Иркутская нефтяная компания — один из крупнейших производителей углеводородного сырья в стране, объект критической информационной инфраструктуры России — внедрила MaxPatrol SIEM. Система оперативно обнаруживает подозрительную активность в ИТ-инфраструктуре и своевременно сообщает о ней специалистам. Это позволяет предотвращать вторжения хакеров до того, как они нанесут организации недопустимый ущерб. Используя MaxPatrol SIEM, подразделение ИБ предприятия решает одну из главных задач — обеспечивает киберустойчивость и непрерывность бизнеса.
Несколько лет назад Иркутская нефтяная компания приступила к выполнению проекта, цель которого — обеспечить результативную кибербезопасность и соответствие требованиям № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Один из пунктов проекта предусматривал внедрение SIEM-системы, которая позволила бы оперативно выявлять инциденты ИБ, ведущие к реализации недопустимых событий. Организация изначально рассматривала только российские сертифицированные продукты и по итогам пилотного тестирования сделала выбор в пользу MaxPatrol SIEM.
«Непрерывность бизнеса напрямую связана с информационной безопасностью, — рассказал Вадим Ашроев, начальник отдела информационной безопасности Иркутской нефтяной компании. — С каждым годом киберугрозы совершенствуются, и промышленные организации не остаются без внимания хакеров. В связи с этим для нас было важно выбрать продукт, который способен принести ощутимый результат — измеряемый скоростью и качеством обнаружения попыток нарушения киберустойчивости компании. Это наш первый опыт работы с SIEM-системой. Команда Positive Technologies оперативно помогла нашим специалистам разобраться в том, как устроен продукт MaxPatrol SIEM и как использовать его, чтобы получить максимальную пользу».
В настоящее время MaxPatrol SIEM мониторит около 1700 узлов организации. В качестве источников событий к продукту подключены узлы под управлением Windows, Linux, решения Cisco, Citrix, «Лаборатории Касперского». Система обрабатывает от 5 до 7 тыс. событий в секунду. В целом MaxPatrol SIEM поддерживает 355 различных источников и помогает контролировать полноту подключения активов и качество сбора информации. Продукт способен на одном ядре с использованием всех экспертных правил «из коробки» анализировать более 540 тыс. событий в секунду. Эти возможности позволяют максимально сократить время от внедрения системы до получения реального результата.
В ближайшем будущем Иркутская нефтяная компания планирует подключить к MaxPatrol SIEM сегмент АСУ ТП[1] и другие подразделения, чтобы мониторинг охватывал всю инфраструктуру предприятия. Безопасность активов будет обеспечиваться в том числе с помощью системы управления уязвимостями MaxPatrol VM, которая уже внедрена и применяется в организации. Проект также предусматривает расширение штата сотрудников и их обучение.
«MaxPatrol SIEM используется как основной элемент в крупнейших SOC[2] России. За счет высокой производительности система может стабильно работать в инфраструктурах любого размера. Продукт использует технологию детальной инвентаризации, благодаря которой контролирует изменения ИТ-активов и быстро адаптируется к новым условиям. У MaxPatrol SIEM гибкая архитектура, которая позволяет мониторить состояние ИБ всех офисов и ресурсов в одном окне. Важно и то, что продукт не только выявляет угрозы, но и помогает аналитикам быстро оценивать достоверность срабатываний и принимать решения по инцидентам. Качественнее эту задачу позволяет выполнять качественнее встроенный ML-помощник BAD[3] — second-opinion-ассистент, который использует около 30 моделей машинного обучения и оперирует нашим двадцатилетним опытом в обнаружении и расследовании инцидентов», — комментирует Оксана Науменко, менеджер по работе с клиентами Positive Technologies.
[1] Автоматизированная система управления технологическим процессом.
[2] Security operations center, SOC — центр мониторинга информационной безопасности.
[3] Behavioral Anomaly Detection — ML-модуль, повышающий эффективность обнаружения атак за счет альтернативного метода анализа событий и оценки достоверности каждого срабатывания по 100-балльной шкале.