Ежедневно через государственные информационные системы проходят огромные объемы чувствительной информации, атаки на инфраструктуру правительственных организаций могут привести к дестабилизации подведомственных структур, а в худшем случае, повлечь за собой угрозу национальной безопасности.
По последним данным, на государственный сегмент пришлось 17% всего объема кибератак (исследование Positive Technologies 2025). Кроме того, не только растет количество (для сравнения: в 2023 году этот показатель составлял 15%), но и совершенствуются техники и методы их реализации. Чтобы сохранять необходимый уровень надежности инфраструктуры информационной безопасности в таких условиях, государственным структурам важно выстроить эффективную защиту.
Этой цели придерживается Правительство Свердловской области. Во многом благодаря такому подходу регион вошел в десятку субъектов РФ, получивших максимальный балл по показателю «Информационная безопасность» в Федеральной государственной информационной системе координации информатизации и за три года поднялся с 74 позиции на 6 место в рейтинге цифровой трансформации среди субъектов РФ. Далеко не последнюю роль в этом сыграли предпринятые меры по усилению защиты инфраструктуры. Одним из шагов на этом пути стало внедрение метапродукта Positive Technologies MaxPatrol O2 – впервые в региональном правительстве. Подробнее о ходе работ и результатах рассказала Группа компаний «Анлим», реализующая внедрение решения в инфраструктуру региона.
На пути к автопилоту кибербезопасности
Информационные ресурсы Правительства Свердловской области представляют собой сложноорганизованную структуру. На старте работ она включала множество систем и разрозненных инфраструктур. Работа осуществлялась в условиях сильной нехватки кадров. Наряду с этим системы защиты информации генерировали непрерывный поток событий, разобраться с которыми, определить ложноположительные срабатывания и отработать реальные было достаточно сложно из-за нехватки ресурсов или квалификации. В таких условиях упустить инцидент легко. Злоумышленники стремятся мимикрировать под легитимную деятельность и, чтобы их обнаружить, приходится работать с максимумом данных. Как следствие, ложноположительные сработки – это норма мониторинга ИБ, без них невозможно обеспечить качественный детект.
Чтобы изменить ситуацию и повысить уровень информационной безопасности региона, специалисты Правительства Свердловской области в течение нескольких лет проводили работы по структуризации и систематизации инфраструктуры. В результате пришли к ключевому выводу: необходима система, которая оперативно реагирует на атаки и избавляет от необходимости постоянного мониторинга ложноположительных срабатываний из большого количества информационных систем.
Почему MaxPatrol O2?
MaxPatrol O2 – это метапродукт, который способен автоматически обнаружить злоумышленника, определить захваченные им ресурсы и остановить атаку до нанесения непоправимого ущерба.
Решение позволяет максимально снизить включение человека в процесс мониторинга и уменьшить время реагирования на атаку, что очень важно в условиях кадрового голода. Внедрение предполагает возможность уменьшить количество необходимых ИБ-специалистов, не завышать требования к их квалификации и, самое главное, помогает снизить количество ложноположительных срабатываний и риски упустить реальную атаку.
Поэтапное внедрение
MaxPatrol O2 – сложное решение, требующее определенного уровня зрелости ИБ организации. Еще до начала работ важно понимать, что внедрение любого средства защиты информации – это не панацея. Злоумышленник все равно сможет быстро проникнуть в инфраструктуру, если она изначально содержит в себе неустраненные уязвимости. Поэтому, прежде чем перейти к внедрению, необходимо реализовать немалый объем технической работы: аудит инфраструктуры, харденинг и корректная настройка всех систем. Этот этап можно назвать нулевым, только после его прохождения можно перейти к первому этапу внедрения.
Этап 1. Определение недопустимых событий
Недопустимым считается событие, которое может возникнуть в результате кибератаки и приводит к нарушению или полному прекращению основных процессов организации или невозможности достижения ее главных целей, что может стать причиной существенного ущерба организации. Например, отказ систем оповещения населения о ЧС, остановка производства и масштабный брак продукции, искажение информации на официальных сайтах органов власти, утеря ключевой интеллектуальной собственности (уникальных чертежей, рецептуры).
Недопустимые события определяются на первом этапе, чтобы на старте сформировать понимание, что критично важно защитить в первую очередь. Чтобы правильно внедрить и настроить MaxPatrol O2, определить ключевые и целевые системы.
Этап 2. Определение целевого сегмента
Так как инфраструктура Правительства Свердловской области масштабная, решение внедрялось постепенно. Первым сегментом стала инфраструктура одного из подведомственных учреждений, размещенная в ЦОД Правительства. Были определены те системы, которые могут стать целью злоумышленника, и те, которые обеспечивают их функционирование.
Этап 3. Изучение инфраструктуры целевого сегмента
На этом этапе специалисты сформировали понимание о том, из чего состоит защищаемая инфраструктура (серверы, рабочие места пользователей и администраторов, сети и прочее), какие взаимосвязи настроены, какое программное обеспечение используется. Проведя таким образом инвентаризацию, они ожидаемо выявили проблемы с безопасностью: «непропатченные» уязвимости, слабое разграничение доступа, небезопасные конфигурации. В результате разработали план по харденингу инфраструктуры, который безотлагательно был принят в работу.
Этап 4. Настройка эффективного взаимодействия систем, установленных средств защиты информации и MaxPatrol O2
Для качественной работы MaxPatrol O2 необходим полноценный охват защищаемой инфраструктуры решениями, осуществляющими фиксацию и сбор событий на уровне хостов и сети. Такими средствами являются решения классов SIEM и NTA.
На этом этапе специалисты закрыли «белые пятна», корректно настроили систему мониторинга и безопасности.
Важно было не только обеспечить сбор событий со всей инфраструктуры, но и проконтролировать, что собираются именно те данные, которые необходимы для корректной работы системы, минимизируя при этом нагрузку на сеть.
Этап 5. Тестирование продукта
Чтобы максимально наглядно продемонстрировать эффективность работы MaxPatrol O2, необходимо было имитировать кибератаку, для этого специалисты провели тестирование на проникновение (пентест). Команда этичных хакеров построила вектор реализации недопустимого для сервисов Правительства Свердловской области события и предприняла попытку по его осуществлению.
MaxPatrol O2 отслеживал действия условного злоумышленника на каждом из этапов атаки, как на конечных узлах, так и при перемещении внутри сети. При этом можно было в режиме реального времени видеть саму атаку и предлагаемые системой методы реагирования.
Этап 6. Подведение итогов
В результате пентеста выбранного целевого сегмента Правительства Свердловской области решение MaxPatrol O2 обнаружило атаки, построило их цепочки, аргументировав свой вывод для ИБ-специалистов, после чего подсказало, что необходимо предпринять, чтобы остановить продвижение злоумышленника.
Что дальше?
Так как тестирование на выделенном сегменте было успешным и эффективность системы подтвердилась на практике, Правительство Свердловской области запланировало работы по настройке MaxPatrol O2 для масштабирования на другие объекты защиты внутри общей инфраструктуры и расширение возможностей продукта за счет его перевода из режима обнаружения атак в режим их автоматического предотвращения.
