Представьте,что ваша компания — это крепость. Что самое важное в крепости? Правильно — её неприступность. Именно такую непреодолимую защиту может обеспечить система MaxPatrol SIEM, которую протестировал и затем внедрил крупнейший распространитель государственных лотерей в России. И да, это те самые лотереи, которые проводятся подстрогим глазом Министерства финансов, Министерства спорта и налоговой службы России. Поэтому любая утечка данных по транзакциям или пользователям грозит значительными потерями финансов и репутации, а также болезненными санкциями от регулятора.

Организация, обратившаяся в Крайон, является крупнейшим распространителем всероссийских государственных лотерей, организаторами которых являются Министерство финансов РФ и Министерство спорта РФ. С 2014 года все лотереи в России — государственные и проводятся под надзором Федеральной налоговой службы. Вся инфраструктура компании, а также все транзакционные данные и любая персональная информация пользователей, которые передаются либо хранятся у распространителя лотерейных билетов, должны быть под надежной защитой. Любая киберугроза, в том числе утечки могут повлечь за собой не только финансовые, но также значительные репутационные потери, а также серьезные санкции со стороны контролирующего органа.

Поэтому перед компанией стояла цель — обеспечить высокий уровень информационной безопасности ИТ-инфраструктуры, внедрить эффективную систему мониторинга событий ИБ, оперативно выявлять все подозрительные инциденты и вовремя предпринимать необходимые действия при потенциальной атаке.

Приняв во внимание цели, задачи и требования клиента, эксперты Крайон предложили внедрить MaxPatrol SIEM – систему мониторинга событий ИБ и управления инцидентами от Positive Technologies. Благодаря зрелости продукта (MaxPatrol SIEM – основа крупнейших SOC (security operations center) в России, лидер рынка SIEM в России), ежемесячно пополняемой экспертизе о новейших тактиках и техниках злоумышленников, постоянном обновлении и доработке существующих правил, отказоустойчивости, быстрой обработке данных, понятной настройке правил корреляций и наличию удобных отчетов, система MaxPatrol SIEM наиболее полно подошла под требования клиента. Её высокая производительность позволяет обрабатывать более 540 тысяч событий в секунду на одном ядре с полной экспертизой, что дает отделу ИБ полную видимость даже такой сложной и масштабной ИТ-инфраструктуры, как у крупных компаний-распространителей государственных лотерей.

Помимо этого, внутри MaxPatrol SIEM есть ML-помощник. Это модуль BAD (Behavioral Anomaly Detection), который может использоваться не только для получения second opinion (второго мнения), но и для выявления целенаправленных атак и неизвестных уязвимостей и угроз.

«MaxPatrol SIEM – лидирующее отечественное SIEM-решение, которое мы разрабатываем и совершенствуем уже более 9 лет. Мы регулярно поставляем в MaxPatrol SIEM экспертизу об актуальных киберугрозах, а также рекомендации по работе с системой, активно вкладываемся в Analyst Experience, делаем продукт проще и удобнее. Все для того, чтобы максимально снизить порог для начала работы с продуктом. Сейчас нам удалось сократить период обучения с пяти месяцев до двух недель», – комментирует Дмитрий Дичияну, ведущий менеджер по работе с клиентами, Positive Technologies.

До начала процесса внедрения техническая команда Axoft (дистрибьютор решений Positive Technologies) совместно с ИБ-специалистами Крайон при поддержке ИТ-департамента клиента провели обследование ИТ-инфраструктуры, на основе которого была выбрана и согласована архитектура решения. Затем в первую очередь были настроены и подключены критически значимые источники, затем остальные серверы, базы данных, сетевые устройства и рабочие станции. Для работы с событиями ИБ на активах инженеры создали ряд фильтров, статических и динамических групп, а также специальных виджетов. Чтобы снизить количество ложноположительных срабатываний, экспертами также Крайон были настроены правила корреляции. Значительно упростила интеграцию база знаний PT Knowledge Base, доступная всем пользователям MaxPatrol SIEM.

Крайон уделила отдельное внимание сборке специализированных дашбордов и выводу информации о событиях ИБ в интуитивно понятном графическом виде. Это позволило оптимизировать работу операторов SIEM-системы и повысить её эффективность: так, за два первых месяца использования MaxPatrol SIEM компании удалось выявить порядка 2000 инцидентов ИБ, 100 из которых имели высокий уровень опасности.

Весь проект от поставки до внедрения и запуска решения был проведен экспертами Крайон в короткие сроки. Не в последнюю очередь благодаря подробной документации и профессиональной поддержке инженеров Axoft, которая позволила оперативно решить все вопросы, связанные с настройкой MaxPatrol SIEM. По результатам пилотного проекта была проведена демонстрация работы решения и его функциональных возможностей для ИТ-специалистов компании-заказчика, что дало им возможность начать использовать систему выявления инцидентов ИБ здесь и сейчас, без длительного обучения.

В отделе кибербезопасности компании-заказчика отметили, что с внедрением новой системы повысилась прозрачность ИТ-активов, появилась единая точка мониторинга безопасности и цельное видение периметра. Всё это значительно облегчает работу офицеров безопасности и позволяет автоматизировать множество рутинных задач, сосредоточив внимание на критически важных инцидентах и уязвимостях.