Продукты компании Positive Technologies MaxPatrol SIEM и MaxPatrol 8 помогли ПАО «МРСК Сибири» и группе компаний «Россети» обеспечить информационную безопасность состоявшейся в Красноярске ХХIХ Всемирной зимней универсиады 2019 года. Соревнования и мероприятия культурной программы посетили более 320 тысяч зрителей и болельщиков.
В соответствии с договором с АО «Управление ВОЛС-ВЛ» в ПАО «МРСК «Сибири» была создана система сбора, корреляции и управления событиями информационной безопасности на базе MaxPatrol SIEM. В рамках подготовительных мероприятий по обеспечению мониторинга защиты информационно-телекоммуникационной инфраструктуры (ИТКИ) ключевых объектов энергоснабжения зимней универсиады 2019 года специалистами ПАО «МРСК Сибири» и АО «Управление ВОЛС-ВЛ» была произведена интеграция SIEM-системы, подключены дополнительные источники событий практически со всех технических средств ИТКИ, что в последующем позволило использовать SIEM-систему в качестве одного из основных инструментов мониторинга защищенности. Применение сканера MaxPatrol 8 для анализа уязвимостей ИТКИ осуществлялось фактически в ежедневном режиме, что позволяло контролировать состояние защищенности узлов ИТКИ.
Данные в MaxPatrol SIEM поступали от систем обнаружения атак, средств управления ИТКИ, средств защиты, «песочниц», антивирусов, средств криптографической защиты информации, контроллеров доменов и сетевого оборудования. Это позволило до начала основного мероприятия обнаружить уязвимости информационной безопасности ИТКИ, предположить вероятные векторы компьютерных атак и провести работу по их недопущению.
В период проведения универсиады в офисе ПАО «МРСК Сибири» в Красноярске был организован круглосуточный центр мониторинга информационной безопасности с привлечением отдела кибербезопасности ПАО «МРСК Сибири», группы экспертов по информационной безопасности новосибирского филиала ФГУП НТЦ «Атлас» и АО «Управление ВОЛС-ВЛ».
Центр мониторинга на протяжении всего мероприятия в круглосуточном режиме фиксировал аномальную активность, направленную на реализацию атак типа «отказ в обслуживании». В процессе мониторинга были обнаружены многочисленные атаки на узлы, доступные из интернета, с использованием инструментов внешнего проникновения (атаки на публичные веб-ресурсы, попытки эксплуатации уязвимостей), с использованием сканеров (сетевое сканирование и сканирование приложений), c использованием социальной инженерии (фишинговые письма). Кроме того, анализ вредоносных вложений из фишинговых писем показал, что некоторые письма были, предположительно, направлены группировками злоумышленников, специализирующихся на энергетических компаниях.
Всего с помощью MaxPatrol SIEM и MaxPatrol 8 в ходе универсиады было зафиксировано около десяти тысяч событий информационной безопасности. Все события были обработаны сотрудниками центра мониторинга. Инцидентов информационной безопасности, повлекших нарушения в работе объектов энергоснабжения мероприятия, допущено не было.
«Работа на универсиаде стала прекрасной возможностью протестировать средства защиты и мониторинга, а также обнаружить слабые места в защите инфраструктурных объектов, — отмечают специалисты центра мониторинга. — Специалисты ПАО "МРСК Сибири", АО "Управление ВОЛС-ВЛ" и ФГУП НТЦ "Атлас" получили неоценимый опыт, который будет использован в дальнейшей работе. Центр мониторинга, построенный на базе MaxPatrol SIEM, MaxPatrol 8 и других современных средств защиты, продолжит расти в составе "МРСК Сибири" для защиты объектов этой компании».
«Как показывает наш опыт, масштабные события всероссийского и международного уровня требуют серьезной подготовки с точки зрения информационной безопасности. И речь не просто о работе в период таких событий. Необходимо организовать полноценный жизненный цикл: от заблаговременного аудита инфраструктуры, тестирования приложений с последующей их коррекцией до непрерывного контроля защищенности периметра, обнаружения угроз и применения необходимых технологий и средств защиты. Необходим постоянный мониторинг ИБ до, во время и после мероприятия, нацеленный на оперативное и своевременное выявление инцидентов, реагирование на них и их детальное расследование, — прокомментировал успешные результаты работы MaxPatrol SIEM и MaxPatrol 8 в составе центра мониторинга универсиады Максим Филиппов, директор Positive Technologies по развитию бизнеса в России. — Ранее наши продукты и эксперты уже работали в составе центров мониторинга чемпионата мира по футболу 2018 года, Олимпиады в Сочи, универсиады в Казани и помогли избежать инцидентов ИБ на этих мероприятиях».