Государственное автономное учреждение Республики Коми «Центр информационных технологий» (ГАУ РК «ЦИТ»), отвечающее за развитие информационного общества и формирование электронного правительства в регионе, использует MaxPatrol SIEM для выявления инцидентов. Теперь ИБ-подразделение центра владеет полной информацией об инфраструктуре, отслеживает события ИБ и сетевой трафик, а также в режиме реального времени выявляет критически опасные инциденты. Уже за первую неделю эксплуатации системы были выявлены и локализованы семь вредоносных программ в государственных системах Республики Коми.
Инфраструктура ГАУ РК «ЦИТ» включает 2600 рабочих станций, 600 серверов и средства защиты информации. На серверах обрабатываются система обращения граждан в органы государственной власти и государственные информационные системы Республики Коми с 1 по 3 классы защищенности. Нарушение безопасности этих систем может повлечь негативные последствия в социальной, политической, международной, экономической, финансовой и других областях деятельности региона. Ранее для анализа событий ИБ организация использовала SIEM-систему зарубежного производства, но из-за сложностей при получении технической поддержки и требований законодательства руководство центра решило заменить систему.
В проведенном конкурсе победило предложение о поставке одного из лидирующих решений на рынке — MaxPatrol SIEM. Продукт поддерживает большое количество источников, постоянно пополняется пакетам экспертизы с новыми правилами корреляции, а также включен в реестр отечественного ПО, что особенно значимо для государственных учреждений.
Подразделению ИБ удалось за три недели самостоятельно внедрить и настроить MaxPatrol SIEM.
За это время были определены источники событий для мониторинга, выстроены процессы взаимодействия с IT-службой, настроен регулярный аудит инфраструктуры, прием сетевого трафика для его комплексного анализа. К SIEM-системе были подключены рабочие станции и источники с наибольшим количеством событий, среди них — системы обнаружения вторжений, антивирусное решение, межсетевые экраны.
Также специалисты ГАУ РК «ЦИТ» самостоятельно написали правила корреляции для выявления инцидентов — в этом им помогли обучающие материалы Positive Technologies на портале технической поддержки. В течение проекта служба технической поддержки Positive Technologies оперативно реагировала на запросы ГАУ РК «ЦИТ» и помогала настраивать источники событий.
«На ГАУ РК "ЦИТ" лежит ответственность за бесперебойную работу значимых для Республики Коми информационных систем. Для нас обеспечение их информационной безопасности и оперативное реагирование на киберугрозы — задачи номер один. Внедрение MaxPatrol SIEM позволило нам в кратчайшие сроки создать эффективную систему выявления инцидентов и уже за первую неделю эксплуатации выявить и предотвратить серьезные угрозы», — поделился начальник отдела технической защиты информации управления по безопасности ГАУ РК «ЦИТ» Денис Рычков.
В планах расширение области мониторинга MaxPatrol SIEM — подключение всех рабочих станций и серверов на Windows. Также MaxPatrol SIEM станет ядром системы безопасности в региональном центре ГосСОПКА, который будет построен на базе ГАУ РК «ЦИТ». Центр ГосСОПКА будет осуществлять мониторинг событий ИБ, выявлять и расследовать инциденты в информационных системах органов власти Республики Коми и сообщать о них в Национальный координационный центр по компьютерным инцидентам.