«Таможенная карта» обеспечивает непрерывность бизнеса с помощью MaxPatrol SIEM

К SIEM-системе были подключены рабочие станции и источники с наибольшим количеством событий — контроллеры домена, прокси-серверы и межсетевой экран (всего около 100 узлов)

Платежная система «Таможенная карта» отслеживает события безопасности и выявляет инциденты при помощи MaxPatrol SIEM LE. В результате служба ИБ компании может получать полную информацию об инфраструктуре в любой момент, автоматически выявлять проблемные и новые активы, аномалии, подозрительные активности в инфраструктуре. Это помогает обеспечить непрерывность бизнеса компании в соответствии с установленным SLA: все виды финансовых операций проводятся в любом таможенном органе на территории России в режиме 24/7.

Основная задача «Таможенной карты» ― совершенствование системы уплаты таможенных платежей и сокращение сроков таможенного оформления товаров. На сегодняшний день в числе участников платежной системы более семидесяти государственных и частных банков и более шестидесяти таможен. Ежемесячный объем денежного оборота платежной системы составляет от 50 до 70 млрд руб. Поэтому вопросам непрерывности бизнеса и надежности финансовых транзакций уделяется первостепенное значение, в том числе с точки зрения информационной безопасности.

До внедрения SIEM-системы анализ событий безопасности в «Таможенной карте» проводился вручную, что не позволяло оперативно реагировать на обнаруженные угрозы. Конфигурации сетевых узлов регулярно меняются (практика Positive Technologies показывает, что в течение года инфраструктура любой организации обновляется в среднем на треть), и отсутствие актуальных знаний об инфраструктуре мешало выявлять инциденты. Поэтому для автоматизации анализа событий ИБ и выявления атак, аномалий и подозрительных действий в инфраструктуре было принято решение внедрить SIEM-систему.

Департамент информационной безопасности компании оценил возможности трех самых популярных систем в России — IBM QRadar, ArcSight и MaxPatrol SIEM. Сравнивались возможности интеграции и взаимодействия с инфраструктурой, а также ценовая политика. По итогам тестирования «Таможенная карта» выбрала SIEM-систему компании Positive Technologies версии LE, как наиболее соответствующую всем заявленным требованиям: законченное коробочное решение для небольших инфраструктур (общее количество сетевых узлов в «Таможенной карте» ― 200); дополнительные источники событий подключаются бесплатно в рамках техподдержки; доступная цена; присутствие в реестре отечественно ПО.

Подразделение ИБ самостоятельно внедрило и настроило MaxPatrol SIEM LE. Весь проект занял три месяца. За это время к SIEM-системе были подключены рабочие станции и источники с наибольшим количеством событий — контроллеры домена, прокси-серверы и межсетевой экран (всего около 100 узлов). Сегодня к источникам событий добавились инфраструктурные серверы, системы защиты, бизнес-системы и критически значимые файловые серверы. На основе поступающих из источников данных MaxPatrol SIEM LE формирует базу активов и по правилам корреляции выявляет инциденты. По итогам пилота «Таможенная карта» получила полностью работающий инструмент, готовый к промышленной эксплуатации.

«MaxPatrol SIEM LE — это быстрый способ получить работающую SIEM-систему, ― отметил Сергей Горчаков, директор по ИБ «Таможенной карты». ― За три месяца с помощью консультаций специалистов Positive Technologies нам самостоятельно удалось внедрить систему и настроить необходимые источники. Благодаря этому мы получили подробную картину IT-инфраструктуры и отслеживаем инциденты ИБ. В дальнейших планах подключение к источникам событий серверов собственного удостоверяющего центра».

Функциональность MaxPatrol SIEM LE регулярно расширяется. Так, начиная с версии 4.0, в продукт автоматически поставляются знания экспертного центра безопасности Positive Technologies, что позволяет ему противодействовать новым типам угроз. Знания поставляются в виде пакетов экспертизы, которые содержат правила корреляции по выявлению инцидентов, актуальные правила нормализации и агрегации, рекомендации по тонкой настройке аудита на источниках событий и по расследованию. Выход экспертных пакетов запланирован не реже одного раза в два месяца.