Поделиться
Как российский софт и технологии ИИ помогают устранить «белые пятна» в защите Свердловского региона
Ежедневно через государственные информационные системы проходят огромные объемы чувствительной информации, атаки на инфраструктуру правительственных организаций могут привести к дестабилизации подведомственных структур, а в худшем случае, повлечь за собой угрозу национальной безопасности. По последним данным, на государственный сегмент пришлось 17% всего объема кибератак (исследование Positive Technologies 2025). Кроме того, не только растет количество (для сравнения: в 2023 году этот показатель составлял 15%), но и совершенствуются техники и методы их реализации.
Чтобы сохранять необходимый уровень надежности инфраструктуры информационной безопасности в таких условиях, государственным структурам важно выстроить эффективную защиту. Этой цели придерживается правительство Свердловской области. Во многом благодаря такому подходу регион вошел в десятку субъектов РФ, получивших максимальный балл по показателю «Информационная безопасность» в Федеральной государственной информационной системе координации информатизации и за три года поднялся с 74 позиции на 6 место в рейтинге цифровой трансформации среди субъектов РФ. Далеко не последнюю роль в этом сыграли предпринятые меры по усилению защиты инфраструктуры. Одним из шагов на этом пути стало внедрение метапродукта Positive Technologies MaxPatrol O2 – впервые в региональном правительстве. Подробнее о ходе работ и результатах рассказали представители группы компаний «Анлим», реализующей внедрение решения в инфраструктуру региона.
На пути к автопилоту кибербезопасности
Информационные ресурсы правительства Свердловской области представляют собой сложноорганизованную структуру. На старте работ она включала множество систем и разрозненных инфраструктур. Работа осуществлялась в условиях сильной нехватки кадров. Наряду с этим системы защиты информации генерировали непрерывный поток событий, разобраться с которыми, определить ложноположительные срабатывания и отработать реальные было достаточно сложно из-за нехватки ресурсов или квалификации. В таких условиях упустить инцидент легко. Злоумышленники стремятся мимикрировать под легитимную деятельность и, чтобы их обнаружить, приходится работать с максимумом данных. Как следствие, ложноположительные сработки — это норма мониторинга ИБ, без них невозможно обеспечить качественный детект.
Чтобы изменить ситуацию и повысить уровень информационной безопасности региона, специалисты правительства Свердловской области в течение нескольких лет проводили работы по структуризации и систематизации инфраструктуры. В результате пришли к ключевому выводу: необходима система, которая оперативно реагирует на атаки и избавляет от необходимости постоянного мониторинга ложноположительных срабатываний из большого количества информационных систем.
Михаил Пономарьков, министр цифрового развития и связи Свердловской области
«В ходе активного развития цифровой инфраструктуры региона мы пришли к пониманию необходимости ее структуризации и систематизации. Изначально разрозненные элементы цифровых сервисов требовали более централизованного подхода к управлению и защите.
Осознание важности усиления безопасности пришло с ростом числа киберугроз и изменениями в геополитической ситуации в мире. Стало очевидно, что без четкой структуры и централизованного управления мы рискуем столкнуться с серьезными проблемами в защите данных.
Было принято решение о систематизации всей цифровой инфраструктуры региона. Это позволило не только повысить уровень информационной безопасности, но и значительно улучшить эффективность управления цифровыми ресурсами, создав надежную основу для дальнейшего технологического развития», — поделился министр цифрового развития и связи Свердловской области Михаил Пономарьков.
Максим Овсянников, основатель группы компаний «Анлим»
«Перед нами стояли амбициозные задачи. Несмотря на многочисленные технические и организационные препятствия, совместно с правительством Свердловской области мы последовательно двигались к трансформации существующей системы управления информационной безопасностью.
Технологические особенности MaxPatrol O2 сыграли ключевую роль в достижении этих целей. Система, оснащенная передовыми алгоритмами машинного обучения и искусственного интеллекта, позволяет автоматически обнаруживать атаки на ранних стадиях. Интеграция множества сенсоров и анализаторов обеспечивает мониторинг всех ключевых точек IT-инфраструктуры в режиме реального времени, что гарантирует высокую точность и оперативность реагирования на инциденты», — отметил Максим Овсянников, основатель группы компаний «Анлим».
Почему MaxPatrol O2?
MaxPatrol O2 — это метапродукт, который способен автоматически обнаружить злоумышленника, определить захваченные им ресурсы и остановить атаку до нанесения непоправимого ущерба.
Решение позволяет максимально снизить включение человека в процесс мониторинга и уменьшить время реагирования на атаку, что очень важно в условиях кадрового голода. Внедрение предполагает возможность уменьшить количество необходимых ИБ-специалистов, не завышать требования к их квалификации и, самое главное, помогает снизить количество ложноположительных срабатываний и риски упустить реальную атаку.
Поэтапное внедрение
MaxPatrol O2 — сложное решение, требующее определенного уровня зрелости ИБ организации. Еще до начала работ важно понимать, что внедрение любого средства защиты информации — это не панацея. Злоумышленник все равно сможет быстро проникнуть в инфраструктуру, если она изначально содержит в себе неустраненные уязвимости. Поэтому, прежде чем перейти к внедрению, необходимо реализовать немалый объем технической работы: аудит инфраструктуры, харденинг и корректная настройка всех систем. Этот этап можно назвать нулевым, только после его прохождения можно перейти к первому этапу внедрения.
Илья Куриленко, заместитель генерального директора по развитию группы компаний «Анлим»
«Система специализируется на автоматическом обнаружении и предотвращении инцидентов в IT-инфраструктуре организации, действуя в режиме реального времени. В процессе пилотного запуска мы выполнили настройку и оптимизацию сетевых компонентов для обеспечения бесперебойной работы системы; интеграцию с существующими ИТ-решениями и адаптацию под корпоративную архитектуру; настройку корректной работы с другими продуктами Positive Technologies; внедрение в соответствии с установленными регламентами и процедурами организации и прочее», — рассказывает Илья Куриленко, заместитель генерального директора по развитию группы компаний «Анлим».
Этап 1. Определение недопустимых событий
Недопустимым считается событие, которое может возникнуть в результате кибератаки и приводит к нарушению или полному прекращению основных процессов организации или невозможности достижения ее главных целей, что может стать причиной существенного ущерба организации. Например, отказ систем оповещения населения о ЧС, остановка производства и масштабный брак продукции, искажение информации на официальных сайтах органов власти, утеря ключевой интеллектуальной собственности (уникальных чертежей, рецептуры).
Недопустимые события определяются на первом этапе, чтобы на старте сформировать понимание, что критично важно защитить в первую очередь. Чтобы правильно внедрить и настроить MaxPatrol O2, определить ключевые и целевые системы.
Этап 2. Определение целевого сегмента
Так как инфраструктура правительства Свердловской области масштабная, решение внедрялось постепенно. Первым сегментом стала инфраструктура одного из подведомственных учреждений, размещенная в ЦОД правительства. Были определены те системы, которые могут стать целью злоумышленника, и те, которые обеспечивают их функционирование.
Этап 3. Изучение инфраструктуры целевого сегмента
На этом этапе специалисты сформировали понимание о том, из чего состоит защищаемая инфраструктура (серверы, рабочие места пользователей и администраторов, сети и прочее), какие взаимосвязи настроены, какое программное обеспечение используется. Проведя таким образом инвентаризацию, они ожидаемо выявили проблемы с безопасностью: «непропатченные» уязвимости, слабое разграничение доступа, небезопасные конфигурации. В результате разработали план по харденингу инфраструктуры, который безотлагательно был принят в работу.
Этап 4. Настройка эффективного взаимодействий систем, установленных средств защиты информации и MaxPatrol O2
Для качественной работы MaxPatrol O2 необходим полноценный охват защищаемой инфраструктуры решениями, осуществляющими фиксацию и сбор событий на уровне хостов и сети. Такими средствами являются решения классов SIEM и NTA.
На этом этапе специалисты закрыли «белые пятна», корректно настроили систему мониторинга и безопасности.
Важно было не только обеспечить сбор событий со всей инфраструктуры, но и проконтролировать, что собираются именно те данные, которые необходимы для корректной работы системы, минимизируя при этом нагрузку на сеть.
Этап 5. Тестирование продукта
Чтобы максимально наглядно продемонстрировать эффективность работы MaxPatrol O2, необходимо было имитировать кибератаку, для этого специалисты провели тестирование на проникновение (пентест). Команда этичных хакеров построила вектор реализации недопустимого для сервисов Правительства Свердловской области события и предприняла попытку по его осуществлению.
MaxPatrol O2 отслеживал действия условного злоумышленника на каждом из этапов атаки, как на конечных узлах, так и при перемещении внутри сети. При этом можно было в режиме реального времени видеть саму атаку и предлагаемые системой методы реагирования.
Этап 6. Подведение итогов
В результате пентеста выбранного целевого сегмента правительства Свердловской области решение MaxPatrol O2 обнаружило атаки, построило их цепочки, аргументировав свой вывод для ИБ-специалистов, после чего подсказало, что необходимо предпринять, чтобы остановить продвижение злоумышленника.
Сергей Шуичков, директор по развитию бизнеса компании Axoft в Уральском федеральном округе
«MaxPatrol O2 в режиме реального времени обнаружил киберинцидент и построил цепочку атаки. Это стало возможным благодаря грамотному покрытию активов заказчика системой мониторинга и сбору критичных событий безопасности. Архитектура решения позволяет без затруднения масштабироваться в инфраструктуре Правительства Свердловской области, при этом не повышая нагрузку на штатных специалистов информационной безопасности», — считает Сергей Шуичков, директор по развитию бизнеса компании Axoft в Уральском федеральном округе.
Что дальше?
Так как тестирование на выделенном сегменте было успешным и эффективность системы подтвердилась на практике, правительство Свердловской области запланировало работы по настройке MaxPatrol O2 для масштабирования на другие объекты защиты внутри общей инфраструктуры и расширение возможностей продукта за счет его перевода из режима обнаружения атак в режим их автоматического предотвращения.
Михаил Пономарьков, министр цифрового развития и связи Свердловской области
«Процесс пилотного запуска показал высокий потенциал системы. Она доказала свою эффективность в условиях реальной эксплуатации, что вселяет уверенность в правильности выбранного направления развития. Мы удовлетворены результатами тестирования и готовы к масштабированию проекта.
В наших планах — дальнейшее развитие системы и расширение её функционала до автоматического реагирования. Мы нацелены на создание комплексной защиты цифровой инфраструктуры региона, что позволит не только повысить уровень безопасности, но и обеспечить бесперебойную работу всех цифровых сервисов», — комментирует Михаил Пономарьков, министр цифрового развития и связи Свердловской области.
Короткая ссылка
