КЛИЕНТ
Крупное промышленное предприятие, входящее в контур Государственной корпорации «Ростех». Заказчик — ключевой игрок в своём сегменте обрабатывающей промышленности, эксплуатирующий значительные производственные мощности и развитую корпоративную ИТ-инфраструктуру.Принадлежность к контуру Ростеха автоматически означает повышенные требования к информационной безопасности и устойчивости производственных процессов, а также особое внимание к инцидентам со стороны как самой корпорации, так и государственных регуляторов.
ОТРАСЛЬ
Промышленность и обрабатывающее производство (объект, потенциально относящийся к критической информационной инфраструктуре). Этот сегмент в последние годы стал одной из приоритетных мишеней для целенаправленных атак: остановка производства влечёт прямые финансовые потери, риски срыва обязательств перед контрагентами и государственным заказчиком, а в худшем случае — угрозы безопасности персонала. Регуляторные требования к промышленным предприятиям, особенно тем, которые подпадают под действие 187- ФЗ, постоянно ужесточаются.ЗАДАЧА
Перед нами стояла задача организовать серию пилотных внедрений ключевых отечественных SIEM-систем, чтобы по итогам пилотов объективно выбрать оптимальное решение.- После выбора платформы — обеспечить её внедрение, подключение источников событий, настройку политик корреляции и устойчивую работу в составе ИТ- и ИБ-инфраструктуры предприятия.
- Решение должно было дать заказчику возможность мониторинга событий безопасности в режиме реального времени и стать фундаментом для дальнейшего развития центра мониторинга ИБ.
- Именно SIEM-система (Security Information and Event Management) является центральным инструментом для решения ключевой задачи информационной безопасности — обнаружения и расследования инцидентов в инфраструктуре промышленного предприятия.
ПРОБЛЕМАТИКА
Ключевая проблематика была связана с резким ростом количества кибератак на производственные предприятия. Без SIEM события безопасности оставались разрозненными, мониторинг инцидентов информационной безопасности выполнялся вручную и постфактум, ИБ-команда не имела единой консоли для оперативной работы.Дополнительная сложность заключалась в необходимости выбрать решение в новых условиях — ушедшие зарубежные вендоры оставили вакуум, а отечественные SIEM-системы существенно различались по архитектуре и возможностям.
РЕШЕНИЕ
Мы предложили и реализовали методологию серии пилотных внедрений ключевых отечественных SIEM-систем.- По итогам пилотов сформирован сравнительный отчёт, отражающий сильные и слабые стороны каждой платформы применительно к конкретной инфраструктуре заказчика.
- Далее последовали этапы продуктивного внедрения: проектирование архитектуры, развёртывание серверных компонентов, подключение источников событий, разработка скриптов и парсеров, настройка политик корреляции и правил реагирования.
- Отдельное внимание было уделено непрерывности сбора данных — «слепые зоны» SIEM-системы фактически означают невидимость части инцидентов.
РЕЗУЛЬТАТЫ
- Заказчик получил полностью функционирующую SIEM-систему с настроенными источниками событий и работающими политиками корреляции.
- Получена объективная картина событий безопасности по всему ИТ-периметру, существенно сократилось время обнаружения и расследования инцидентов.
- Со стороны выполнения требований 187-ФЗ — заложена техническая основа для дальнейших шагов в области защиты значимых объектов критической информационной инфраструктуры.