Заказчики: ГЛОНАСС АО Москва; Информационные технологии Подрядчики: Солар (ранее Ростелеком-Солар) Продукт: Solar JSOCНа базе: Solar inView ранее Jet inView Security (JiVS) Дата проекта: 2021/05 — 2021/10
|
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Система обнаружения мошенничества (фрод)
|
2021: Защита системы экстренного реагирования «ЭРА-ГЛОНАСС» от кибератак
Компания «Ростелеком-Солар» 20 декабря 2021 года сообщила о защите системы экстренного реагирования «ЭРА-ГЛОНАСС» от кибератак.
«АО ГЛОНАСС» использует сервис центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» для мониторинга ИБ-инцидентов. К Solar JSOC подключены объекты системы экстренного реагирования при дорожно-транспортных происшествиях «ЭРА-ГЛОНАСС». В рамках проекта «Ростелеком-Солар» также обеспечивает соответствие требованиям №187-ФЗ – о безопасности критической информационной инфраструктуры. В частности, в ближайшее время Solar JSOC начнет передавать в ГосСОПКА данные.
Объекты критической информационной инфраструктуры (КИИ) находятся в фокусе внимания кибергруппировок. По оценке «Ростелеком-Солар», в 2021 году 92% таких сложных, целевых атак были направлены (Solar JSOC) были направлены именно на сегмент КИИ. При этом АРТ-атаки на критические инфраструктуры не только могут привести к многомиллионным финансовым потерям и техническим сбоям, но и угрожают безопасности граждан. Так, к «ЭРА-ГЛОНАСС» подключено более 8 млн транспортных средств, время передачи информации о происшествии в экстренные службы через систему не превышает 19 секунд. Автоматизированное информационное взаимодействие «ЭРА-ГЛОНАСС» с «Системой-112» обеспечено уже в 70 регионах.
Для АО «ГЛОНАСС» как для субъекта КИИ и оператора государственной информационной системы «ЭРА-ГЛОНАСС», задействованной для экстренного реагирования и спасения жизни людей при дорожно-транспортных происшествиях на всей территории России, важным является получение оперативной информации об инцидентах и событиях информационной безопасности на инфраструктуре в круглосуточном режиме. Это позволяет более эффективно выявлять и устранять инциденты информационной безопасности, актуальные угрозы, а также повышать уровень компетенций и осведомленности профильных технических специалистов о направлениях и видах компьютерных атак, проводимых в отношении инфраструктуры АО «ГЛОНАСС», таким образом обеспечивая уровень кибербезопасности в компании. Вариант создания собственного центра мониторинга событий безопасности, функционирующего в круглосуточном режиме, потребовал бы значительных вложений, а также существенного увеличения штата профильных специалистов, поэтом в АО «ГЛОНАСС» остановились на оптимальном варианте сервисной модели SolarJSOC компании «Ростелеком-Солар. Внедрение данной услуги в 2021 году уже позволило выявить и нейтрализовать более 150 киберинцидентов в инфраструктуре АО «ГЛОНАСС», при этом снизив нагрузку на профильных специалистов подразделения информационной безопасности, что способствовало более равномерному распределению их функциональной загруженности на другие стратегически важные задачи, отметил руководитель направления развития инфраструктуры ИБ компании АО «ГЛОНАСС» Евгений Сажнев |
Сервис мониторинга предоставляется АО «ГЛОНАСС» по облачной модели. На инфраструктуре заказчика установлен модуль для сбора событий, которые обрабатываются уже в SIEM-системе, расположенной в облаке «Ростелеком-Солар». В SIEM используются такие сценарии выявления инцидентов ИБ, как срабатывание СЗИ, эксплуатация известных уязвимостей, запуск нелегитимного и подозрительного ПО на хостах и использование TOR-утилит, контроль входа под учетными записями администраторов, мониторинг подключения к сетям через VPN и многое другое. Эксперты Solar JSOC анализируют собранную информацию, ищут взаимосвязи между событиями. При выявлении аномалий или нарушений политик безопасности проводится первичное расследование и оценка инцидента, а также выдаются рекомендации по его ликвидации. При необходимости специалисты Solar JSOC проводят комплексное расследование сложных инцидентов.
Атаки высококвалифицированных злоумышленников крайне сложно детектировать, так как они используют техники обхода базовых средств защиты и не оставляют следов присутствия в журналах событий. Выявлять цепочки событий необходимо по косвенным признакам и неочевидным срабатываниям. Особенно важно, что владельцы таких критических инфраструктур, как «ЭРА-ГЛОНАСС», понимают опасность нарастающей киберугрозы и выбирают более продвинутые варианты защиты. Для анализа инцидентов Solar JSOC использует собственную ежедневно обновляемую базу индикаторов и знаний о киберугрозах (Threat Intelligence), информацию с сети сенсоров и ханипотов по всей стране, результаты пентестов, данные от сторонних SOC и CERT, вендорские подписки, а также данные регуляторов, отметил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», Алексей Павлов |
.