Как без потерь перестроить ИБ-инфраструктуру крупной энергокомпании

Безопасность

О чём эта история

В ответ на уход американской компании Citrix с российского рынка и потребность соответствовать требованиям регулятора на использование отечественного ПО, энергокомпания вынуждено заменила зарубежное программное обеспечение на российское, выбрав для защиты своего ИТ-периметра платформу «Вебмониторэкс» и ИТ-интегратора Крайон.

Решение включало не только размещение отечественного программного продукта без установки нового оборудования, но и корпоративное обучение сотрудников с последующей выдачей сертификатов о его успешном завершении.

Внедрение новой системы безопасности завершилось успешно, обеспечив компанию современным решением для мониторинга и защиты на высоком уровне.

Задача компании

Слово “крупный” вряд ли передаст истинный масштаб нашего заказчика - по итогам 2022 года это одна из топ-шести в мире энергокомпаний по объему производства угля, а также одна из крупнейших по выработке тепловой энергии в России. У них более 20 теплоэлектростанций, более 60 000 сотрудников и более 5 миллионов потребителей электроэнергии в России, а также постоянная модернизация производства.

Периметр ИТ-инфраструктуры энергокомпании включает в себя множество элементов, удаленных друг от друга физически, но объединенных в одну корпоративную сеть. Каждый такой элемент представляет собой значимый объект Критической Информационной Инфраструктуры (КИИ). Поэтому в соответствии с требованиями регулятора, в каждом подразделении должно быть обеспечено выполнение Приказа ФСТЭК №239, а именно – использование отечественного программного обеспечения для формирования безопасного периметра. Ранее эта компания использовала для защиты периметра Citrix WAF – ПО от американской компании, которая на сегодня официально ушла из РФ, и прекратила продажу и официальную поддержку всех своих продуктов.

Чтобы защитить свои системы и одновременно выполнить требования регулятора, энергокомпании требовалось заменить зарубежное ПО на российское. Однако, так как компания заказчика постоянно модернизирует все свои системы, новое решение должно было быть не просто аналогичным предыдущему, но и обладать расширенной функциональностью, чтобы отвечать увеличившимся потребностям в усиленной защите. Особенно с учётом возросшего количества атак, которым подверглись российские объекты ОКИИ, в том числе компании ресурсодобывающей и энергоснабжающей отраслей. Подход к выбору продукта был очень щепетильный, тем более что затраты на аппаратное обеспечение в рамках проекта не были предусмотрены.

Помимо этого, для заказчика было важна возможность пройти курс по работе с внедряемым ПО. Такое обязательство даже было включено ими в договор. Мы считаем для себя “правилом хорошего тона” проводить корпоративное обучение сотрудников по внедренным решениям и последующую информационную поддержку для своих клиентов, и этот случай не стал исключением. После внедрения нового ПО мы провели для сотрудников энергокомпании двухдневный курс и выдали им сертификаты об его успешном завершении.

Решение

В качестве замены Citrix WAF, мы предложили межсетевой экран для веб-приложений (Web Application Firewall, WAF) от компании Вебмониторэкс. Преимущество этой платформы в том, что данный программный комплекс производит мониторинг и управление сервисом Nginx, в обнаруживает атаки на веб-ресурсы с помощью модуля WAF. Платформа «Вебмониторэкс» также отслеживает различные статусы сервера через удобный графический интерфейс на русском языке без использования командной строки. Мы развернули всю систему на базе виртуализации внутри периметра, не прибегая к установке нового оборудования, что было одним из ключевых требований заказчика. Развертывание платформы «Вебмониторэкс» заняло 15 рабочих дней, за весь период реализации проекта никаких сложностей не возникло, а всё внедрение происходило в штатном режиме.

Вся работа проводилась совместно с ИТ-департаментом энергокомпании. В рамках подготовки была сформирована команда и составлен план проведения работ, а внедрение платформы было разделено на четыре этапа:

  1. этап – развертывание платформы «Вебмониторэкс» на серверах заказчика, подготовка балансировщика нагрузки и настройка конфигурации серверной части.
  2. этап – миграция правил WAF заказчика на новый WAF платформу «Вебмониторэкс».
  3. этап – настройка обработки входящего трафика семи веб-сайтов клиента.
  4. этап – проверка работоспособности платформы, нагрузочное тестирование, проверка корректности работы правил WAF.

Прим.: развертывание платформы «Вебмониторэкс» осуществлялось на Ubuntu 22.04.2 LTS (Jammy Jellyfish). Программное обеспечение было установлено и сконфигурировано в соответствии с требованиями документации по настройке, предоставленной вендором.

Прим.: Интеграция с веб-ресурсами заказчика была проведена путём проксирования трафика через ноды платформы «Вебмониторэкс» с преднастроеным Nginx.

После прохождения всех этапов мы провели итоговое тестирование и переключили обработку трафика на ноды платформы «Вебмониторэкс», которые теперь были размещены в периметре инфраструктуры энергокомпании. Заранее была проведена пилотная работа с семью веб-сервисами, в то время как всего у энергокомпании более 200 веб-ресурсов. После прохождения наших тренингов, сотрудники компании заказчика продолжили самостоятельно вносить на платформу «Вебмониторэкс» все остальные веб-сервисы в штатном режиме.

Отдельным преимуществом для них стали следующие функциональные особенности платформы «Вэбмониторэкс»:

  • мониторинг хостов, контейнеров, процессов и сети;
  • наблюдение за метриками, журналами, безопасностью, действиями пользователей в режиме all-in-one;
  • интеграция с системами аналитики для отслеживания логов приложений, контейнеров, облачных провайдеров, клиентов и т.д;
  • доступная работа с продуктом через API.

Результаты

Эксплуатация платформы «Вебмониторэкс» показала прекрасные результаты. Сейчас у заказчика есть полная уверенность в защите своих веб-сайтов от атак. Несмотря на кратный рост попыток злоумышленников получить доступ к информационным системам, с новой системой WAF от компании Вебмониторэкс, эта энергокомпания уже может реагировать на атаки молниеносно.

На сегодняшний день уязвимости периметра энергокомпании быстро закрываются благодаря виртуальному паттчингу, а новейшие типы атак распознаются очень быстро. Кроме того, у компании появилось понимание векторов атак, а следовательно, временной ресурс для оперативного исправления ошибок и закрытия точек потенциального проникновения в ИТ-систему. Только за период тестирования система отразила порядка 200 000 событий угроз по классификации OWASP TOP-10, а за период эксплуатации платформа защитила внешний периметр и значительно снизила нагрузку на инфраструктурные ресурсы.

С точки зрения выгод для бизнеса, заказчки получил зрелый эффективный продукт, который снизит расходы на сохранение целостности периметра. Кроме того, благодаря вариативности развертывания, компания также получила продукт on-premise, но без затрат на закупку и обслуживание аппаратного обеспечения.

Сейчас инфраструктура энергокомпании постоянно растёт, а вместе с ней растут и потребности в безопасности, в том числе и от кибератак. Заказчик проводит масштабирование за счёт добавления имеющихся веб-ресурсов под защиту платформы «Вебмониторэкс», таким образом обеспечивается постоянный мониторинг безопасности веб-приложений. А анализ сетевого трафика формирует индивидуальный профиль защищаемых ресурсов и блокирует любые вредоносные запросы.

Мнение

Читайте также