Проекты (Кейсы)

Внедрение системы анализа трафика (NTA) для крупного завода Восточной Сибири

Заказчик

Завод, производящий военную и гражданскую технику.

Предприятие выпускает технику, готовую к эксплуатации в режиме полного цикла производства и отдельные комплектующие из композитных материалов, а также осуществляет гарантийное сервисное обслуживание техники.

Основанное в 1939 году, является одним из самых крупных предприятий Восточной Сибири.
Численность сотрудников около 6 000 человек.

Продукция предприятия поставляется государственным и коммерческим предприятиям России и других стран – техника, произведённая на заводе, успешно эксплуатируется в более чем 40 странах мира.

Ситуация

Сегодня атаки со стороны преступных кибергруппировок (часто спонсируемых правительствами) являются одним из ключевых рисков для организаций по всему миру. Например, действия злоумышленников могут привести к реализации следующих рисков:

  • Остановка бизнес-процессов в результате атак с применением шифровальщика. К примеру, в 2020 году из-за атаки шифровальщика производитель автомобилей Honda был вынужден приостановить производство на нескольких заводах в США, Бразилии, Турции и Индии. А за расшифровку файлов бразильской электроэнергетической компании Light S.A. операторы шифровальщика потребовали выкуп порядка 14 млн. долл. США. Длительность простоя и потенциальный ущерб существенно повысятся, если в качестве вредоносного ПО используется червь. Заразив один компьютер, червь моментально распространяется по всей сети. Именно так вредоносная кампания WannaCry в 2018 году в считанные часы остановила работу многих компаний по всему миру, а крупнейший в мире производитель чипов TSMC потерял 85 млн. долл. США.
  • Снижение производительности систем и повышенные счета за потребленную электроэнергию в результате заражение майнером криптовалюты. Так, злоумышленник, незаконно подключивший устройства для майнинга к сети ПАО «Россети Северный Кавказ», нанес компании ущерб в размере 34 млн. руб.
  • Утечка конфиденциальных документов в результате атак с использованием шпионского ПО. Например, группировка TaskMasters на протяжении более чем 8 лет контролировала инфраструктуру и похищала конфиденциальные документы и переписку первых лиц одной из российских компаний.

Успешность кибератаки зависит от многих факторов, однако, даже если злоумышленнику удалось подключиться к внутренним ресурсам организации и развивать атаки на критически важные системы, своевременное выявление атаки и принятие мер по блокированию доступа может полностью исключить риск утечки конфиденциальных данных. С задачей выявления атак успешно справляется система глубокого анализа трафика(NTA).

Для снижения рисков кибератаки, утраты информации и нарушения конфиденциальности, возможности расследования инцидентов безопасности, Заказчиком была поставлена задача подобрать решение класса NTA.

Решение должно было удовлетворять требованиям:

  • Возможность обработки копии сетевого трафика и индексации его по сетевым протоколам уровней L2-L7;
  • Хранение копии сырого трафика не менее 5 дней;
  • Хранение копии индексированного трафика не менее 7 дней;
  • Возможность сохранения фрагментов копии сырого трафика в постоянное хранилище;
  • Возможность загрузки сторонней копии трафика для анализа угроз;
  • Присутствовать в Едином реестре российских программ для электронных вычислительных машин и баз данных;
  • Быть реализованным в виде программно-аппаратного комплекса;
  • Иметь возможность эксплуатации в режиме отказоустойчивой кластерной конфигурации;
  • Иметь локализованную документацию и техподдержку.

Решение

Внедрение проходило в 2 этапа:

1) Аудит сетевой инфраструктуры заказчика
На первом этапе были определены требования к производительности и пропускной способности решения. Была учтена текущая и планируемая интенсивность межсегментного сетевого трафика. Сетевая инфраструктура заказчика реализована по схеме иерархической модели сети на сетевом оборудовании Cisco. Широковещательные домены разграничены виртуальными сетями (VLAN), более 30 шт. Маршрутизация реализована с помощью протокола OSPF. Имеется зона DMZ, VPN. Средняя величина трафика за сутки – 340 Мбит\сек.

По итогам аудита было выбрано решение, которое подходило Заказчику по производительности, им стал программно-аппаратный комплекс Positive Technologies Network Attack Discovery All-in-One.

Компания Positive Technologies уже 19 лет создает инновационные решения в сфере информационной безопасности. Продукты и сервисы компании позволяют выявлять, верифицировать и нейтрализовать реальные бизнес-риски, которые могут возникать в IT-инфраструктуре предприятий. Технологии компании построены на многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности.

Positive Technologies Network Attack Discovery — система глубокого анализа сетевого трафика (NTA) для выявления атак на периметре и внутри сети. PT NAD знает, что происходит в сети, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях. Это решение рассчитано на сбор и анализ трафика до 500 Мбит\с.
Преимущества PT NAD:
Также был составлен план внедрения программно-аппаратного комплекса, разработано и утверждено техническое задание.

2) Масштабное внедрение
Заказчику было презентовано решение, произведена демонстрация продукта и предоставлены ответы на вопросы, в результате чего было принято решение не проводить пилотное тестирование.

В рамках внедрения был произведен монтаж программно-аппаратного комплекса в серверную стойку, обеспечение сетевого питания – основного и резервного.

Выделены порты управления и SPAN в сетевой инфраструктуре заказчика, произведена конфигурация портов управления и захвата трафика в программно-аппаратном комплексе, определение метода захвата трафика. После запуска в программно-аппаратном комплексе была произведена отладка и оптимизация индексации трафика, создание учетных записей пользователей, настройка групп узлов согласно требованиям заказчика, настройка доступа в интернет.
Общая схема подключения PT NAD в инфраструктуре организации:
В рамках проекта был выявлен ряд инцидентов информационной безопасности. Примеры потенциальных векторов атак, этапы которых PT NAD может обнаружить и помочь восстановить всю цепочку событий от проникновения до компрометации важных активов, показаны на схеме на следующей странице:

Результаты

Внедрение системы анализа трафика (NTA) для обеспечения защиты внутренней сети и ее периметра, а также хранение копии сетевого трафика расследования инцидентов ИБ.

К другим значимым для Заказчика результатам относится то, что:
  • Было внедрено современное решение, которое производит анализ копии сетевого трафика в реальном времени;
  • Решение хранит как копию сырого трафика, так и индексированного;
  • Позволяет производить расследование инцидентов ИБ, в том числе сетевых атак и нелегитимной активности;
  • Решение предоставляет возможность как горизонтального, так и вертикального масштабирования;
  • Соответствует требованиям импортозамещения.
Информационная безопасность