Найти в Дзене
Simplity | ИТ и Кибербезопасность
18 подписчиков

Мониторинг инцидентов ИБ на международном логистическом объекте

3 мин
Для логистики любая кибератака способна вызвать цепную реакцию. Вредоносное ПО, отказ сервисов, блокировка пользовательских доступов, компрометация систем бронирования, GPS-трекеров, электронного обмена документами или терминальной инфраструктуры приводят к задержкам рейсов, срывам графиков, потерям грузов, нарушению контрактов и крупным финансовым убыткам. В отдельных случаях атака может привести к шифрованию инфраструктуры логистического объекта и нарушить цепочки поставок на международном уровне. ОСОБЕННОСТЬ КЛИЕНТА: Клиент ежедневно управляет тысячами операций: движением транспортных средств, контейнеров, грузов, складов, таможенными процессами, документооборотом и IT-сервисами, связанными в единую экосистему. Такая масштабная, распределённая инфраструктура неизбежно становится привлекательной целью для атакующих - от киберпреступников до группировок, действующих в интересах государств. Из-за большой площади атаки - сотен сервисов, удалённых офисов, транспортных средств, подрядчик

Для логистики любая кибератака способна вызвать цепную реакцию. Вредоносное ПО, отказ сервисов, блокировка пользовательских доступов, компрометация систем бронирования, GPS-трекеров, электронного обмена документами или терминальной инфраструктуры приводят к задержкам рейсов, срывам графиков, потерям грузов, нарушению контрактов и крупным финансовым убыткам.

В отдельных случаях атака может привести к шифрованию инфраструктуры логистического объекта и нарушить цепочки поставок на международном уровне.

ОСОБЕННОСТЬ КЛИЕНТА:

Клиент ежедневно управляет тысячами операций: движением транспортных средств, контейнеров, грузов, складов, таможенными процессами, документооборотом и IT-сервисами, связанными в единую экосистему. Такая масштабная, распределённая инфраструктура неизбежно становится привлекательной целью для атакующих - от киберпреступников до группировок, действующих в интересах государств.

Из-за большой площади атаки - сотен сервисов, удалённых офисов, транспортных средств, подрядчиков и облачных систем - угрозы часто маскируются под нормальный трафик. Без постоянного контроля компания может не заметить проникновение до момента, когда злоумышленник уже получил доступ к критичным системам или начал шифрование данных.

ЗАПРОС КЛИЕНТА:

Предложить надёжное и масштабируемое решение для SOC 24/7, способное охватить всю распределённую инфраструктуру

Мы предложили клиенту платформу Smart Monitor, которая сможет корректно обрабатывать огромные объёмы разнородных логов, работать в условиях сложной сетевой топологии и обеспечивать высокий уровень корреляции событий.

  • Предложенная система мониторинга соответствует ряду критериев:
  • Гибкая настройка правил
  • Поддержка интеграции с сотнями источников и объединение данных в единой панели
  • Возможность детектирования современных угроз и аномалий
  • Отказоустойчивость
  • Надёжное хранение телеметрии и соответствие требованиям регуляторов
  • Автоматизация реагирования

ЧТО БЫЛО СДЕЛАНО КОМАНДОЙ SIMPLITY:

  1. Обследование инфраструктуры. Проанализировали сетевую топологию, серверные мощности, облачные сегменты, СЗИ, журналы приложений и промышленных систем. Определили источники событий, их объёмы, форматы логов и потенциальные узкие места.
  2. Формирование архитектуры системы мониторинга. Спроектировали схему размещения коллекторов логов с учетом геораспределенной инфраструктуры, центральной платформы корреляции, хранилища событий и резервных узлов. Определили каналы передачи данных, параметры отказоустойчивости и политики хранения.
  3. Развернули инфраструктурные компоненты решения. Установили виртуальные машины под сборщики событий, корреляционный движок, консоль оператора SOC, базы данных и хранилища. Настроили сетевые правила, VPN-каналы, балансировку и резервирование.
  4. Подключили источники телеметрии, в том числе Linux, СУБД, сетевые экраны, IPS/IDS, антивирусные решения, почтовые шлюзы, облака и промышленные контроллеры. Настроили передачу событий через Syslog, API, filebeat и EDR агенты.
  5. Настроили нормализацию и маршрутизацию логов. Система была обучена приводить разнородные форматы данных к единому виду, классифицировать события, устранять шум и оптимизировать потоки логов, что повысило точность детектирования.
  6. Включили и адаптировали корреляционные правила с учетом специфики Клиента. Активировали сценарии обнаружения сетевых атак, аномалий поведения, подозрительных действий УЗ, попыток эксплуатации уязвимостей и пр.
  7. Сформировали дашборды и отчётность SOC для технических специалистов клиента. Настроили рабочие панели аналитиков, отчёты для руководства.
  8. Провели тестирование, корректировку и ввод системы в эксплуатацию в круглосуточном

РЕЗУЛЬТАТ

  • Клиент внедрил механизм, благодаря которому компания остается устойчивой, бесперебойно выполняет логистические операции и сохраняет доверие клиентов и партнёров
  • Клиент снизил риск простоя инфраструктуры, финансовых потерь и нарушения международных обязательств
  • Клиент получил оперативное выявление аномальной активности в режиме реального времени и реакцию на кибератаки на ранней стадии.
  • Клиент как объект КИИ делегировал взаимодействие с НКЦКИ команде SOC Simplity - центру ГосСОПКА класса А.

Бизнес и финансы
1,13 млн интересуются