«Ростелеком-Солар» реализовал проект по мониторингу и реагированию на инциденты в инфраструктуре Межрегиональной распределительной сетевой компании Урала (осуществляет деятельность под брендом «Россети Урал»).
Всего за 1 месяц к центру мониторинга и реагирования на кибератаки Solar JSOC были подключены все 3 филиала компании, обеспечивающие электроэнергией Свердловскую и Челябинскую области, а также Пермский край.
При этом Solar JSOC реализовал ИБ-мониторинг не только ИТ-сети, но и технологического сегмента (АСУ ТП), а также выполнил для «Россети Урал» функцию центра ГосСОПКА, наладив обмен данными с системой.
Взаимодействие в проекте строилось по гибридной модели. Компания «Россети Урал» обеспечила аппаратные мощности и определила приоритеты для мониторинга и реагирования на инциденты. На стороне экспертов Solar JSOC – поддержка системы управления событиями информационной безопасности (SIEM) и контроль непрерывности передачи в нее данных от всех систем защиты, а также выявление и анализ киберинцидентов и оповещение о них.
Сервисы Solar JSOC предоставлялись «Россети Урал» на базе MaxPatrol SIEM, установленной на их инфраструктуре. В качестве источников информации о событиях использовались не только рабочие станции сотрудников и серверы, но и источники в сегменте технологической сети компании (АСУ ТП). Поток данных, передаваемых от информационных систем и средств защиты в SIEM-систему, составил более 5,6 тыс. событий в секунду.
В ходе реализации проекта Solar JSOC заменил стандартные правила обнаружения атак, прописанные в SIEM, на сценарии, адаптированные под требования электросетевой компании. Всего было запущено более 30 таких сценариев.
«Обычно организации, представляющие промышленность, нефтегаз, энергетику, опасаются пускать подрядчиков в свою АСУ ТП. При этом кибератаки на промышленные сети существенно отличаются от атак на ИТ-инфраструктуру, а злоумышленники чаще всего используют сложное и кастомизированное вредоносное ПО, поэтому детектировать их действия без помощи внешних специалистов бывает крайне сложно. Коллеги из электросетевой компании, напротив, понимают необходимость полноценного мониторинга, в том числе АСУ ТП, и нам приятно, что в качестве партнеров они выбрали именно Solar JSOC», – отметил Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар».
«Наша первоочередная задача в области кибербезопасности как инфраструктурной компании, – брать на вооружение лучшее и эффективное программное обеспечение, активно внедряя отечественные разработки. Успешно совместно реализованный проект позволит нам обеспечить качественно новый уровень защиты наших информационных систем», – подчеркнул Сергей Бондаренко, заместитель генерального директора по безопасности компании «Россети Урал».