Внедрение системы анализа трафика (NTA) для крупного завода Восточной Сибири

Заказчик

Заказчик проекта – завод, производящий военную и гражданскую технику.

Предприятие выпускает технику, готовую к эксплуатации в режиме полного цикла производства и отдельные комплектующие из композитных материалов, а также осуществляет гарантийное сервисное обслуживание техники.

Является одним из самых крупных предприятий Восточной Сибири.

Основано в 1939 году.

Численность сотрудников около 6 000 человек.

Продукция предприятия поставляется государственным и коммерческим предприятиям России и других стран – техника, произведённая на заводе, успешно эксплуатируется в более чем 40 странах мира.

Ситуация

Сегодня атаки со стороны преступных кибергруппировок (часто спонсируемых правительствами) являются одним из ключевых рисков для организаций по всему миру. Например, действия злоумышленников могут привести к реализации следующих рисков:

• Остановка бизнес-процессов в результате атак с применением шифровальщика. К примеру, в 2020 году из-за атаки шифровальщика производитель автомобилей Honda был вынужден приостановить производство на нескольких заводах в США, Бразилии, Турции и Индии. А за расшифровку файлов бразильской электроэнергетической компании Light S.A. операторы шифровальщика потребовали выкуп порядка 14 млн. долл. США. Длительность простоя и потенциальный ущерб существенно повысятся, если в качестве вредоносного ПО используется червь. Заразив один компьютер, червь моментально распространяется по всей сети. Именно так вредоносная кампания WannaCry в 2018 году в считанные часы остановила работу многих компаний по всему миру, а крупнейший в мире производитель чипов TSMC потерял 85 млн. долл. США.
• Снижение производительности систем и повышенные счета за потребленную электроэнергию в результате заражение майнером криптовалюты. Так, злоумышленник, незаконно подключивший устройства для майнинга к сети ПАО «Россети Северный Кавказ», нанес компании ущерб в размере 34 млн. руб.
• Утечка конфиденциальных документов в результате атак с использованием шпионского ПО. Например, группировка TaskMasters на протяжении более чем 8 лет контролировала инфраструктуру и похищала конфиденциальные документы и переписку первых лиц одной из российских компаний.

Успешность кибератаки зависит от многих факторов, однако, даже если злоумышленнику удалось подключиться к внутренним ресурсам организации и развивать атаки на критически важные системы, своевременное выявление атаки и принятие мер по блокированию доступа может полностью исключить риск утечки конфиденциальных данных. С задачей выявления атак успешно справляется система глубокого анализа трафика(NTA).

Для снижения рисков кибератаки, утраты информации и нарушения конфиденциальности, возможности расследования инцидентов безопасности, Заказчиком была поставлена задача подобрать решение класса NTA.

Решение должно было удовлетворять требованиям:

• Возможность обработки копии сетевого трафика и индексации его по сетевым протоколам уровней L2-L7;
• Хранение копии сырого трафика не менее 5 дней;
• Хранение копии индексированного трафика не менее 7 дней;
• Возможность сохранения фрагментов копии сырого трафика в постоянное хранилище;
• Возможность загрузки сторонней копии трафика для анализа угроз;
• Присутствовать в Едином реестре российских программ для электронных вычислительных машин и баз данных;
• Быть реализованным в виде программно-аппаратного комплекса;
• Иметь возможность эксплуатации в режиме отказоустойчивой кластерной конфигурации;
• Иметь локализованную документацию и техподдержку.

Решение

Внедрение проходило в 2 этапа:

1) Аудит сетевой инфраструктуры заказчика

На первом этапе были определены требования к производительности и пропускной способности решения. Была учтена текущая и планируемая интенсивность межсегментного сетевого трафика. Сетевая инфраструктура заказчика реализована по схеме иерархической модели сети на сетевом оборудовании Cisco. Широковещательные домены разграничены виртуальными сетями (VLAN), более 30 шт. Маршрутизация реализована с помощью протокола OSPF. Имеется зона DMZ, VPN. Средняя величина трафика за сутки – 340 Мбит\сек.

По итогам аудита было выбрано решение, которое подходило Заказчику по производительности, им стал программно-аппаратный комплекс Positive Technologies Network Attack Discovery All-in-One.

Компания Positive Technologies уже 19 лет создает инновационные решения в сфере информационной безопасности. Продукты и сервисы компании позволяют выявлять, верифицировать и нейтрализовать реальные бизнес-риски, которые могут возникать в IT-инфраструктуре предприятий. Технологии компании построены на многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности.

Positive Technologies Network Attack Discovery — система глубокого анализа сетевого трафика (NTA) для выявления атак на периметре и внутри сети. PT NAD знает, что происходит в сети, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях. Это решение рассчитано на сбор и анализ трафика до 500 Мбит\с.

Преимущества PT NAD:

Также был составлен план внедрения программно-аппаратного комплекса, разработано и утверждено техническое задание.

2) Масштабное внедрение

Заказчику было презентовано решение, произведена демонстрация продукта и предоставлены ответы на вопросы, в результате чего было принято решение не проводить пилотное тестирование.

В рамках внедрения был произведен монтаж программно-аппаратного комплекса в серверную стойку, обеспечение сетевого питания – основного и резервного.

Выделены порты управления и SPAN в сетевой инфраструктуре заказчика, произведена конфигурация портов управления и захвата трафика в программно-аппаратном комплексе, определение метода захвата трафика. После запуска в программно-аппаратном комплексе была произведена отладка и оптимизация индексации трафика, создание учетных записей пользователей, настройка групп узлов согласно требованиям заказчика, настройка доступа в интернет.

Общая схема подключения PT NAD в инфраструктуре организации:

В рамках проекта был выявлен ряд инцидентов информационной безопасности. Примеры потенциальных векторов атак, этапы которых PT NAD может обнаружить и помочь восстановить всю цепочку событий от проникновения до компрометации важных активов, показаны на схеме на следующей странице:

Результаты

Главный результат проекта – внедрение системы анализа трафика (NTA) для обеспечения защиты внутренней сети и ее периметра, а также хранение копии сетевого трафика расследования инцидентов ИБ.

К другим значимым для Заказчика результатам относится то, что:

• Было внедрено современное решение, которое производит анализ копии сетевого трафика в реальном времени;
• Решение хранит как копию сырого трафика, так и индексированного;
• Позволяет производить расследование инцидентов ИБ, в том числе сетевых атак и нелегитимной активности;
• Решение предоставляет возможность как горизонтального, так и вертикального масштабирования;
• Соответствует требованиям импортозамещения.