JSOC: Как устроен центр мониторинга и реагирования на инциденты ИБ (часть 1)

JSOC: Как устроен центр мониторинга и реагирования на инциденты ИБ (часть 1)
Как вы уже знаете, я перешел работать в компанию Solar Security , которая помимо разработки решений по ИБ, занимается еще и предоставлением технических сервисов по информационной безопасности (аутсорсинг, MSSP-провайдер). Для этой цели построен распределенный центр мониторинга и реагирования JSOC

В Москве на 2х площадках (основной и резервной) расположено все серверное оборудование, по сути, средства мониторинга и защиты информации. Ядром является SIEM HP ArcSight, а еще развернуты решения компаний Qualys, Imperva, Positive Technologies, F5 Networks, Group IB и других производителей. Но самое интересное происходит в Нижнем Новгороде. Там расположена площадка, на которой в режиме 24*7 (да, круглые сутки, без выходных и перерывов) работают специалисты по мониторингу событий и инцидентов, а также администрированию средств защиты информации. Именно про то, как устроена их работа и будет этот и еще несколько постов.

1. Почему Нижний Новгород?
Для обеспечения непрерывной работы (24*7) требуется довольно много человек (об этом будет далее), да и, вообще, других ресурсов (площадка, электричество, каналы связи и пр.). Поэтому когда только создавался JSOC (а это было в 2012 году) было принято решения разместить одну из площадок не в Москве. Рассматривались разные регионы и город выбирался на основании следующих критериев: наличие профильных ИТ ВУЗов (нужны будут квалифицированные кадры), величина ФОТ (фонд оплаты труда, средние зарплаты по региону), наличие крупных ИТ-компаний и сетей связи (с информатизацией в регионе должно было быть все хорошо) и наличие офиса копании Инфосистемы Джет (до отделения Solar Security в начале 2015 года JSOC был частью компании Инфосистемы Джет).  И вроде как по всем параметрам должен был победить Новосибирск... Но потом решили, что до него слишком далеко и создали площадку именно в Нижнем Новгороде. 
Да, добираться удобно. Самолет летит 40-60 минут, скорый поезд едет менее 4х чассов.

2. Офис в Нижнем Новгороде
Офис в Нижнем Новгороде располагается по адресу ул.Деловая 1с. Это вот здесь, рядом с Министерством социальной политики нижегородской области:
Звездочками на гуглокарте, кстати, отмечены гостиница, где я жил, и очень неплохой бар ( Union Jack Grand Music Pub ). :)))

Само здание, в котором расположился центр мониторинга, выглядит очень эпично, чем-то похоже на средневековый замок

Общее впечатление немного портит забор, окружающий территорию, исписанный матерными надписями и рекламой курительных смесей. Мы хотели нарисовать на нем крутое граффити чтобы скрыть это безобразие, но нам не разрешили владельцы. Жаль :(((

JSOC занимает 2 комнаты на 3м этаже здания. Первая - комната отдыха с диванами, холодильником, кулером, флипчартом, стойкой с книгами, несколькими оперативным мониторами и проектором. Вторая комната рабочая, в ней сидят группы мониторинга и администрирования. Всего сейчас 10 рабочих мест, у каждого специалиста по 2 больших монитора. В штате нижегородского JSOC 16 человек: 1 руководитель, 7 специалистов по мониторингу и 8 по администрированию. 

На этом я сегодня остановлюсь. Буквально через несколько часов мы выезжаем в Нижний Новгород большой командой (30 человек). Едем с коллегами безопасниками из других крупных SOCов России и регуляторами смотреть наш центр мониторинга и обмениваться практическим опытом. 

В следующих постах я напишу про оборудование нижегородского центра, распорядок дня дежурных смен, принятые процедуры, меры безопасности и непрерывности деятельности.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

Andrey Prozorov

Информационная безопасность в России и мире