«Инфосистемы Джет» внедрила MaxPatrol SIEM в Трубной Металлургической Компании

13.10.2020

Компания «Инфосистемы Джет» завершила проект по внедрению системы сбора, хранения и анализа событий безопасности MaxPatrol SIEM в Трубной Металлургической Компании (ТМК). Специалисты интегратора подключили к решению суммарно 16 типов источников — средства защиты и компоненты ИТ-инфраструктуры. Выполнение всех работ по проекту заняло всего полгода, что позволило ТМК в сжатые сроки автоматизировать процессы мониторинга инцидентов ИБ и приступить к выбору поставщика экспертных сервисов по реагированию на инциденты ИБ.

Проект по внедрению SIEM-системы в Трубной Металлургической Компании был продиктован необходимостью обеспечения автоматизированного сбора и централизованного хранения событий безопасности из разных подсистем. Для решения этих задач ТМК выбрала MaxPatrol SIEM от Positive Technologies, так как его можно подключать к любым внешним системам посредством разработки интеграционных модулей (коннекторов). В пользу продукта в том числе сыграли ежемесячная поставка пакетов экспертизы с актуальными способами обнаружения угроз[1], прозрачный Roadmap, широкие возможности к масштабированию, производительность системы[2] (до 40 000 событий в секунду) и наличие сертификата ФСТЭК России.

«Проект позволил ТМК в сжатые сроки интегрировать SIEM-систему в инфраструктуру информационной безопасности компании с учетом ее особенностей и реализованных процессов, а разработанные интегратором модули позволили полноценно считать SIEM-систему центральным звеном ландшафта информационной безопасности компании,прокомментировал Дмитрий Якоб, директор по информационным технологиям «ТМК». — Мы уже ощутили конкретную пользу от MaxPatrol SIEM во время роста количества атак в период карантинных мер, связанных с противодействием вирусу COVID-19. Благодаря проактивным действиям и внедренному решению мы успешно справились с этим вызовом».

Для подключения MaxPatrol SIEM к информационным системам ТМК, взаимодействие с которыми не поддерживалось «из коробки», инженеры «Инфосистемы Джет» разработали четыре интеграционных модуля. Один из них проектная команда создала для сбора и обработки событий из облачных сервисов Microsoft 365 и Azure, реализовав первую интеграцию MaxPatrol SIEM с этими продуктами. Другой модуль предназначен для сбора информации, необходимой при расследованиях ИБ-инцидентов, из базы данных управления конфигурациями. Еще два модуля специалисты разработали для расширенной интеграции SIEM-системы со службой каталогов Active Directory (AD) и взаимодействия с созданной в ТМК платформой киберразведки.

«Перед нами стояла задача внедрить SIEM в компании с одной из самых зрелых систем информационной безопасности среди крупных промышленных предприятий в России. Продвинутые технические компетенции специалистов и высокий уровень зрелости процессов заказчика, продуктивное взаимодействие с командой вендора и собственная экспертиза помогли нам справиться с нетривиальной задачей и гармонично вписать решение в экосистему информационной безопасности ТМК», — отметил Андрей Янкин, директор Центра информационной безопасности компании «Инфосистемы Джет».

Согласно исследованию Positive Technologies, в 2019 году количество кибератак увеличилось на 19%. При этом доля атак на промышленные компании выросла драматически ― с 4% до 10%. Сегодня эта отрасль находится под прицелом у более чем двадцати АРТ-группировок.

«В условиях стремительного роста киберинцидентов компании, объективно оценивающие риски и последствия кибератак, уже не могут позволить себе работать без автоматизированных систем, выявляющих инциденты в режиме реального времени: для них внедрение системы класса SIEM сегодня входит в обязательный минимум в части обеспечения информационной безопасности»,рассказал Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.



[1] Поставка пакетов экспертизы в MaxPatrol SIEM — это регулярная автоматизированная передача знаний в области обнаружения инцидентов ИБ в виде алгоритмов, позволяющих выявлять даже сложные нетиповые атаки. Соответствующие наборы правил и рекомендаций формируют эксперты Positive Technologies (R&D и PT Expert Security Center), которые непрерывно анализируют актуальные угрозы, исследуют полный цикл атак и разрабатывают способы их обнаружения. Эти наборы объединяются в пакеты и передаются в базу знаний Positive Technologies Knowledge Base (PT KB), которая входит в состав MaxPatrol SIEM. Далее пользователь может в интерфейсе PT KB выбрать интересующие его пакеты и применить их в рамках своей инсталляции продукта. В настоящий момент в MaxPatrol SIEM доступны 18 пакетов экспертизы, которые содержат 380 правил обнаружения атак.

 


[2] Производительность MaxPatrol SIEM на одной инсталляции за 5 лет выросла с 3 до 40 тысяч событий в секунду.