+7 (910) 426-67-58
Главная Кейсы ФинЦЕРТ Контакты

Решение САВРУС ФинЦЕРТ

Описание системы

САВРУС ФинЦЕРТ представляет собой решение для кредитных и не кредитных финансовых организаций, целью которого является повышение устойчивости организаций к киберугрозам и выполнение требований ЦБ РФ по информационному обмену с центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере.

Решение предназначено для автоматизации процессов импорта данных о фактах компьютерных атак, получаемых из Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (далее ЦМ), во внутреннюю систему сбора и корреляции событий информационной безопасности для дальнейшего анализа, а также для создания и отправки в ЦМ информации в требуемом формате о выявленных в организации инцидентах информационной безопасности со скомпрометированными метриками (IP-адресами, URL, почтовыми адресами и т д).

Архитектура решения

САВРУС ФинЦЕРТ состоит из 2 модулей:

Схема работы решения:

Модуль Импорта данных

В режиме реального времени система отслеживает загрузку файлов в папку, указанную при настройке системы, и автоматически переносит информацию о метриках, обнаруженных в файле, в активные листы системы мониторинга. Во время загрузки система автоматически проводит анализ данных на их консистентность. После загрузки данных система производит ретроспективный анализ событий информационной безопасности за определенный промежуток времени, заданный администратором (неделя/месяц/квартал), на соответствие событий загруженным метрикам, и по результатам анализа выдает отчет с перечнем выявленных соответствий. В интерфейсе системы администратор информационной безопасности имеет возможность просматривать детальную информацию о найденных событиях, соответствующих полученным данным об угрозах.

После загрузки данных в активные листы система выполняет мониторинг вновь регистрируемых событий информационной безопасности на соответствие полученным данным об угрозах в режиме реального времени и оповещает администратора в случае обнаружения соответствующих событий.

В системе предусмотрены следующие типы оповещений:

Система предоставляет механизм журналирования событий импорта, такие как:

Модуль Экспорта данных

Система позволяет отслеживать загрузку файлов в указанную папку, и при обнаружении в ней файла указанного формата автоматически отправляет его на источник, определенный ранее. Перед отправкой файла система автоматически осуществляет анализ данных на их консистентность, при несоответствии формата данных заданным условиям система выдает предупреждение.

Формирование файла осуществляется по заданному расписанию из соответствующих активных листов, установленных в системе мониторинга и корреляции событий. Активные листы заполняться с помощью корреляционных правил. Также система позволяет интегрировать пользовательские корреляционные правила.

Решение САВРУС ФинЦЕРТ автоматически создает отчеты ретроспективного анализа и позволяет отправлять статистику об обнаруженных угрозах обратно в FinCERT для дальнейшего анализа.

Пример отчета ретроспективного анализа:

Результаты ретроспективного анализа
Дата Система Параметр
10/18/2018 12:32:12 AM System1 dst=78.155.207.59
10/18/2018 12:15:09 AM System2 dst=78.155.207.59
10/18/2018 9:41:11 AM System3 dst=78.155.207.59
10/18/2018 8:59:08 AM System4 dst=78.155.207.59
10/14/2018 2:24:45 PM System5 src=205.185.216.42
10/11/2018 1:33:09 AM System6 dst=205.155.216.42
10/9/2018 12:29:28 AM System7 dst=5.101.152.212
10/11/2018 5:51:32 AM System8 dst=164.132.235.17
10/14/2018 2:18:42 AM System9 src=109.69.8.34
10/14/2018 12:03:07 PM System10 src=109.69.8.34
10/14/2018 1:09:37 AM System11 src=109.69.8.34
10/14/2018 9:17:56 PM System12 src=109.69.8.34
10/14/2018 2:19:01 PM System13 src=5.189.227.173
10/17/2018 7:59:03 AM System14 request=rbinternal.com
9/26/2018 5:06:12 AM System15 request=bt.ly
10/12/2018 12:00:00 AM System16 request=izage.ru
9/26/2018 12:43:27 AM System17 request=it.ly
10/12/2018 1:06:46 PM System18 request=dize.ru
10/12/2018 4:13:09 AM System19 fname=Document.doc

Интерфейс решения

Панель работы с данными

Детали события

Активные листы