Поделиться
Maxpatrol SIEM и Maxpatrol 8 помогли защитить от кибератак универсиаду в Красноярске
Продукты Positive Technologies Maxpatrol SIEM и Maxpatrol 8 помогли «МРСК Сибири» и группе компаний «Россети» обеспечить информационную безопасность состоявшейся в Красноярске ХХIХ Всемирной зимней универсиады 2019 г. Соревнования и мероприятия культурной программы посетили более 320 тыс. зрителей и болельщиков.
В соответствии с договором с «Управлением ВОЛС-ВЛ» в «МРСК Сибири» была создана система сбора, корреляции и управления событиями информационной безопасности на базе Maxpatrol SIEM. В рамках подготовительных мероприятий по обеспечению мониторинга защиты информационно-телекоммуникационной инфраструктуры (ИТКИ) ключевых объектов энергоснабжения зимней универсиады 2019 г. специалистами «МРСК Сибири» и «Управления ВОЛС-ВЛ» была произведена интеграция SIEM-системы, подключены дополнительные источники событий практически со всех технических средств ИТКИ, что в последующем позволило использовать SIEM-систему в качестве одного из основных инструментов мониторинга защищенности. Применение сканера Maxpatrol 8 для анализа уязвимостей ИТКИ осуществлялось фактически в ежедневном режиме, что позволяло контролировать состояние защищенности узлов ИТКИ.
Данные в Maxpatrol SIEM поступали от систем обнаружения атак, средств управления ИТКИ, средств защиты, «песочниц», антивирусов, средств криптографической защиты информации, контроллеров доменов и сетевого оборудования. Это позволило до начала основного мероприятия обнаружить уязвимости информационной безопасности ИТКИ, предположить вероятные векторы компьютерных атак и провести работу по их недопущению.
В период проведения универсиады в офисе «МРСК Сибири» в Красноярске был организован круглосуточный центр мониторинга информационной безопасности с привлечением отдела кибербезопасности «МРСК Сибири», группы экспертов по информационной безопасности новосибирского филиала НТЦ «Атлас» и «Управления ВОЛС-ВЛ».
Центр мониторинга на протяжении всего мероприятия в круглосуточном режиме фиксировал аномальную активность, направленную на реализацию атак типа «отказ в обслуживании». В процессе мониторинга были обнаружены многочисленные атаки на узлы, доступные из интернета, с использованием инструментов внешнего проникновения (атаки на публичные веб-ресурсы, попытки эксплуатации уязвимостей), с использованием сканеров (сетевое сканирование и сканирование приложений), c использованием социальной инженерии (фишинговые письма). Кроме того, анализ вредоносных вложений из фишинговых писем показал, что некоторые письма были, предположительно, направлены группировками злоумышленников, специализирующихся на энергетических компаниях.
Всего с помощью Maxpatrol SIEM и Maxpatrol 8 в ходе универсиады было зафиксировано около 10 тыс. событий информационной безопасности. Все события были обработаны сотрудниками центра мониторинга. Инцидентов информационной безопасности, повлекших нарушения в работе объектов энергоснабжения мероприятия, допущено не было.
«Работа на универсиаде стала прекрасной возможностью протестировать средства защиты и мониторинга, а также обнаружить слабые места в защите инфраструктурных объектов, — отметили специалисты центра мониторинга. — Специалисты "МРСК Сибири" и "Управления ВОЛС-ВЛ" и НТЦ "Атлас" получили неоценимый опыт, который будет использован в дальнейшей работе. Центр мониторинга, построенный на базе Maxpatrol SIEM, Maxpatrol 8 и других современных средств защиты, продолжит расти в составе "МРСК Сибири" для защиты объектов этой компании».
«Как показывает наш опыт, масштабные события всероссийского и международного уровня требуют серьезной подготовки с точки зрения информационной безопасности. И речь не просто о работе в период таких событий. Необходимо организовать полноценный жизненный цикл: от заблаговременного аудита инфраструктуры, тестирования приложений с последующей их коррекцией до непрерывного контроля защищенности периметра, обнаружения угроз и применения необходимых технологий и средств защиты. Необходим постоянный мониторинг ИБ до, во время и после мероприятия, нацеленный на оперативное и своевременное выявление инцидентов, реагирование на них и их детальное расследование, — сказал Максим Филиппов, директор Positive Technologies по развитию бизнеса в России. — Ранее наши продукты и эксперты уже работали в составе центров мониторинга чемпионата мира по футболу 2018 года, Олимпиады в Сочи, универсиады в Казани и помогли избежать инцидентов ИБ на этих мероприятиях».
Короткая ссылка
