Обеспечивать кибербезопасность собственными силами сложно даже такой крупной компании, как Segezha Group. Часть работ лучше передать на аутсорсинг. В холдинге решили поручить мониторинг информационной безопасности и межсетевых экранов МТС RED SOC. О результатах проекта в интервью CNews рассказал Максим Королев, директор по ИБ Segezha Group.
Максим КоролевSegezha Group
«Некоторые предприятия холдинга являются градообразующими»
CNews: Расскажите, что представляет собой ИТ-инфраструктура холдинга Segezha Group и каковы особенности обеспечения ее информационной безопасности.
Максим Королев: Segezha Group — это вертикально интегрированный деревообрабатывающий холдинг. Он обеспечивает полный цикл переработки от лесозаготовки до выпуска готовой продукции. В холдинге работает около 20 тысяч сотрудников.
Предприятия Segezha Group находятся практически во всех областях Российской Федерации — от Карелии до Иркутской области. Все они разные. Компания росла путем слияний и поглощений. Приобретались активы с разным уровнем зрелости ИТ и, соответственно, информационной безопасности. Это создавало серьезные вызовы для информационной безопасности холдинга.
Кроме того, техника, которая используется при лесозаготовке, — это сложное высокотехнологичное оборудование. Она компьютеризирована, подключена к спутниковой связи, а значит ее тоже нужно защищать.
CNews: Какие киберриски для холдинга наиболее актуальны? Есть ли какая-то отраслевая специфика этих рисков?
Максим Королев: Предприятия Segezha Group относятся к объектам критической информационной инфраструктуры. А значит, мы должны защищать их в соответствии с действующим законодательством.
Некоторые предприятия холдинга являются градообразующими — они обеспечивают город теплом. На многих используются горюче-смазочные материалы и мазут, на целлюлозно-бумажном производстве даже прорабатывался проект с использованием серной кислоты. Поэтому, помимо корпоративной сети, мы должны также обеспечивать безопасность промышленных объектов, АСУТП.
Мы стараемся уделять больше внимания не бумажной безопасности — описанию моделей угроз, разработке регламентов реагирования, хотя все это у нас в необходимом объеме есть, а повышению квалификации команды, обеспечению максимальной защиты новейшими техническими средствами и повышению осведомленности пользователей.
CNews: Как на сегодняшний день выглядит ИБ-инфраструктура компании?
Максим Королев: Я работаю в Segezha Group с начала 2020 года. До моего прихода в компанию в ней использовалась собственная SIEM-система с выстроенной моделью реагирования. Но она не могла обеспечить необходимый уровень защиты инфраструктуры. Поэтому первое, чем я начал заниматься после прихода в холдинг, — это выстраивать взаимодействие с МТС RED SOC.
CNews: Какие функции и почему вы решили передать на аутсорсинг?
Максим Королев: На аутсорсинг передан мониторинг и выявление инцидентов информационной безопасности. Причины этого те же, что у большинства крупных компаний. Специалисты, которые способны это настраивать и не навредить, стоят достаточно дорого, и, поскольку работа ведется посменно, их должно быть несколько. Держать таких высокооплачиваемых специалистов и мотивировать их мы не имеем возможности. И дело не только в деньгах: у нас нет такого объема задач, чтобы мы могли обеспечить всем сменам полноценную занятость. Поэтому иногда аутсорсинг – это лучшее решение.
«После прихода в Segezha Group я перестал спокойно спать»
CNews: Как происходило подключение к сервису мониторинга МТС RED SOC?
Максим Королев: Мы заключили рамочный договор с МТС RED SOC, определились со стоимостью и начали техническую интеграцию. Уже через месяц мы развернули у себя несколько серверов сбора логов безопасности для передачи их в SOC, и от нас в SOC пошел поток событий с сетевых средств защиты и локальных хостов.
В результате мы увидели впечатляющую картину: в каждом филиале происходят достаточно серьезные события информационной безопасности. Это можно сравнить с тем, когда человек приходит делать операцию на глаза. До этого его мир был расплывчатым, и уже через 10 минут он изменился — человек четко увидел картину.
Я испытал примерно такие же чувства. Дело в том, что после прихода в Segezha Group я перестал спокойно спать: внешне все было спокойно, но я понимал, что это не потому, что все хорошо, а потому, что служба информационной безопасности не видит всю картину. SOC вернул мне контроль над ситуацией.
CNews: Каковы ваши впечатления от сотрудничества с МТС RED SOC?
Максим Королев: Там работают очень профессиональные ребята. Они базируются в Москве и Краснодаре. Коллеги обладают потрясающей проактивностью — постоянно что-то предлагают, рекомендуют: давайте попробуем это, донастроим корреляцию, начнем обрабатывать такие-то события. Давайте поможем вашим ИТ-специалистам: у нас есть информация, когда у вас начнут выходить из строя диски, — мы ее будем подсвечивать.
Когда мы категорировались по 187-ФЗ, у нас возникла обязанность передавать информацию об инцидентах в ГосСОПКА. МТС RED SOC предоставил нам такой сервис — теперь мы делаем это в личном кабинете нажатием одной кнопки мыши.
CNews: Какие процессы обеспечивает собственная ИБ-служба, а какие — аутсорсер?
Максим Королев: SOC МТС отвечает за мониторинг и выявление инцидентов. У его специалистов нет доступа в нашу инфраструктуру, они только подсвечивают, что происходит, а реагирование на инциденты обеспечивает наша команда.
И SOC, и мы работаем в режиме 24/7. Если инцидент низкого или среднего уровня критичности, его отрабатывают специалисты на местах.
CNews: Происходили ли за это время крупные инциденты?
Максим Королев: Инциденты происходят постоянно. Просто раньше в компании не был настроен мониторинг информационной безопасности, и о них никто не знал. Когда мы подключились к SOC МТС, мы увидели целый поток инцидентов. Большинство из них было связано со внутренними нарушителями — работниками компании.
В течение года мы занимались повышением их киберграмотности, настраивали политики прав доступа, элементы защиты. И к 2021 году поток инцидентов от сотрудников почти прекратился. Сейчас выстроена стабильная работа всех систем защиты, персонал понял, что можно, а что нельзя, правила игры стали более четкими и понятными.
Один из самых интересных инцидентов был, когда в период пандемии администратор подключился к сети с домашнего ноутбука, зараженного вирусом Petya, начал настраивать компьютер другого пользователя, заразил его, и шифровальщик Petya начал искать, куда переместиться дальше. На этом этапе он был обнаружен системами анализа сетевого трафика, и через МТС RED SOC эта информация была нам эскалирована в качестве инцидента. Вирус удалось быстро заблокировать, он не нанес никакого ущерба.
Еще одна история. Электрики одного из цехов в Лесосибирске, это Красноярский край, принесли свой коммутатор, подключились к нашей сети и начали выходить в интернет. Одно из подключенных устройств оказалось заражено целым букетом вирусов, и мы с помощью МТС RED SOC это обнаружили, заблокировали, провели воспитательную беседу, сделали рассылку по всей компании. Больше такого не повторяется.
В целом у нас прописаны достаточно жесткие критерии по времени реакции МТС RED SOC на инциденты, и мы контролируем выполнение всех показателей в режиме реального времени в личном кабинете. Ребята оповещают нас об инцидентах чуть ли не в два раза быстрее, чем предусмотрено договором.
Кроме того, мы проводим ежегодные пентесты, во время которых, помимо прочего, мы проверяем, как аналитики МТС RED SOC «видят» действия атакующих. И каждый раз они «подсвечивают» все, что делают пентестеры. Также, когда мы пилотируем новый сканер уязвимостей, МТС RED SOC незамедлительно сообщает о его активности.
«Главный вызов — это отказ от средств защиты иностранных производителей»
CNews: Какие основные вызовы вы видите и какие ставите цели в сфере кибербезопасности Segezha Group в ближайшей перспективе?
Максим Королев: Главный вызов — это отказ от средств защиты иностранных производителей. Насколько я знаю, МТС RED SOC недавно полностью перешел на отечественные средства защиты. Для нас этот переход произошел абсолютно незаметно и бесшовно. И для меня это показатель высокого профессионализма.
Теперь очередь за нами. Если считать в элементах, то у нас осталось около 20% иностранных продуктов. К концу 2024 года, надеюсь, будет 15%. И что с ними делать, не очень понятно. Пока на рынке нет российских межсетевых экранов нового поколения, способных предоставить производительность и функциональность к которой мы привыкли. Возможно, скоро ситуация изменится — российские компании активно развиваются и каждый день приносит хорошие новости. Надеюсь, скоро мы получим хорошие межсетевые экраны, доступные и, самое главное, не сказочно дорогие.
Конечно, мы стремимся постоянно повышать квалификацию своих специалистов и мотивировать их. Это очень важно, ведь в конечном счете безопасность обеспечивают не только и не столько системы защиты, сколько люди работающие с этими системами.
Еще одна важная задача — повышать киберзащищенность наших филиалов. Как я уже говорил, на момент вхождения в состав холдинга все они находились на разном уровне ИТ и ИБ зрелости, их интеграция происходит постепенно. При подключении нового актива мы присваиваем ему нулевой уровень доверия, тщательно анализируем исходящий трафик. Потом начинаем распространять на него наши средства ИБ, подключаем к аналитике МТС RED SOC, и он становится прозрачным. Если даже в нем возникнет вредоносная активность, мы ее заметим и отработаем на раннем этапе.