В условиях растущего числа киберугроз комплексная защита ИТ‑инфраструктуры требует многоуровневого подхода и круглосуточного контроля. Внедрение строгого контроля доступа, современных инструментов мониторинга и регулярного тестирования устойчивости позволяет минимизировать риски и оперативно реагировать на угрозы.

Евгений Цецорин, ведущий системный администратор Simplity:

В инфраструктуре и клиентских проектах мы внедряем строгий контроль доступа: двухфакторную аутентификацию (2FA) со сроком жизни кода менее 1 минуты для всех пользователей и многоступенчатую проверку для критичных сервисов.

Безопасность учетных записей также обеспечивает жесткая парольная политика: запрещены простые пароли и повторы, а принудительная смена пароля блокирует вход в учетную запись до обновления данных.

Для защиты периметра используем KSMG от «Лаборатории Касперского», который фильтрует фишинговые письма и спам, а также постоянно пополняем White-list доверенных доменных адресов.

Вся инфраструктура подключена к нашему собственному SOC с режимом реагирования 24/7. Что касается покрытия EDR агентами, мы ориентируемся на цифру более 95% и этот же параметр покрытия рекомендуем клиентам.

Устойчивость систем и эффективность вышеперечисленных методов мы проверяем на практике через пентесты в режиме Red-Blue Team - наши белые хакеры проводят реальные атаки после архитектурных работ, соответственно, SOC их видит и реагирует, а ИБ архитекторы видят, что можно улучшить. Или получают отличный результат -  периметр неприступен, а SOC блокирует атаку в случае, если она исходит "изнутри" сети.

Круглосуточный мониторинг позволяет нам обнаруживать аномалии в реальном времени. Если говорить об SLA для себя и клиентов, мы ориентируемся на время обнаружения менее 1 часа, а локализация угрозы занимает менее 4 часов. Для большинства компаний эти временные параметры актуальны, так как хакерские атаки не привязаны к рабочему графику.

И все же почему SOC? Если говорить о мониторинге - его все же используют реже, чем вышеперечисленные решения. Немногие компании имеют собственный отдел мониторинга и в целом не рассматривают эту услугу ИБ как обязательную, и зря.

Мгновенное реагирование силами SOC позволяет купировать инциденты до того, как они нанесут ущерб бизнесу, что позволяет обеспечить непрерывную защиту, в т.ч. ночью и выходные дни.