КЛИЕНТ
Заказчиком в рамках данного проекта выступило Государственное бюджетное учреждение Московской области «Московское областное бюро технической инвентаризации» (БТИ МОСКОВСКОЙ ОБЛАСТИ ГБУ).
Учреждения подобного типа оперируют колоссальными массивами конфиденциальной информации. В их базах данных хранятся сведения о технических характеристиках объектов недвижимости, кадастровые паспорта, поэтажные планы, а также персональные данные собственников. Бесперебойная работа ИТ-инфраструктуры БТИ критически важна для функционирования рынка недвижимости, предоставления государственных услуг населению и взаимодействия с другими ведомствами. Утечка, шифрование или компрометация таких данных злоумышленниками может привести к параличу работы учреждения и серьезным репутационным и финансовым рискам.
ОТРАСЛЬ
Государственный сектор (кадастровый учет, техническая инвентаризация и управление недвижимостью).
Отрасль государственного управления характеризуется повышенными требованиями к защищенности информационных систем. Государственные учреждения обязаны строго соблюдать требования регуляторов (ФСТЭК, ФСБ, Роскомнадзор) в области защиты персональных данных и критической информационной инфраструктуры (КИИ). При этом вектор и сложность кибератак на госсектор ежегодно возрастают: злоумышленники активно используют методы социальной инженерии, фишинг, программы-вымогатели (ransomware) и целевые атаки (APT-группировки). В этих условиях традиционных средств антивирусной защиты становится недостаточно, так как они зачастую не способны вовремя распознать легитимные инструменты, используемые хакерами (так называемые fileless-атаки или атаки «Living off the Land»).
ПРОБЛЕМАТИКА
Инициация проекта была вызвана осознанием руководством текущих рисков информационной безопасности. Ключевая проблема заключалась в уязвимости ИТ-периметра из-за отсутствия систем автоматизированного реагирования на кибератаки на уровне рабочих станций.
Анализ ситуации показал, что текущие средства защиты не обеспечивают необходимую скорость локализации угроз. В случае проникновения злоумышленника в корпоративную сеть или запуска вредоносного кода на конкретном компьютере сотрудника, специалистам требовалось слишком много времени на ручной поиск источника заражения, анализ логов и остановку распространения угрозы. В современных реалиях, когда счет при атаке шифровальщика идет на минуты, такая задержка создает недопустимую уязвимость для всей инфраструктуры учреждения.
ЗАДАЧА
Перед проектной командой стояла задача осуществить поставку инструментов класса EDR для оперативного обнаружения и реагирования на инциденты на конечных точках.
Требования заказчика были четко сформулированы: клиент обратился с задачей обеспечить не просто базовую защиту конечных точек, а получить решение класса EDR. Ожидалось, что внедряемый продукт позволит:
- Не только блокировать известные угрозы, но и выявлять скрытые атаки.
- Детально отслеживать поведение злоумышленника внутри сети.
- Эффективно расследовать инциденты по цепочке событий, понимая вектор проникновения.
- Оперативно реагировать на них: быстро изолировать заражённые устройства от корпоративной сети, останавливать скомпрометированные процессы и безопасно удалять вредоносные объекты.
По сути, требовалось внедрить интеллектуальный слой защиты, который дал бы службе информационной безопасности полный контроль над тем, что происходит на каждом отдельном компьютере или сервере в режиме реального времени.
РЕШЕНИЕ
В качестве программного фундамента для решения поставленных задач было выбрано решение Kaspersky EDR для бизнеса. Данный выбор был обусловлен высокой надежностью вендора, его экспертизой в выявлении сложных угроз и полным соответствием требованиям политики импортозамещения в государственном секторе РФ.
Внедренный продукт представляет собой оптимальное решение для обнаружения, базового расследования и автоматизированного реагирования на угрозы. Платформа осуществляет непрерывный мониторинг активности на рабочих станциях (анализ процессов, сетевых соединений, изменений в реестре и файловой системе). Благодаря встроенным механизмам поведенческого анализа и использованию глобальной аналитики угроз, система помогает идентифицировать и нейтрализовать даже маскирующиеся кибератаки, которые могли бы пройти незамеченными для классических антивирусов (Endpoint Protection Platforms).
Процесс развертывания решения был проведен в сжатые сроки (ноябрь-декабрь 2025 года) и не потребовал остановки критически важных бизнес-процессов БТИ.
РЕЗУЛЬТАТЫ
Внедрение системы класса EDR позволило кардинально изменить подход к обеспечению информационной безопасности в учреждении. Клиент получил следующие конкретные результаты и выгоды:
- Снижение нагрузки на ИТ-отдел: Благодаря централизованному управлению всеми функциями из единой консоли и наличию автоматизированных инструментов, решение обеспечивает существенную экономию времени администраторов. Рутинные задачи по реагированию на типовые угрозы теперь выполняются автоматически.
- Ликвидация «слепых зон»: Внедренное программное обеспечение обеспечивает повышенную прозрачность ИТ-инфраструктуры. Служба безопасности теперь имеет четкое представление о состоянии каждой рабочей станции и может визуализировать графы атак для понимания корневых причин инцидентов.
- Закрытие болей ЛПР (Лиц, принимающих решения): Руководство учреждения получило уверенность в защищенности конфиденциальных баз данных недвижимости и гарантию того, что даже в случае попытки целевой атаки угроза будет локализована до того, как нанесет реальный ущерб организации. Минимизированы риски простоя и санкций со стороны регуляторов.
ПЕРСПЕКТИВЫ:
Завершение текущего этапа внедрения открывает путь для дальнейшего укрепления контура безопасности БТИ Московской области. В качестве следующих шагов рассматриваются:
- Расширение эксплуатируемых СЗИ с мониторингом ИБ. Переход к парадигме непрерывного мониторинга (SOC - Security Operations Center) позволит еще больше повысить уровень защищенности.
- Масштабирование защиты — подключение новых пользователей и серверов, что обеспечит полное покрытие всей распределенной ИТ-инфраструктуры учреждения единым зонтиком безопасности.