29/04/25
Служба обеспечения деятельности финансового уполномоченного (АНО «СОДФУ»), учрежденная в 2018 году Банком России, внедрила MaxPatrol SIEM для мониторинга событий ИБ и управления инцидентами информационной безопасности.
СОДФУ обладает сложной ИT-инфраструктурой с большим количеством активов, среди которых в том числе удаленные рабочие места сотрудников. Поэтому в 2020 году стала очевидна потребность организации в обеспечении полной видимости инфраструктуры и мониторинга событий информационной безопасности. Для этого было принято решение внедрить систему класса SIEM, которая контролировала бы происходящее в инфраструктуре и отслеживала бы ее изменения в реальном времени. Кроме того, специалистам было важно, чтобы система контролировала полноту и качество сбора событий ИБ с активов.
Стремясь максимально защитить данные клиентов, СОДФУ соблюдает требования к безопасности, выдвигаемые регуляторами (ФСТЭК России, ФСБ России, нормативными актами, распространяемыми на КИИ, ГИС и ИСПДн, указ Президента РФ от 30 марта 2022 г. № 166 и указ Президента РФ от 1 мая 2022 г. № 250 по переходу на использование отечественного ПО). Поэтому служба рассматривала только продукты, входящие в реестр отечественного ПО и соответствующие ГОСТ Р 57580.1-2017 о безопасности финансовых операций.
Кроме того, для эффективного обнаружения киберугроз и расследования инцидентов специалистам службы необходима была возможность синергии SIEM-системы с другими инструментами. Этому требованию смог удовлетворить MaxPatrol SIEM — продукт интегрирован с другими решениями Positive Technologies, в частности с MaxPatrol VM. MaxPatrol SIEM поддерживает работу с большинством современных средств защиты, сетевых устройств и операционных систем.
«MaxPatrol SIEM для нас — это единая точка сбора событий кибербезопасности и оповещений об атаках, поступающих с 1800 активов организации, — комментирует Денис Савельев, начальник отдела безопасности и защиты информации, СОДФУ. — К SIEM-системе подключены рабочие станции, офисное и сетевое оборудование, серверы, принтеры, телефония, а также средства защиты других вендоров: антивирусные программы, DLP-система. В связи с тем, что часть активов находится за внешним периметром, для сбора данных использовалась нестандартная схема подключения: SIEM-система была размещена внутри защищаемой инфраструктуры, а коллектор сбора логов — на периметре. Гибкость MaxPatrol SIEM в получении информации с ИT-систем стала для нас решающим фактором».
Средний поток событий безопасности, обрабатываемых MaxPatrol SIEM, составляет 1800 в секунду. Помимо 1300 правил корреляции и более 9000 правил нормализации из «коробки», специалисты СОДФУ разрабатывают собственные правила, чтобы детектировать специфические для компании киберугрозы.
«Безопасность ИT-инфраструктуры — первоочередная задача специалистов службы ИБ, — отмечает Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies. MaxPatrol SIEM выявляет инциденты ИБ, способные привести к реализации недопустимых событий, и попытки нарушения киберустойчивости компании».
Организация также использует MaxPatrol VM, с помощью которой выстраивает полный цикл управления уязвимостями. Интеграция MaxPatrol SIEM и MaxPatrol VM позволяет обеспечить прозрачность ИT-инфраструктуры и повысить точность и скорость детектирования атак.
Также специалистам СОДФУ интересно использование ML-технологий, в частности модуля Behavioral Anomaly Detection (BAD) для обнаружения аномального поведения пользователей или сущностей в ИT-инфраструктуре организации и оценки степени риска событий.
