| Заказчики: Служба обеспечения деятельности финансового уполномоченного (СОДФУ) Москва; Общественные и некоммерческие структуры Подрядчики: Positive Technologies (Позитив Текнолоджиз) Продукт: MaxPatrol SIEMДата проекта: 2024/09 — 2025/03
|
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Управление информацией и событиями в системе безопасности (SIEM)
|
2025: Внедрение MaxPatrol SIEM
Служба обеспечения деятельности финансового уполномоченного (АНО «СОДФУ») внедрила MaxPatrol SIEM для мониторинга событий ИБ и управления инцидентами информационной безопасности. Об этом Positive Technologies сообщили 28 апреля 2025 года.
СОДФУ обладает сложной ИT-инфраструктурой с большим количеством активов, среди которых в том числе удаленные рабочие места сотрудников. Поэтому в 2020 году стала очевидна потребность организации в обеспечении полной видимости инфраструктуры и мониторинга событий информационной безопасности. Для этого было принято решение внедрить систему класса SIEM, которая контролировала бы происходящее в инфраструктуре и отслеживала бы ее изменения в реальном времени. Кроме того, специалистам было важно, чтобы система контролировала полноту и качество сбора событий ИБ с активов.
Стремясь максимально защитить данные клиентов, СОДФУ соблюдает требования к безопасности, выдвигаемые регуляторами. Поэтому служба рассматривала только продукты, входящие в реестр отечественного ПО и соответствующие ГОСТ Р 57580.1-2017 о безопасности финансовых операций.
Кроме того, для эффективного обнаружения киберугроз и расследования инцидентов специалистам службы необходима была возможность синергии SIEM-системы с другими инструментами. Этому требованию смог удовлетворить MaxPatrol SIEM — продукт интегрирован с другими решениями Positive Technologies, в частности с MaxPatrol VM. MaxPatrol SIEM поддерживает работу с большинством современных средств защиты, сетевых устройств и операционных систем.
 | MaxPatrol SIEM для нас — это единая точка сбора событий кибербезопасности и оповещений об атаках, поступающих с 1800 активов организации, — сказал Денис Савельев, начальник отдела безопасности и защиты информации, СОДФУ. — К SIEM-системе подключены рабочие станции, офисное и сетевое оборудование, серверы, принтеры, телефония, а также средства защиты других вендоров: антивирусные программы, DLP-система. В связи с тем, что часть активов находится за внешним периметром, для сбора данных использовалась нестандартная схема подключения: SIEM-система была размещена внутри защищаемой инфраструктуры, а коллектор сбора логов — на периметре. Гибкость MaxPatrol SIEM в получении информации с ИT-систем стала для нас решающим фактором. |  |
Средний поток событий безопасности, обрабатываемых MaxPatrol SIEM, составляет 1800 в секунду. Помимо 1300 правил корреляции и более 9000 правил нормализации из «коробки», специалисты СОДФУ разрабатывают собственные правила, чтобы детектировать специфические для компании киберугрозы.
| | Безопасность ИT-инфраструктуры — первоочередная задача специалистов службы ИБ, — отмечает Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies. MaxPatrol SIEM выявляет инциденты ИБ, способные привести к реализации недопустимых событий, и попытки нарушения киберустойчивости компании.
| |
Организация также использует MaxPatrol VM, с помощью которой выстраивает полный цикл управления уязвимостями. Интеграция MaxPatrol SIEM и MaxPatrol VM позволяет обеспечить прозрачность ИT-инфраструктуры и повысить точность и скорость детектирования атак.
Также специалистам СОДФУ интересно использование ML-технологий, в частности модуля Behavioral Anomaly Detection (BAD) для обнаружения аномального поведения пользователей или сущностей в ИT-инфраструктуре организации и оценки степени риска событий.
