Хакеры теряют связь — «Солар» запускает проактивного блокировщика киберугроз в DNS-трафике
Узнать большеРабота SOC в ТМК будет строиться по гибридной модели. ТМК обеспечивает аппаратные мощности, организует сбор данных о состоянии офисной и производственной IT-инфраструктуры, определяет приоритеты для мониторинга и реагирует на инциденты. В свою очередь, сотрудники Solar JSOC компании «Ростелеком-Солар» отслеживают события информационной безопасности, определяют их критичность, анализируют причины и возможные последствия, оповещают компанию об инцидентах и предлагают решения.
К центру мониторинга уже подключены несколько предприятий ТМК, исполнительный аппарат и центры обработки данных. Базовое подключение и запуск первой очереди уникальных и проверенных на практике отраслевых сценариев занял всего 6 недель. За это время была полностью обследована инфраструктура предприятий, подключены к мониторингу ключевые источники информации о событиях информационной безопасности, сценарии адаптированы к бизнес-процессам, принятым в организации.
Чтобы гарантировать ТМК самую актуальную и полную информацию о новых киберугрозах, собирающая такие данные платформа кибербезопасности Solar JSOC была интегрирована с аналогичной платформой, существующей в ТМК. Таким образом, сейчас компании осуществляют двусторонний обмен данными, что взаимно обогащает их базы индикаторов компрометации информационных систем и помогает выявлять атаки на самом раннем этапе.
«На сегодняшний день подавляющее большинство операционных бизнес-процессов компании автоматизированы и реализуются в IT-системах. Это существенно повышает требования к информационной безопасности. Мы должны предотвращать, выявлять и максимально эффективно реагировать на любые риски, где бы они ни возникали — от офисного компьютера до трубопрокатного стана. Поскольку готовых решений на рынке не существует, мы создали гибридную модель, чтобы объединить компетенции и опыт партнера по отражению киберугроз и нашу внутреннюю отраслевую экспертизу. Всего за полтора месяца мы запустили на базе Solar JSOC и наших IT-мощностей полноценный центр мониторинга и реагирования на кибератаки. Он уже следит за безопасностью IT-инфраструктуры трех крупнейших заводов, затем система будет охватывать и другие площадки компании. Мы также изучаем возможность масштабирования проекта, чтобы обеспечить кибербезопасность оборудования, подключенного к автоматизированной системе управления технологическим процессом (АСУ ТП)», — сказал директор по информационным технологиям ТМК Дмитрий Якоб.
«На самостоятельное формирование команды SOC наши партнеры, по предварительным оценкам, были бы вынуждены тратить около 300 млн рублей каждые 5 лет. Использование внешнего сервиса на проекте принесет экономическую выгоду в размере не менее 30% от этой суммы, — поясняет директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков. — Противодействие кибератакам является одним из наиболее актуальных вопросов для промышленности, и ТМК продемонстрировала не только глубокое понимание их значимости, но и готовность выступить в авангарде отрасли, используя у себя наиболее передовые методы защиты. По наблюдениям специалистов «Ростелеком-Солар», попытки компрометации промышленных инфраструктур чаще совершаются с целью длительного шпионажа, для чего злоумышленники стараются максимального глубоко закрепиться в инфраструктуре предприятия. Кроме того, такие атаки нередко направлены на то, чтобы спровоцировать деструктивные последствия от нарушения производственных процессов. При атаках на промышленные предприятия злоумышленники оперируют крайне сложным инструментарием, затрудняющим их выявление базовыми средствами защиты. Благодаря экспертизе команды ТМК и плотному взаимодействию со специалистами Solar JSOC проект стартовал в короткие сроки и быстро развивается, несмотря на значительный масштаб и специфику инфраструктуры заказчика».
