Заказчики: Северсталь Москва; Металлургическая промышленность Подрядчики: Инфосистемы Джет Продукт: HPE ArcSight ESM (Security Information and Event Management, SIEM)Дата проекта: 2015/03 — 2015/08
|
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Управление информацией и событиями в системе безопасности (SIEM)
|
16 октября 2015 года компании «Северсталь» и «Инфосистемы Джет» сообщили о запуске единого инструмента, автоматизирующего процесс сбора, хранения, анализа и управления событиями информационной безопасности (ИБ).
Ход проекта
Система управления событиями ИБ реализована на основе продукта HP ArcSight ESM. Под действие проекта попали три распределенные географически площадки компании «Северсталь» в европейской части Российской Федерации.
"Северсталь" (2013)
Эксперты компании «Инфосистемы Джет», используя данные по ИТ-инфраструктуре компании «Северсталь» и действующие процессы обеспечения и управления ИБ, создали проект и внедрили систему управления событиями. Эволюция в развитии российских средств защиты от сетевых угроз: как Kaspersky NGFW меняет расстановку сил на рынке
На 16 октября 2015 года к ней подключено более 400 различных источников (в том числе журналы ОС, СУБД, средств антивирусной защиты, сетевой защиты и пр.), настроено более 100 специализированных правил. Для информационного обогащения проведена интеграция с рядом систем, для которых разработаны дополнительные коннекторы: SAP Business Objects, СКУД, портал ИТ-услуг и др.
Выполнена интеграция с системой контроля защищенности и соответствия стандартам (MaxPatrol), предварительно внедренной в ИТ-инфраструктуру компании «Северсталь» (всего более 4 тыс. единиц оборудования, включая рабочие станции и серверы под управлением ОС Microsoft Windows и Unix, сетевое оборудование, СУБД MS SQL и Oracle). Созданный на основе этой системы инструмент в автоматическом режиме по расписанию проводит инвентаризацию всей инфраструктуры, определяет уровень защищенности ее компонентов, выявляет уязвимости информационных ресурсов и оповещает о них, формирует рекомендации по их устранению в соответствии с настроенными политиками безопасности (корпоративными и отраслевыми).
Итог проекта
«Мы получили единую консоль мониторинга событий ИБ от большого количества разнородных систем. Из этих событий, по статистике, несколько десятков оказываются инцидентами с различным уровнем критичности, – поведал Константин Иванов, менеджер управления обеспечения информационной безопасности компании "Северсталь". – Нам также удалось свести к минимуму объем ручной обработки данных, и теперь у нас есть возможность оперативно принимать решения на основе аналитики глубиной до полугода».
В результате внедрения ИБ-служба компании «Северсталь» получила возможность проактивно выявлять инциденты ИБ, связанные с эксплуатацией злоумышленниками уязвимостей базовых компонентов информационных систем, отсутствием обновлений или небезопасными настройками.
«Созданная система по своим параметрам шире, нежели классический SIEM, – пояснил Евгений Акимов, директор по развитию бизнеса Центра информационной безопасности компании "Инфосистемы Джет". – За счет более глубокой проработки правил с учетом особенностей процессов и ИТ-инфраструктуры компании (например, по нарушениям парольных политик, нетипичному пользовательскому поведению в домене, аномальной сетевой активности и пр.) система создает инциденты, обогащенные дополнительной информацией и связанными последовательностями событий, что на порядок упрощает и ускоряет процесс расследования».
В системе реализована ролевая модель доступа пользователей, позволяющая разграничивать зоны ответственности и набор доступных к использованию инструментальных средств в соответствии с присвоенными им правами (администратор или аналитик). Одновременно с системой могут работать до 10 человек, используя единую консоль или веб-интерфейс.