Проект по внедрению SIEM-системы в Трубной Металлургической Компании был продиктован необходимостью обеспечения автоматизированного сбора и централизованного хранения событий безопасности из разных подсистем. Для решения этих задач ТМК выбрала MaxPatrol SIEM от Positive Technologies, так как его можно подключать к любым внешним системам посредством разработки интеграционных модулей (коннекторов). В пользу продукта в том числе сыграли ежемесячная поставка пакетов экспертизы с актуальными способами обнаружения угроз, прозрачный Roadmap, широкие возможности к масштабированию, производительность системы (до 40 000 событий в секунду) и наличие сертификата ФСТЭК России.
«Проект позволил ТМК в сжатые сроки интегрировать SIEM-систему в инфраструктуру информационной безопасности компании с учетом ее особенностей и реализованных процессов, а разработанные интегратором модули позволили полноценно считать SIEM-систему центральным звеном ландшафта информационной безопасности компании, — прокомментировал Дмитрий Якоб, директор по информационным технологиям «ТМК». — Мы уже ощутили конкретную пользу от MaxPatrol SIEM во время роста количества атак в период карантинных мер, связанных с противодействием вирусу COVID-19. Благодаря проактивным действиям и внедренному решению мы успешно справились с этим вызовом».
Для подключения MaxPatrol SIEM к информационным системам ТМК, взаимодействие с которыми не поддерживалось «из коробки», инженеры «Инфосистемы Джет» разработали четыре интеграционных модуля. Один из них проектная команда создала для сбора и обработки событий из облачных сервисов Microsoft 365 и Azure, реализовав первую интеграцию MaxPatrol SIEM с этими продуктами. Другой модуль предназначен для сбора информации, необходимой при расследованиях ИБ-инцидентов, из базы данных управления конфигурациями. Еще два модуля специалисты разработали для расширенной интеграции SIEM-системы со службой каталогов Active Directory (AD) и взаимодействия с созданной в ТМК платформой киберразведки.
«Перед нами стояла задача внедрить SIEM в компании с одной из самых зрелых систем информационной безопасности среди крупных промышленных предприятий в России. Продвинутые технические компетенции специалистов и высокий уровень зрелости процессов заказчика, продуктивное взаимодействие с командой вендора и собственная экспертиза помогли нам справиться с нетривиальной задачей и гармонично вписать решение в экосистему информационной безопасности ТМК», — отметил Андрей Янкин, директор Центра информационной безопасности компании «Инфосистемы Джет».
Согласно исследованию Positive Technologies, в 2019 году количество кибератак увеличилось на 19%. При этом доля атак на промышленные компании выросла драматически ― с 4% до 10%. Сегодня эта отрасль находится под прицелом у более чем двадцати АРТ-группировок.
«В условиях стремительного роста киберинцидентов компании, объективно оценивающие риски и последствия кибератак, уже не могут позволить себе работать без автоматизированных систем, выявляющих инциденты в режиме реального времени: для них внедрение системы класса SIEM сегодня входит в обязательный минимум в части обеспечения информационной безопасности», ― рассказал Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.