Газинформсервис GSOC: ML/UEBA в коммерческом SOC на платформе Ankey ASAP

В мае 2024 года Газинформсервис открыл коммерческий SOC (GSOC) для внешних клиентов, в основе которого — собственная платформа Ankey ASAP с ML/UEBA-движком. Система собирает события безопасности из инфраструктуры клиентов, строит поведенческие базлайны для пользователей и сущностей, выявляет аномалии (нетипичные входы, нестандартные паттерны доступа к данным, подозрительное сетевое поведение) и генерирует приоритизированные алерты для аналитиков SOC. В структуре GSOC создано три специализированных лаборатории Аналитического центра компетенций (АЦК): стратегического развития, работы ИИ и исследований ИБ.

Клиенты из промышленности, нефтегаза и госсектора сталкивались с угрозами внутренних нарушителей (insider threat) и целенаправленными атаками, которые сложно обнаружить классическими SIEM-правилами. При этом зарубежные UEBA-решения (Splunk UBA, Exabeam) стали недоступны, а требования к мониторингу КИИ ужесточились.

• Обнаружение аномального поведения пользователей и внутренних угроз (insider threat)

• Повышение эффективности выявления сложных многоэтапных атак (APT)

• Снижение времени реагирования на инциденты

• Предоставление клиентам сервиса мониторинга ИБ на базе отечественного UEBA

• Финансы

• Предотвращение инцидентов insider threat и APT-атак, финансовый ущерб от которых на порядок превышает стоимость сервиса SOC Время

• Автоматическая приоритизация алертов сокращает время реагирования аналитиков SOC Качество и эффективность

• ML-модели выявляют аномалии, невидимые для традиционных SIEM-правил

• Три специализированных лаборатории АЦК обеспечивают развитие ML-моделей и исследование новых угроз

• К концу 2024 года запущен GIS-киберполигон для отработки сценариев атак и тестирования детектов Нагрузка и масштаб

• GSOC обслуживает клиентов из промышленности, банков и госорганов

• Мониторинг ведётся в режиме 24/7 Надёжность

• Ankey ASAP включён в реестр российского ПО

• Соответствие требованиям 187-ФЗ (защита КИИ) и приказов ФСТЭК Импортозамещение и compliance

• Полное замещение Splunk UBA, Exabeam, Microsoft Sentinel UEBA

• Сертификация ФСТЭК России

• Соответствие требованиям защиты КИИ (187-ФЗ) Качественный эффект: Газинформсервис создал первый в России коммерческий SOC на базе собственной UEBA-платформы с встроенным ML, закрыв потребность стратегически важных отраслей в отечественном сервисе обнаружения внутренних угроз и APT-атак.