Эксперты центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» используют систему MaxPatrol SIEM компании PositiveTechnologies уже более двух лет. Cее помощью выявлены десятьAPT-атак и несколько сотен массовых рассылок вредоносного ПО, направленных на госорганы и госкорпорации, организации топливно-энергетического комплекса и транспортные компании. Общий поток событий, обрабатываемых Solar JSOC с помощью MaxPatrol SIEM, сегодня составляет более 150 000 в секунду.
Solar JSOC
«Мы ожидаем, что в 2020 году число клиентов, использующих сервисы Solar JSOC на базе MaxPatrol SIEM, вырастет более чем в два раза, —поясняет Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании "Ростелеком-Солар". — Нагрузка на системы безопасности в SolarJSOC, в том числе на MaxPatrolSIEM, ежегодно увеличивается, растут и требования к SIEM-системам в части выявления признаков сложных и таргетированных атак и предоставления расширенной аналитики. Поэтому на старте сотрудничества мы предъявили высокие требования как к производительности и стабильности работы решения, так и к его функциональным возможностям. Команда PositiveTechnologies серьезно доработала MaxPatrolSIEM, и сегодня продукт позволяет нам решать самые сложные задачи по мониторингу и выявлению кибератак».
В ходе внедрения MaxPatrolSIEM в SolarJSOC продукт успешно прошел тестирование на высоко нагруженных системах. Также решение было адаптировано к процессам центра мониторинга и реагирования на киберугрозы компании.В частности, была изменена логика формирования правил детектирования кибератак. Это позволило экспертам SolarJSOC создавать собственные способы обнаружения угроз с помощью MaxPatrolSIEM и использовать их для мониторинга безопасности сетей своих клиентов. За два года специалисты написали более 300 правил выявления атак. Чтобы поддержать существующие процессы работы с угрозами, MaxPatrol SIEM был интегрирован с тремя популярными платформами реагирования на инциденты (IRP) и поддержки (servicedesk).
«Число целевых атак
Мы гордимся нашим давним сотрудничеством с Solar JSOC. Коллеги включены в программу раннего ознакомления с новыми версиями продукта и участвуют в формировании функциональных возможностей его будущих выпусков. Это позволяет нам обогащать продукт в том числе опытом и экспертизой SolarJSOC, накопленными центром мониторинга за годы успешной работы», — отмечает Максим Филиппов, директор по развитию бизнеса компании PositiveTechnologies в России.