выявлена атака или другой инцидент ИБ, и как правильно организовать взаимодействие с ГосСОПКА.

Этап №3: Установка оборудования и ПО

Установка и настройка оборудования и программного обеспечения на площадке Заказчика. Обучение сотрудников Заказчика дальнейшей эксплуатации для бесперебойного функционирования Центра мониторинга.

Этап №4: Ввод в действие

Определение и назначение функциональных подразделений и должностных лиц, которые отвечают за проведение приёмо-сдаточных испытаний. Разработка программы и методики испытаний, проведение испытаний, ввод Центра мониторинга в эксплуатацию. Центр мониторинга работает. Дежурная смена ЦМ выявляет и предотвращает инциденты. Налажено информационное взаимодействие.

Этап №5: Экспертная поддержка

Экспертная поддержка центра мониторинга. Специалисты «Инфолайн» при необходимости обрабатывают инциденты и устанавливают их причины, оценивают уровень защищённости информационных ресурсов, проводят учения групп реагирования, инструктаж и тестирование персонала.

Стоимость создания Центра мониторинга (SOC)

Напишите нам, а мы посчитаем стоимость.

Узнать подробнее