20 Марта 2024 10:00 | 20 Мар 2024 10:00 | |

Поделиться

Евгений Некипелов, «БКЕ»: При переходе на российское ПО нам было важно, чтобы бурение нефти не останавливалось

«Пока работало прежнее ПО, мы параллельно с его деинсталляцией планомерно и бесшовно внедрили российские решения»

CNews: Как вы пришли к решению внедрить российские ИБ-продукты?

Евгений Некипелов: У нас в компании несколько тысяч сотрудников и регионально развитая филиальная сеть: мы присутствуем от Калининграда до Астрахани, а в восточной части — до Западной Сибири. Нас, как и многие крупные промышленные компании, помимо роста интенсивности атак, уход зарубежных вендоров подтолкнул к перестройке системы ИБ.

Важно было выбрать ПО, позволяющее закрыть все наши потребности в части обеспечения информационной безопасности, которые мы раньше закрывали с помощью импортного софта. Конкретно стоял вопрос замещения антивирусной защиты (endpoint security), системы мониторинга ИБ-инцидентов (SIEM), а также инструмента обнаружения вторжений (Intrusion Detection System, IDS), так как все они ранее были выстроены на основе зарубежных продуктов. Я еще подробнее остановлюсь на каждом из них, но вкратце, мы долго изучали рынок и предложения вендоров, и остановились на продуктах «Лаборатории Касперского», располагающей широкой линейкой, и UserGate.

Если говорить о конкретных продуктах, то мы выбрали Kaspersky Endpoint Security для бизнеса Расширенный (KES), Kaspersky Unified Monitoring and Analysis Platform (KUMA) и виртуальные межсетевые экраны от UserGate. Они стали основными инструментами киберзащиты для нас. В рамках проектов, о которых я буду рассказывать, они были внедрены в головном офисе в Москве и 7 филиалах, в городах Когалым и Пермь, в отдаленных областях Ханты-Мансийского и Ненецкого автономных округов, Республике Коми, Пермском Крае и Волгоградской области.

CNews: Получается, что ваша компания выстраивала защиту с нуля?

Евгений Некипелов: Вся система безопасности БКЕ была построена на базе продуктов зарубежного происхождения. Казалось бы, привычные шаблоны сломаны, бизнес-процессы нарушены, и нужно быстро перестраивать компетенции сотрудников на новые решения.

Тем не менее я бы не стал утверждать, что в результате наша компания оказалась в ситуации, когда нужно строить защиту с нуля. Мы подошли к этому рубежу с учетом опыта коллег по индустрии и интегратора iTPROTECT, с которым в итоге и реализовали проект.

После повального ухода зарубежных поставщиков мы еще около года продолжали пользоваться прошлым софтом. Параллельно с этим, мы изучили рынок и имеющиеся российские аналоги, а также определили основной подход к внедрению новых решений.

Этот подход основывался на 4 важных для нас приоритетах. Во-первых, нам было важно обеспечить непрерывность бизнеса во время внедрения и после. Во-вторых, сохранить, а лучше повысить степень защищенности ИТ-инфраструктуры. В-третьих, внедрение должно было пройти незаметно для пользователей. В-четвертых, не должно было образоваться никаких технологических окон, т.е. промежутков времени, когда хосты (серверы и рабочие места, ничем не защищены).

Теперь по каждому в отдельности. В первую очередь, нам нужно было обеспечить безопасность технических процессов компании, то есть сделать так, чтобы бизнес не останавливался. Здесь важно понимать, что в бурении задействовано множество ИТ-систем, средств автоматизации и других технических решений, без которых оно не может происходить. Поэтому остановка одного приводит к остановке другого.

Также необходимо понимать, что качественный уровень защиты — это компромисс между удобством пользователей и настройками сервисов. Найти его непросто, но нам удалось. Например, большинство сотрудников не заметили никаких изменений после внедрения нового антивируса (KES), которым защищено 3500 хостов. При этом нам удалось не допустить ни одного технологического окна.

Для этого было выстроено тесное сотрудничество наших специалистов и команды интегратора. Мы проводили регулярные совместные обсуждения по специфике каждой настройки, которую использовали на старом решении, способам ее реализации на новом, а также особенностям филиалов компании. Это позволило нам избежать простоев в защите и сложностей в адаптации сотрудников к условиям новых ИБ-систем.

«Очень важно, чтобы команда интегратора разбиралась в зарубежном ПО, с которого осуществляется переход»

CNews: Есть еще какие-то причины, почему вы решили работать с интегратором, а не с вендором напрямую?

Евгений Некипелов: Мы искали партнера, который поможет нам упростить и ускорить внедрение нового ПО. Команда экспертов iTPROTECT на протяжении многих лет работала с зарубежными продуктами, которые мы использовали ранее, и при этом они одними из первых стали специализироваться на отечественных решениях.

Что касается работы с вендором напрямую, то исторически сложилось, что вендоры сосредоточены на развитии линейки продукции и исследованиях угроз, а интеграторы — больше на аккумулировании и развитии экспертных знаний и опыта, их углублении по каждому из продуктовых направлений вендора. Критерии, на которые мы в первую очередь обращали внимание при выборе — это глубокое знание ПО, оптимальных практик работы с пользователями, опыт по внедрению.

Помимо этого, для нас было важно, чтобы команда ИБ-партнера имела большой опыт по использовавшимся у нас ранее зарубежным продуктам. Мы хотели целиком повторить ту часть позитивного опыта в части обеспечения информационной безопасности, которую нам предоставлял прежний поставщик решений.

CNews: Расскажите подробнее, как проводилась подготовка, выбор продуктов и внедрение?

Евгений Некипелов: После того, как мы определили главные приоритеты и проанализировали, какие угрозы наиболее актуальны конкретно для нашей компании и отрасли, то есть для промышленных предприятий с большим количеством удаленных сетей, которые подключены в том числе через спутники, мы перешли к работе по построению ИБ-инфраструктуры.

Мы начали двигаться от простого к сложному, сначала внедрив KES, который работает по большей части автономно. Это дало нам время на то, чтобы дополнительно обучить наших сотрудников.

В рамках этого этапа коллеги из iTPROTECT изучили, как реализована работа иностранного антивирусного решения, совместили это со своим опытом и лучшими практиками, и внедрили российскую систему антивирусной защиты так, чтобы она работала максимально похожим образом, при этом учитывая особенности офисных сетей и сложной инфраструктуры на отдаленных объектах. Работу по внедрению в труднодоступных районах мы проводили удаленно, в режиме постоянной связи с местными администраторами.

CNews: Были ли какие-то еще сложности при внедрении KES?

Евгений Некипелов: Можно выделить несколько моментов внедрения. Например, мы без потерь перенесли со старого продукта на новый список исключений, т.е. ПО и активностей, которые могли бы вызвать ложноположительные срабатывания. Также мы максимально адаптировали настройки KES для бесшовного переноса поведенческого анализа, чтобы любая активность, не подпадающая под стандартное поведение того или иного прикладного ПО, отмечалась системой как подозрительная. Все это было протестировано с помощью специальных симуляций вредоносного поведения.

Также коллеги из iTPROTECT помогли нам проработать и выстроить сложную иерархическую модель доступа администраторов к функциональности антивирусной защиты. Это нужно, например, для того, чтобы администраторы в удаленных офисах не могли вносить свои собственные настройки и во всех офисах использовались централизованные правила распознавания угроз. Специалист с административными правами, работающий из головного офиса, и администратор филиала, например, в Ханты-Мансийском автономном округе, имеют разные возможности по использованию функциональности антивирусной защиты. При таком подходе главный администратор выстраивает общую стратегию защиты и основные настройки модулей, а специалисты «на местах» при этом имеют полный спектр реагирования на ИБ-инциденты.

Краткая биография

Евгений Некипелов

• В 1994 г. окончил Самарский государственный аэрокосмический университет им. академика С.П. Королева (национальный исследовательский университет).
• С 1995 по 1997 гг. работал в «ВолгаЭВМкомплекс» — Руководитель направления.
• С 1998 по 2005 гг. работал в «ЛУКОЙЛ-Бурение» — Начальник отдела ИТ.
• В 2005 г. начал работать в «Буровая компания «Евразия» — Заместитель начальника Управления ИТ.
• С 26 августа 2014 г. — Начальник управления ИТ «Буровой компании «Евразия».

подробнее

CNews: После этого вы перешли к внедрению KUMA и UserGate?

Евгений Некипелов: Далее мы создали единую точку мониторинга всех инцидентов ИБ с использованием SIEM-системы KUMA. Здесь мы также перенесли все наработанные подходы из прошлого решения — подключили к новому те же источники и наладили аналогичные правила корреляции и нормализации событий. В эту точку мы свели данные ото всех основных ИТ-систем и оборудования, которое используем, например, маршрутизаторов, операционных систем, антивирусной защиты, антиспама и прочих средств защиты информации (СЗИ). Далее мы планируем масштабировать систему и подключить еще больше источников, но уже сейчас мы отслеживаем все элементы, которые важны для поиска большинства атак, собирая логи и анализируя их на предмет подозрительной активности.

Мы не располагаем большим количеством ИБ-ресурсов и сотрудников, поэтому нам важно видеть общую картину, при этом не задействуя внешний Security Operations Center (SOC) на круглосуточной основе, поскольку мы не хотели выдавать свои данные за пределы организации. Наше текущее SIEM-решение позволяет отслеживать всю активность и реагировать на ИБ-инциденты в единой консоли, что также помогает сэкономить человеческие ресурсы.

Решение на базе UserGate, в свою очередь, помогает нам проверять копию всего входящего и исходящего трафика (с пропускной способностью до 2,1 Гбит/с) на предмет признаков вторжения и хакерского сканирования.

«С помощью опытного интегратора удалось защитить отдаленные буровые скважины на базе российских продуктов»

CNews: Защита действует только в офисах компании или также и в отдаленных регионах, где ведется деятельность?

Евгений Некипелов: У нас есть ряд точек в отдаленных районах, которые находятся «в полях». Это буровые установки, расположенные вне зоны транспортной доступности, которые подключены через спутник, и на которых используется сложная маршрутизация.

Поэтому отсутствует возможность на каждом объекте отреагировать на атаку, приехав туда в течении часа, или дав команду специалисту на объекте. Мы видим по отрасли, что угрозы реальны и представляем, чего ждать.

Сотрудничество с опытным интегратором позволило нам правильно настроить эти стратегически важные удаленные объекты, заменив зарубежное ПО. Замечу, что не всегда к скважинам можно применить те же средства по обеспечению кибербезопасности, что и в офисах, поэтому здесь компетенции чрезвычайно важны.

CNews: Каковы дальнейшие планы и какие направления в приоритете?

Евгений Некипелов: На сегодняшний день мы сфокусировались на расширенных средствах защиты, развиваем нашу модель безопасности. Например, планируем внедрять такие комплексные системы, как Anti-APT, для предотвращения сложных таргетированных атак. Внимательно наблюдаем за ситуацией с атаками в нашей сфере и видим, что угрозы реальны, в том числе на промышленные сети. Очевидно, что риски для них велики.

Планируем продолжить работу по развитию ИБ-систем в плане расширения периметра защиты АСУ ТП, чтобы не позволить злоумышленникам влиять на производственный процесс на объектах. БКЕ — это крупная корпорация, которая постоянно растет и развивается, и по мере ее развития понадобятся и новые подходы.

Также мы, как я уже говорил, планируем масштабировать системы защиты и расширять их функциональность. Так, например, UserGate, который мы на данный момент используем как замену ранее использовавшейся системы обнаружения вторжений (IDS), мы также выбрали за наличие возможности работы в качестве web proxy и межсетевого экрана нового поколения. Все это мы планируем реализовать в дальнейшем, при этом сэкономив ресурсы, ведь подключение новых функций не потребует дополнительной инсталляции.

CNews: Какие угрозы вы видите с точки зрения ИБ в первую очередь?

Евгений Некипелов: Несмотря на то, что мы промышленная компания, у нас в том числе есть и центральный филиал. Это вполне себе обычный офис с обычными специалистами, перед которыми стоят те же самые задачи, что и перед другими организациями.

У нас работают мобильные и удаленные сотрудники, существует корпоративная сеть с типовыми угрозами, ведется активная внешняя переписка с контрагентами. Это значит, что для компании актуален и весь спектр угроз, связанных с фишингом и направленными атаками. Поэтому мы смотрим очень широко на эти вызовы и намерены повышать уровень защиты во всех направлениях. Безусловно, в приоритете здесь отечественные инструменты. К счастью, продукты российских вендоров развиваются, а опыт успешного импортозамещения в стране только наращивается.

Поделиться

Короткая ссылка