Сценарии применения

Задачи: построение катастрофоустойчивой территориально-распределенной платформы сбора и анализа событий информационной безопасности для различных сегментов вычислительной инфраструктуры.

• централизованный поиск по разрозненным хранилищам данных
• обучение специалистов Банка для самостоятельного администрирования и доработки системы
• функциональная доработка платформы под специализированные требования заказчика

Результаты: единый Data Lake для данных ИБ и ИТ.

• >15 тысяч объектов мониторинга
• >300+ источников данных
• 4 ТБ/д поток индексируемых событий
• 150+ активных пользователей платформы

Задачи: миграция с Cloud-native SIEM Solution Microsoft Sentinel, переезд в On-premise, реализация правил с собственной логикой, перенос процессов SOC на Smart Monitor.

Результаты: быстрое развертывание и миграция за 2 месяца своими силами, использование CI/CD для управления конфигурациями, использование workflow Incident Manager для построения процесса SOC.

• >2500К EPS поток обрабатываемых событий в инфраструктуре
• 10К+ серверов в системе мониторинга
• гибкая ролевая модель позволяет давать доступ всем и выходить за рамки SIEM
• использование CI/CD для управления конфигурациями (SIEM as a Code)
• применение workflow модуля Incident Manager для построения процессов SOC

Задачи: интеграция с SOAR, BI, TIP; построение отказоустойчивый, масштабируемой системы; приведение к разработанной для текущей SIEM модели данных.

Результаты: мощная внутренняя платформа для команд SOC L1, L2 и L3, процесс управления инцидентами.

• 30+ членов команды SOC
• 25К EPS поток данных
• 78 специализированных справочников
• 400+ правил корреляции
• гибкость+скорость в части функциональных доработок, гибкость при миграции, универсальность применения при подключении источников данных

Задачи: автоматически распознавать и создавать карточки нового сетевого оборудования. Обнаруживать неизвестные устройства, обогащать данные о них для быстрого принятия решения о блокировке / разблокировке.

Результаты: решение радикально повысило уровень безопасности сети.

• на 3000+ устройств всего два сетевых администратора
• время инвентарного учёта оборудования сократилось с 3 недель до  10 минут
• до 100% поднялась достоверность инвентарных сведений
• устранена зависимость работы пользователей от простоя системы контроля доступа к сети

Задачи: оптимизация стоимости лицензий на систему мониторинга, снижение нагрузки на персонал за счет упрощения анализа данных, уменьшение количества аппаратных ресурсов, утилизируемых системой

Результаты:

• применение гибридного хранилища позволяет снизить аппаратные требования: до 150% CPU, до 400% RAM, до 800% HDD/SDD
• снижение временных затрат на разработку поисковых запросов на 70%
• снижение стоимости лицензии в три раза

Задачи: интеграция со специализированными информационными системами приложений, обнаружение и предотвращение атак на критическую инфраструктуру.

Результаты: быстрое развертывание SOC за три месяца, успешная интеграция SOC в бизнес-процессы и эффективная работа персонала.

• было 30, стало 100+ правил корреляции
• на 550% уменьшилось количество ложноположительных срабатываний
• круглосуточная поддержка первой линии SOC

Задачи: мошенники использовали программу лояльности клиентов для совершения мошеннических действий, что наносило финансовый и репутационный ущерб компании.

Результаты: построена система, полностью покрывающая сценарии фрода, что позволило сократить 97% нарушений и предотвратить ущерб, связанный с выявленными инцидентами.

• >1,2 млрд р. составил подтвержденный предотвращенный ущерб компании
• >100 правил корреляции по выявлению фрода
• >1 млн случаев фрода выявлено и предотвращено в течение 1 года

Задачи: построение профилей действий сотрудников на основе операций с банковскими системами. Выявление паттернов мошеннических действий с применением машинного обучения.

Результаты: построены профили сотрудников на основе множества критериев. Автоматизирован процесс выявления и предотвращения мошенничества с данными клиентов.

• 30+ контролируемых параметров профилей
• 100+ корреляционных правил по внутреннему антифроду на основании профилей контролируемых объектов
• >1.1 млн предотвращенных фактов фрода за год

Задачи: организовать сбор информации об установленных СЗИ и их настройках на АРМ и серверах. Анализ конфигурации СЗИ и сверка с эталонами. Оповещение об инцидентах ИБ, связанных с нарушениями требований в настройках СЗИ.

Результаты: существенное снижение издержек на персонал, сопровождающий СЗИ. Централизованное отслеживание состояния ИБ по всем учреждениям в режиме реального времени.

• сокращение срока проверки настроек СЗИ по всем учреждениям с нескольких месяцев до минут
• на 90% снижены затраты на проведение проверок СЗИ
• cокращение числа сопровождающего СЗИ персонала с 30 до  4 человек

Задачи: сбор и интеграция разнообразных источников данных (сенсоров, записей обслуживания и внешних факторов) в единую систему может быть сложным и требовать стандартизации.

Результаты: снижение затрат на обслуживание и диагностику системы трубопроводов.

• с 3 месяцев до 10 минут сократилась разработка плана оценки и ремонта для отчетности исполнительного персонала
• на 30% сократились затраты на обслуживание трубопроводов в долгосрочной перспективе

Задачи: необходимо составить индивидуальные и групповые профили пользователя на основании множества критериев. А также использовать машинное обучение для выявления аномалий и анализа транзакций пользователей.

Результаты: реализованы принципы выявления мошеннических операций, позволяющие осуществить раннее оповещение о фроде благодаря анализу логистических и торговых транзакций.

• 30+ правил корреляции по выявлению фрода
• >80 случаев фрода выявлено и предотвращено
• 86% достигла эффективность системы в выявлении фрода

Задачи: сложности в выявлении действий сотрудников, критических для бизнеса, и эффективное построение индивидуальных и групповых профилей.

Результаты: достижение эффективного баланса рабочей нагрузки для более чем 3000 сотрудников, снижение затрат на сверхурочные работы и трудозатраты.

• на 7-10% увеличилась эффективность использования труда сотрудников
• с дней до минут сократился процесс составления кратких отчетов сотрудниками
• 8 филиалов в разных часовых поясах

Задачи: формирование гипотез по темам звонков на основе опыта клиентов.

Результаты: снижение операционных затрат колл-центра с использованием подхода, основанного на данных, и машинного обучения.

• на 51% сократилось число запросов клиентов, требующих помощи оператора, за один год
• на 5.3% снизились затраты на персонал

Задачи: описание процессов и определение бизнес-метрик коммерческих сервисов SOC, определение политики мониторинга событий информационной безопасности.

Результаты:

• оптимизация работы линий поддержки SOC (L1, L2) за счет повышения эффективности использования времени сотрудников
• снижение времени реакции на кибер-инциденты
• методологическое обеспечение работы CSIRT (Cyber Security Incident Response Team).

Задачи: учет действий персонала ведется в множестве учетных систем, что усложняет контроль и позволяет мошенникам обходить корпоративные требования при найме сотрудников.

Результаты: все IT-системы для найма персонала интегрированы в единое озеро данных. Выстроена система аналитики, благодаря которой удалось минимизировать мошенничество при найме персонала.

• выявляются инциденты сговора претендента и сотрудника компании
• >200 фондов оплаты труда сэкономлено при обнаружении нарушений в оформлении зарплатных ведомостях
• построены SLA, связанные наймом персонала

Задачи: управление и мониторинг обширной и сложной сетевой и серверной инфраструктуры, распределенной по нескольким регионам.

Результаты: сокращение среднего времени устранения проблем инфраструктуры на 50%, минимизация времени простоя и сбоев в обслуживании.

• на 23% снизились затраты за счет оптимизации использования ресурсов, сокращения необходимости в экстренных исправлениях и предотвращения потенциальных финансовых потерь из-за простоя
• значительно увеличилось время работы систем, обеспечивающих доступность критических банковских услуг для клиентов в 99,99% случаев
• на 75% сократилась утомляемость от оповещений среди сотрудников IT-команды, что позволяет им сконцентрироваться на критических проблемах

Задачи: необходимость автоматизации выявление рисковых событий с аналитикой по всем бизнес-процессам с интеграцией различных информационных систем.

Результаты: анализ более 50 рисковых событий в бизнес-процессах. Для обогащения данных подключены такие источники, как SAP FI, MOEX, Bloomberg.

• >10 автоматизированных контролей трейдинговых операций
• автоматизирован контроль за портфелем кредитов/депозитов
• автоматизирован контроль внебиржевых сделок

Задачи: проектирование новой геораспределенной архитектуры, универсализация правил для клиентов SOC.

Результаты: Smart Monitor как сервис в геораспределенной архитектуре.

• организация Multitenancy
• хранение данных клиентов независимо друг от друга