КЛИЕНТ
Российское промышленное предприятие, эксплуатирующее значительную ИТ- инфраструктуру и обладающее собственным отделом информационной
безопасности. По характеру деятельности заказчик относится к категории компаний, для которых стабильность и защищённость ИТ-периметра — фактор операционной непрерывности и финансовой устойчивости.
ОТРАСЛЬ
Промышленность. Это сегмент, в котором за последние годы кратно выросло количество целенаправленных кибератак, в том числе атак на цепочки поставок, программ-вымогателей и атак, связанных с компрометацией подрядчиков.
Регуляторные требования (включая нормы 187-ФЗ для объектов КИИ) делают внедрение SIEM-системы практически безальтернативным шагом.
ЗАДАЧА
Перед нами стояла задача поставки решения класса SIEM для мониторинга и анализа инцидентов информационной безопасности. Требовалось выполнить актуализацию состава закупки с учётом изменений в инфраструктуре и продуктовых линейках вендора, и предоставить заказчику необходимые лицензии на выбранную SIEM-платформу.
Для промышленного предприятия задача мониторинга событий безопасности особенно актуальна: производственные инциденты, вызванные кибератакой, несут не только финансовые, но и физические последствия — вплоть до остановки оборудования и угрозы персоналу.
ПРОБЛЕМАТИКА
- Основная проблематика заключалась в отсутствии у заказчика централизованного инструмента для мониторинга и анализа событий безопасности. Без SIEM-системы информация об инцидентах распределена по десяткам источников.
- Анализ такого «разнопланового» материала вручную либо физически невозможен, либо обходится дороже, чем стоимость самой SIEM-системы.
РЕШЕНИЕ
- По итогам анализа текущего состояния был обоснован выбор Kaspersky Unified Monitoring and Analysis Platform (KUMA) — современной отечественной SIEM- платформы, способной обеспечить полноценный сбор и корреляцию событий безопасности.
- Была выполнена поставка лицензии на платформу с учётом масштаба инфраструктуры заказчика.
- Параллельно подготовлены рекомендации по разворачиванию платформы, подключению источников событий и формированию первоначальных политик корреляции.
РЕЗУЛЬТАТЫ
- Отдел информационной безопасности заказчика получил современное средство для мониторинга собственной инфраструктуры.
- Наличие централизованного мониторинга и понимание того, что действия пользователей в системах фиксируются и анализируются, само по себе является сильным сдерживающим фактором для нарушений.