Проект

Что получила служба ИБ "Северстали" в результате внедрения SIEM

Заказчики: Северсталь

Москва; Металлургическая промышленность

Подрядчики: Инфосистемы Джет
Продукт: HPE ArcSight ESM (Security Information and Event Management, SIEM)

Дата проекта: 2015/03 — 2015/08
Технология: ИБ - Межсетевые экраны
подрядчики - 386
проекты - 1453
системы - 729
вендоры - 263
Технология: ИБ - Предотвращения утечек информации
подрядчики - 278
проекты - 1114
системы - 427
вендоры - 246
Технология: ИБ - Управление информацией и событиями в системе безопасности (SIEM)
подрядчики - 74
проекты - 268
системы - 294
вендоры - 156

16 октября 2015 года компании «Северсталь» и «Инфосистемы Джет» сообщили о запуске единого инструмента, автоматизирующего процесс сбора, хранения, анализа и управления событиями информационной безопасности (ИБ).

Ход проекта

Система управления событиями ИБ реализована на основе продукта HP ArcSight ESM. Под действие проекта попали три распределенные географически площадки компании «Северсталь» в европейской части Российской Федерации.

"Северсталь" (2013)


Эксперты компании «Инфосистемы Джет», используя данные по ИТ-инфраструктуре компании «Северсталь» и действующие процессы обеспечения и управления ИБ, создали проект и внедрили систему управления событиями. Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга 2.4 т

На 16 октября 2015 года к ней подключено более 400 различных источников (в том числе журналы ОС, СУБД, средств антивирусной защиты, сетевой защиты и пр.), настроено более 100 специализированных правил. Для информационного обогащения проведена интеграция с рядом систем, для которых разработаны дополнительные коннекторы: SAP Business Objects, СКУД, портал ИТ-услуг и др.

Выполнена интеграция с системой контроля защищенности и соответствия стандартам (MaxPatrol), предварительно внедренной в ИТ-инфраструктуру компании «Северсталь» (всего более 4 тыс. единиц оборудования, включая рабочие станции и серверы под управлением ОС Microsoft Windows и Unix, сетевое оборудование, СУБД MS SQL и Oracle). Созданный на основе этой системы инструмент в автоматическом режиме по расписанию проводит инвентаризацию всей инфраструктуры, определяет уровень защищенности ее компонентов, выявляет уязвимости информационных ресурсов и оповещает о них, формирует рекомендации по их устранению в соответствии с настроенными политиками безопасности (корпоративными и отраслевыми).

Итог проекта

«Мы получили единую консоль мониторинга событий ИБ от большого количества разнородных систем. Из этих событий, по статистике, несколько десятков оказываются инцидентами с различным уровнем критичности, – поведал Константин Иванов, менеджер управления обеспечения информационной безопасности компании "Северсталь". – Нам также удалось свести к минимуму объем ручной обработки данных, и теперь у нас есть возможность оперативно принимать решения на основе аналитики глубиной до полугода».

В результате внедрения ИБ-служба компании «Северсталь» получила возможность проактивно выявлять инциденты ИБ, связанные с эксплуатацией злоумышленниками уязвимостей базовых компонентов информационных систем, отсутствием обновлений или небезопасными настройками.

«Созданная система по своим параметрам шире, нежели классический SIEM, – пояснил Евгений Акимов, директор по развитию бизнеса Центра информационной безопасности компании "Инфосистемы Джет". – За счет более глубокой проработки правил с учетом особенностей процессов и ИТ-инфраструктуры компании (например, по нарушениям парольных политик, нетипичному пользовательскому поведению в домене, аномальной сетевой активности и пр.) система создает инциденты, обогащенные дополнительной информацией и связанными последовательностями событий, что на порядок упрощает и ускоряет процесс расследования».

В системе реализована ролевая модель доступа пользователей, позволяющая разграничивать зоны ответственности и набор доступных к использованию инструментальных средств в соответствии с присвоенными им правами (администратор или аналитик). Одновременно с системой могут работать до 10 человек, используя единую консоль или веб-интерфейс.