Cотрудники ИТ- и ИБ-служб в ОАО «РЖД» постоянно сталкивались с трудностями при выявлении инцидентов. Для проведения анализа приходилось выполнять много ручных операций и постоянно обращаться за дополнительной информацией.
Ввиду принятого в РЖД проактивного подхода к решению подобного рода задач следовало эффективнее использовать получаемую информацию для более действенного контроля и мониторинга событий, так или иначе относящихся к информационной безопасности. К решению этой проблемы была привлечена компания «Информзащита», перед специалистами которой были поставлены следующие задачи:
- выбрать для построения системы платформу, которая, с одной стороны, обладала бы богатым встроенным функционалом, чтобы минимизировать затраты на интеграцию, а с другой — могла бы легко масштабироваться для работы с большими объемами данных;
- оптимизировать работу с ИБ-инцидентами, особенно с учётом дефицита времени и ресурсов сотрудников, ответственных за эту деятельность;
- разработать и внедрить в практику новые способы обнаружения инцидентов ИБ путём корреляции событий и поведенческого анализа сетевой активности.
Масштаб информационного комплекса РЖД стал главной особенностью проекта. В компании работает 64 мейнфрейма, более трёхсот корпоративных серверов, свыше двухсот тысяч ПК. Среди используемых четырёх тысяч информационных систем есть беспрецедентные по размеру и не имеющие аналогов в мире. По этой причине реализацию проекта было решено начать с ИВЦ в Санкт-Петербурге, где сосредоточено около 10% всей ИТ-инфраструктуры.
Важно было определиться с платформой для создания системы сбора, обработки и хранения событий безопасности. На эту роль был выбран комплекс HP ArcSight, входящий в общий пакет решений HP Enterprise Security. Встроенные возможности продукта позволили в краткие сроки осуществить интеграцию с тринадцатью информационными системами и системами защиты информации ИВЦ. В пользу такого выбора сыграло и то, что продукт этот активно используется в нашей стране, в том числе в территориально распределенных компаниях, обладающих разнородным оборудованием, и в условиях низкой пропускной способности каналов связи. Неоценимым преимуществом являются также значительные резервы по масштабируемости решения. Кроме того, оно существенно проще аналогов в настройке и не требует глубоких знаний в области программирования, что, однако, не отменяет необходимости хорошо понимать, как функционируют информационные системы.
Специалисты компании «Информзащита» вместе с сотрудниками службы информационной безопасности ОАО «РЖД» определили, какие именно инциденты безопасности требуется отслеживать. На их основе были доработаны правила корреляции событий HP ArcSight. Всего было разработано более сотни правил, отчетов и графических представлений для обнаружения инцидентов ИБ.
Эффект от внедрения ArcSight не заставил себя ждать. С его помощью удалось обнаружить несколько инцидентов, которые невозможно выявить другими средствами защиты. Среди таких инцидентов оказалось, в частности, несанкционированное использование коммуникационного ПО. Удалось также выявить рабочие станции, зараженные вредоносным ПО, которое не детектировалось антивирусными средствами. Таким образом, уровень реальной защищенности значительно вырос.
«Сложная ИТ-инфраструктура раньше заставляла нас сталкиваться с определенными трудностями при работе с событиями ИБ, – отметил Александр Глухов, заместитель начальника департамента безопасности РЖД. – Выявление инцидентов сопровождалось обилием ручной работы, а расследования зачастую проводились уже по фактам свершившихся событий. Совместный с “Информзащитой” проект позволил не только автоматизировать работу с инцидентами, но и повысить уровень защищенности автоматизированных информационно-телекоммуникационных систем в регионе ответственности центра обработки данных Санкт-Петербургского ИВЦ. Уже сейчас мы можем перечислить несколько предотвращенных инцидентов, которые раньше невозможно было выявить».
На самое ближайшее будущее планируется внедрить аналогичные решения в других региональных центрах ОАО «РЖД».
