MaxPatrol SIEM и MaxPatrol 8 помогли защитить от кибератак универсиаду-2019

2019

25 марта 2019 года компания Positive Technologies сообщила, что в соответствии с договором с АО «Управление ВОЛС-ВЛ» в ПАО «МРСК «Сибири» была создана система сбора, корреляции и управления событиями информационной безопасности на базе MaxPatrol SIEM.

По информации компании, в рамках подготовительных мероприятий по обеспечению мониторинга защиты информационно-телекоммуникационной инфраструктуры (ИТКИ) ключевых объектов энергоснабжения зимней универсиады 2019 года специалистами ПАО «МРСК Сибири» и АО «Управление ВОЛС-ВЛ» была произведена интеграция SIEM-системы, подключены дополнительные источники событий практически со всех технических средств ИТКИ, что в последующем позволило использовать SIEM-систему в качестве одного из основных инструментов мониторинга защищенности. Применение сканера MaxPatrol 8 для анализа уязвимостей ИТКИ осуществлялось фактически в ежедневном режиме, что позволяло контролировать состояние защищенности узлов ИТКИ.

Данные в MaxPatrol SIEM поступали от систем обнаружения атак, средств управления ИТКИ, средств защиты, «песочниц», антивирусов, средств криптографической защиты информации, контроллеров доменов и сетевого оборудования. Это позволило до начала основного мероприятия обнаружить уязвимости информационной безопасности ИТКИ, предположить вероятные векторы компьютерных атак и провести работу по их недопущению.

В период проведения универсиады в офисе ПАО «МРСК Сибири» в Красноярске был организован круглосуточный центр мониторинга информационной безопасности с привлечением отдела кибербезопасности ПАО «МРСК Сибири», группы экспертов по информационной безопасности новосибирского филиала ФГУП НТЦ «Атлас» и АО «Управление ВОЛС-ВЛ».

Центр мониторинга на протяжении всего мероприятия в круглосуточном режиме фиксировал аномальную активность, направленную на реализацию атак типа «отказ в обслуживании». В процессе мониторинга были обнаружены многочисленные атаки на узлы, доступные из интернета, с использованием инструментов внешнего проникновения (атаки на публичные веб-ресурсы, попытки эксплуатации уязвимостей), с использованием сканеров (сетевое сканирование и сканирование приложений), c использованием социальной инженерии (фишинговые письма). Кроме того, анализ вредоносных вложений из фишинговых писем показал, что некоторые письма были, предположительно, направлены группировками злоумышленников, специализирующихся на энергетических компаниях.

Всего с помощью MaxPatrol SIEM и MaxPatrol 8 в ходе универсиады было зафиксировано около десяти тысяч событий информационной безопасности. Все события были обработаны сотрудниками центра мониторинга. Инцидентов информационной безопасности, повлекших нарушения в работе объектов энергоснабжения мероприятия, допущено не было.Как «Полюс» отказывается от SAP. Опыт российского лидера золотодобычи представлен на TAdviser SummIT 4.2 т

Специалисты центра мониторинга отмечают, что работа на универсиаде стала хорошей возможностью протестировать средства защиты и мониторинга, а также обнаружить слабые места в защите инфраструктурных объектов.

Как показывает наш опыт, масштабные события всероссийского и международного уровня требуют серьезной подготовки с точки зрения информационной безопасности. И речь не просто о работе в период таких событий. Необходимо организовать полноценный жизненный цикл: от заблаговременного аудита инфраструктуры, тестирования приложений с последующей их коррекцией до непрерывного контроля защищенности периметра, обнаружения угроз и применения необходимых технологий и средств защиты. Необходим постоянный мониторинг ИБ до, во время и после мероприятия, нацеленный на оперативное и своевременное выявление инцидентов, реагирование на них и их детальное расследование. Ранее наши продукты и эксперты уже работали в составе центров мониторинга чемпионата мира по футболу 2018 года, Олимпиады в Сочи, универсиады в Казани и помогли избежать инцидентов ИБ на этих мероприятиях. Максим Филиппов, директор Positive Technologies по развитию бизнеса в России