Расширение инсталляции по IBM QRadar у ведущего банка РФ

Одному из крупнейших российских банков, основной деятельностью которого является выдача кредитов потребителям, понадобилась подсистема мониторинга событий информационной безопасности (ИБ). Интеграция подобной системы была необходима для корректной и быстрой работы организации.

О запросе клиента

Клиенту требовался сервер и инструмент от IBM. Cloud Networks – официальный партнер-интегратор компании IBM, лидера мирового рынка по разработке компьютерного оборудования. Клиент обратился к специалистам нашей компании за конкретным сервером, ранее использовавшемся в банке, а также за SIEM-системой от IBM.

О продуктах

IBM Qradar xx29 Hardware Appliance – сервер, участвующий в развертывании для различных типов устройств. Сборщик событий обрабатывает потоки внутреннего хранилища для событий QRadar.

Серверы IBM представляют собой надежное оборудование, способное справиться с большими нагрузками в реальном масштабе времени системы. Серверы IBM – это отличная основа для IT-инфраструктуры любого предприятия. Оборудование IBM обладает высокой гибкостью и способно удовлетворить самые взыскательные запросы пользователей. Серверы поддерживают непрерывность бизнес-процессов и максимально соответствуют требованиям рынка. Использование в решениях IBM инновационных технологий обеспечивает снижение эксплуатационных расходов. Все оборудование подвергается тщательному тестированию и проходит обязательную процедуру контроля качества. Это обеспечивает высокую надежность оборудования и стабильность работы.

IBM QRadar Security Intelligence Platform – SIEM-система, в реальном времени выполняющая сбор, нормализацию, категоризацию, хранение, анализ и корреляцию различной информации, влияющей на ИБ и риски организации. IBM Security QRadar собирает и анализирует:

• данные о топологии сети,
• информацию о конфигурации сетевой инфраструктуры,
• информацию о пользователях,
• информацию о сетевых активах,
• информацию об уязвимостях,
• сетевые потоки транспортного и прикладного уровней,
• события информационной безопасности и прочее.

Осуществленные работы

Внедрение таких систем позволит ускорить процессы компании, повысить скорость работы и обеспечит своевременное реагирование на киберинциденты. Помимо обеспечения устойчивости системы ИТ-безопасности банка, организация будет иметь план для эффективного реагирования в случае кибер-события. Привлеченная группа экспертов сможет:

• быстро исправить уязвимости,
• восстановить ИТ-системы и бизнес-операции,
• предотвратить последующие риски.

В рамках проекта команда Cloud Networks расширила инсталляцию для IBM Security QRadar. Целью внедрения Системы является создание отказоустойчивости, повышение производительности и общего уровня защищенности клиентской сети путем реализации и доработки компонентов. Внедренная Система обеспечивает:

1. Выявление и оповещение о подозрительной активности учетных данных пользователей в сети заказчика.
2. Выявление и оповещение о потенциальных инцидентах ИБ, связанных с использованием электронной почты.
3. Формирование базы текущих активов и сетевой топологии с целью точной удалить категоризации потенциальных инцидентов ИБ, а также снижению числа ложноположительных срабатываний.
4. Сбор и анализ событий от источников журналов на базе ОС Windows.
5. Мониторинг и анализ текущего состояния Системы, уведомления об этом инцидентах недоступности или деградации производительности компонент.

Система была улучшена командой Cloud Networks с точки зрения реализации отказоустойчивости, путем добавления нового сервера в инсталляцию. Установленный сервер используется отделом информационной безопасности и помогает специалистам справляться с целями, описанными выше.

Аналитических работ по выявлению киберинцидентов произведено не было. Реализация проекта прошла без осложнений, эксперты Cloud Networks выполнили все гайды производителя. Ошибки выявлены не были.

Итоги проделанных работ

Использование серверов IBM позволяет сделать бизнес более управляемым, защищенным, оперативным и экономичным. Серверы IBM способствуют быстрому возврату инвестиций, благодаря функциональности, высокой производительности, надежности и качеству обслуживания Систем и приложений.

В результате внедрения Системы были решены следующие задачи:

• Развернуты и настроены компоненты Системы, реализующие конфигурацию высокой доступности.
• Развернуты и настроены компоненты Системы, обеспечивающие развертывания функциональных дополнений для Системы.
• Развернуты и настроены компоненты, отвечающие за расширенный анализ состояния компонент Системы.
• Встроенная в Систему база данных активов заполнена актуальными данными о сети Заказчика.
• Заполнен встроенный в Систему раздел, содержащий данные о сетевой топологии.
• Проведена инвентаризация, тюнинг и разработка дополнительных правил корреляции для выявления потенциальных инцидентов ИБ.
• Подключены новые источники событий (более 5 источников).