Получить консультацию

ПРОЕКТЫ

Импортозамещение является одним из основных приоритетов в области информационной безопасности для государственных учреждений. В условиях курса на импортозамещение у ИБ-подразделения возникла задача перехода на отечественные средства защиты информации без ущерба для текущей ИТ-инфраструктуры и с увеличением уровня защищенности.

В рамках такого запроса было выполнено проектирование дорожной карты импортозамещения средств защиты информации в инфраструктуре Учреждения.

В рамках проекта были выполнены следующие работы:

  • проведен сбор и анализ данных об ИТ-инфраструктуре учреждения, включая используемые средства защиты информации;
  • выполнена оценка уровня защищенности инфраструктуры путем тестирования на проникновение (пентест) с использованием ручных и автоматизированных инструментов. Выявлены уязвимости и угрозы;
  • разработан комплексный технический проект, включающий рекомендации по внедрению российских решений в области информационной безопасности. Учитывались особенности существующей инфраструктуры учреждения;
  • подготовлено технико-экономическое обоснование предлагаемых решений с детальным сравнением их эффективности.

В результате проекта учреждению были рекомендованы современные российские программно-аппаратные комплексы и технологии кибербезопасности. Это позволило повысить уровень защищенности данных, снизить риски кибератак и обеспечить соответствие требованиям законодательства в области импортозамещения.

Учреждение столкнулось с проблемой недостаточной защищенности внутреннего периметра сети из-за отсутствия современных решений по управлению сетевым трафиком и предотвращению угроз. Это создавало риски для критически важных данных.

Было произведено внедрение межсетевых экранов внутреннего периметра сети производства Check Point LLC. с использованием технологии оркестарции трафика «Maestro Hyperscale Network Security» и протоколов динамической маршрутизации трафика (BGP, OSPF) в высоконагруженном ядре сети Учреждения.

В ходе выполнения данных работ были проведены следующие работы:

  • сбор и анализ исходных о внутренней сети Учреждения (L2 / L3-схемы, конфигурации активного сетевого оборудования);
  • разработан улучшенный дизайн локальной сети Учреждения с учетом NGFW внутреннего периметра: определены ключевые сегменты и зоны безопасности, выявлены основные угрозы и уязвимости текущей архитектуры сети;
  • произведено внедрение внутренних межсетевых экранов Check Point с использованием технологии оркестрации на двух центральных площадках Учреждения – Check Point Maestro 7002 под управлением ПО Check Point R81.20;
  • разработаны и настроены политики безопасности внутреннего сетевого трафика, произведена интеграция со сторонними ИБ и ИТ-системами.

Выполненные мероприятия позволили значительно повысить уровень защиты внутреннего периметра сети, оптимизировать управление сетевым трафиком и обеспечить бесперебойную работу инфраструктуры Учреждения даже при высоких нагрузках.

Банк столкнулся с проблемой поддержки и эксплуатации устаревшей программно-аппаратной платформой узла доступа в Интернет, что снижало производительность системы и увеличивало риски кибератак из-за ограниченного функционала по предотвращению современных угроз.

В результате выполнения работ были проведены следующие мероприятия:

  1. разработан план детальный план модернизации узла доступа в сеть Интернет с учетом недопустимости в перебоях работы сети Банка;
  2. обновлены аппаратные платформы межсетевого экрана внешнего периметра на базе Check Point NGFW для обеспечения повышенной производительности и надежности;
  3. повышен уровень сетевой безопасности посредством внедрения расширенного функционала NGFW для более эффективного противодействия современным киберугрозам;
  4. увеличена пропускная способности выхода в сеть Интернет и публикаций ресурсов клиента;
  5. снижены эксплуатационные затраты и оптимизирован процесс обслуживания;
  6. обеспечены масштабируемость и гибкость с возможностью расширения и адаптации узла под изменяющиеся потребности организации посредством.

Обеспечено решение следующих задач:

  • обнаружение и предотвращение угроз для выявления и блокировки известных и неизвестных угроз, включая вирусы, трояны и эксплойты;
  • защиту от целевых атак с помощью многослойного анализа трафика;
  • инспекция SSL-трафика посредством расшифровывания и анализа трафика для выявления скрытых угроз;
  • идентификация и блокировка коммуникаций с командными серверами ботнетов;
  • запуск и эмуляция вредоносных входящих файлов;
  • предотвращение распространения вредоносного ПО в корпоративную сеть Банка.

В рамках проекта проведены работы по модернизации центрального узла доступа в сеть Интернет без прерывания работы сервисов банка, остановки бизнес-процессов посредством планомерного вывода из эксплуатации устаревших аппаратных платформ NGFW Check Point.

Реализация проекта по созданию системы удаленного доступа на базе решения С-Терра CSP и проекта миграции межсетевого экрана на решение Кода безопасности (Континент 4) для компании из сферы страхования.

Во время пандемии COVID-19 от компании из сферы Страхования поступил запрос о создании системы безопасного удаленного доступа для сотрудников.

Результатом стало создание системы безопасного удаленного доступа на базе сертифицированных решений производителя С-Терра CSP.

Вторым этапом сотрудничества стало выполнение проекта миграции иностранного решения МСЭ на решение отечественного производителя – Код Безопасности (Континент 4).

Были произведены работы по созданию отказоустойчивого кластера МСЭ в двух ЦОДах компании, перенесены и оптимизированы политики и правила, а также настроена система обнаружения вторжений (СОВ).

Для шифрования каналов связи между ЦОДами и подключения внешних контрагентов был дополнительно развернут кластер криптошлюзов на базе С-Терра Шлюз 4.3.

При создании систем были учтены лучшие практики дизайна отказоустойчивых систем, что позволило обеспечить высокую доступность и безопасность сервисов Заказчика.

Целью оказания услуг по обслуживанию подсистемы информационной безопасности Системы-112 Московской области является:

  • обеспечение бесперебойной работы подсистемы информационной безопасности Системы-112 Московской области;
  • обеспечение защиты от угроз несанкционированного доступа к конфиденциальной информации, утечек и повреждения данных Системы-112 Московской области;
  • оперативное восстановление вышедшего из строя оборудования подсистемы информационной безопасности Системы-112 Московской области;
  • сокращение времени простоя оборудования информационной безопасности при выходе из строя.

Команда АСС АйТи:

  • регистрирует обращения пользователей по проблемам связанным с некорректной работой СЗИ,
  • обеспечивает круглосуточный мониторинг и анализ событий ИБ в периметре системы,
  • контролирует защищённость инфраструктуры ЦОДов и объектов Системы-112 Московской области,
  • выполняет сканирование инфраструктуры на наличие уязвимости ПО и оборудования и применяет соответствующие меры по их устранению,
  • дорабатывает и актуализирует организационно-распорядительную документацию,
  • круглосуточно мониторит состояние подсистемы информационной безопасности, каналов связи, доступность объектов Системы-112 Московской области.

В современных условиях обеспечение комплексной и зрелой кибербезопасности для крупных государственных организаций невозможно без применения средств защиты веб-ресурсов на уровне приложений (L7). Особенно это актуально для информационных систем государственного масштаба, которые играют ключевую роль в управлении капитальными вложениями и развитием инфраструктуры страны.

Для проектирования, внедрения и обеспечения защищенности высоконагруженных государственных информационных систем наши специалисты выполнили комплекс работ, направленных на создание надежной системы защиты с использованием решений, входящих в состав российского ПО.

Основные этапы выполненных работ:

  1. Сбор и анализ данных
    Проведен детальный анализ ИТ-инфраструктуры учреждения, включая публикуемые информационные системы (веб-приложения), выявление уязвимостей, возможных векторов кибератак, а также изучение подходов Заказчика к безопасной разработке.

  2. Проектирование архитектуры
    Выполнен сайзинг технических характеристик для обеспечения быстродействия. Разработана отказоустойчивая и масштабируемая архитектура процесса публикации и защиты веб-приложений.

  3. Внедрение решения Web Application Firewall
    Реализованы средства защиты на базе решений компании ООО “СолидСофт” — SolidWall. Использованы батареи балансировщиков нагрузки и анализаторов входящих запросов и исходящих ответов от веб-приложений.

  4. Разработка технического проекта
    Создан комплексный технический проект, стандартизирован процесс миграции и дальнейшей публикации веб-приложений Заказчика.

  5. Оптимизация бизнес-логики и тюнинг WAF
    Определена целевая бизнес-логика приложений, выявлены и устранены ложноположительные срабатывания сенсоров WAF. Проведен ряд мероприятий для повышения быстродействия информационных систем.

Результаты внедрения

Выполненные работы позволили создать надежную и масштабируемую систему защиты для государственного учреждения. Внедрение решений WAF, оптимизация бизнес-логики приложений и проектирование отказоустойчивой архитектуры обеспечили:

  • минимизацию рисков кибератак,
  • стабильную работу критически важных высоконагруженных государственных информационных систем,
  • повышение уровня безопасности и производительности веб-ресурсов.

Данный подход демонстрирует, что современные технологии и профессиональная экспертиза позволяют эффективно защищать критически-важные информационные системы, обеспечивая их бесперебойное функционирование и устойчивость к внешним угрозам уровня веб-приложений.

В организациях со значительным количеством пользователей (от 1000 ПК), серверов, сетевого и иного оборудования ежедневно происходят многочисленные изменения в настройках конфигураций ИТ-инфраструктуры, необходимых для осуществления производственного или рабочего процесса.

 

Сложность и большой объём ИТ-инфраструктуры требует постоянного контроля на соответствие принятым в организации стандартам информационной безопасности, которые зачастую не соблюдаются по тем или иным причинам.

Для решения данной задачи во ФГУП «Почта Роccии» было выбрано средство анализа защищенности RedCheck (ЗАО «АЛТЭКС-СОФТ»).

В классификации средств анализа защищённости RedCheck является профессиональным сканером безопасности, сочетающим сетевые и системные проверки. Его функциональные возможности усилены средствами контроля соответствия, механизмами оценки защищенности СУБД, сертифицированными средствами контроля целостности и рядом других полезных функций, делающих его эффективным средством поиска уязвимостей для большого числа известных атак.

В процессе внедрения инженерами нашей компании, в тесном сотрудничестве с Заказчиком и производителем ПО, были осуществлены следующие работы:

  • разработка Комплаенс-политик (политик соответствия ИБ) под требования ФГУП «Почта России»;
  • установка и настройка ПО (пусконаладочные работы);
  • подготовка проектной документации;
  • проведение опытной эксплуатации системы контроля соответствия с получением реальных представлений о соответствии ИТ-инфраструктуры разработанным Комплаенс-политикам;
  • подготовка и обучение специалистов Заказчика.

В результате работ были разработаны Комплаенс- политики на следующие типы систем:

  • рабочие станций пользователей (Windows и Linux);
  • управляемое сетевое оборудование;
  • СУБД;
  • гипервизоры.

Первые результаты сканирования выявили все имеющиеся несоответствия, разработанным и утвержденным у Заказчика политикам Информационной Безопасности. Отчеты ПО RedCheck были использованы для создания предписаний об устранении выявленных недостатков.

Периодический контроль (аудит и инвентаризация), использование адаптации международной базы уязвимостей и широкий диапазон поддерживаемых платформ стали дополнительным барьером Информационной Безопасности во ФГУП «Почта Роccии».

Обеспечение информационной безопасности на предприятии – комплексная задача, включающая в себя не только организационные или технические мероприятия, но и последующий анализ информационных систем на возможность их взлома.

Силами наших специалистов в ПФ РФ была развернута федеральная система мониторинга и обнаружения уязвимостей на основе продукта Positive Technologies MaxPatrol.

Данная система охватывает все регионы России и обеспечивает возможность реализации превентивных мер для защиты всех ИС Заказчика.

Целью выполнения работ по интеграции программных комплексов информационной безопасности является реализация мер защиты информации в части мониторинга и обнаружения уязвимостей, а именно:

  • выявление уязвимостей информационной безопасности в ПФР, связанных с функционированием текущих и внедрением новых информационных технологий;
  • обнаружение и идентификация ИТ-компонент систем ПФР, в том числе тестовых сред;
  • анализ соответствия инфраструктуры ПФР нормативным требованиям по ИБ.

Для управления системой в главном отделении ПФР был реализован ситуационный центр, а поступление информации о выявленных уязвимостях происходит в интерактивном режиме.

Дополнительно была произведена интеграция системы MaxPatrol с подсистемой «Обеспечение информационной безопасности» АИС ПФР-2, на базе IBM Qradar.

Основным направлением деятельности нашей компании является информационная безопасность. Для наших Заказчиков мы оказываем полный комплекс услуг, начиная с проектирования и внедрения средств ИБ до всестороннего документального обеспечения проектов, в том числе и для прохождения аттестационных мероприятий.

 

В соответствии с внутренней концепцией Информационной Безопасности в Почте России были успешно выполнены проекты по модернизации системы межсетевого экранирования.

Основой для новой системы межсетевого экранирования (МСЭ) стали решения компании Check Point Software:

  • Check Point Smart-1 3050 — модуль управления всеми МСЭ Check Point
  • Check Point 61000 — МСЭ уровня ЦОД с двумя модулями SGM (с возможностью расширения до 10)
  • Check Point 12400 — МСЭ для фильтрации пользовательского Интернет трафика

Кластер из устройств Check Point 61000 позволил организовать надежную защиту публичных ресурсов Заказчика, располагаемых на серверах ДМЗ зоны в двух географически распределенных ЦОДах. При этом отказоустойчивость системы была спроектирована таким образом, что каждая нода кластера Check Point 61000 способна обслуживать трафик соседнего ЦОДа практически без потери производительности. Мощные механизмы предотвращения вторжений IPS значительно снизили риски несанкционированного проникновения в корпоративные системы Заказчика и подняли уровень защищенности ДМЗ серверов на совершенно иной уровень.

Кластер Check Point 12400 стал мощной преградой для проникновения в сеть различных вирусных элементов и другого недоброжелательного контента, который может нанести вред компьютерам сотрудников компании. С учетом основной задачи данного кластера – фильтрации трафика пользователей, была произведена интеграция данного МСЭ с системой защиты от утечек конфиденциальных данных InfoWatch. Таким образом один из основных каналов утечек конфиденциальной информации был полностью защищен.

Устройство управления Check Point Smart-1 3050 стало единой точкой управления всеми кластерами CheckPoint и является мощным средством анализа всего проходящего через МСЭ Check Point трафика.

Данный проект имел ряд особенностей, с которыми мы успешно справились:

  • Обеспечение полной доступности ресурсов во время миграции. Для сотрудников Почты России, равно как и для внешних клиентов, должна была быть обеспечена полная прозрачность процесса миграции, простой в работе предприятия был абсолютно недопустим.
  • Необходимость конвертации и оптимизации правил обработки трафика экспортированных со старого МСЭ Cisco FWSM в количестве, превышающем 30000 строк и более 300 VLANs с ИС различного уровня критичности
  • Обеспечение отказоустойчивости на уровне двух ЦОДов с возможностью перенаправления трафика в каждый из них в случаях возникновения аварийных ситуаций или для проведения плановых работ по обновлению ПО
  • Интеграция с другими системами Заказчика (Active Directory, InfoWatch, Exchange)
  • Обеспечения надежного удаленного доступа (VPN) для сотрудников компании и внешних подрядчиков
  • Реализация концепции BYOD на базе технологии Check Point Capsule для безопасного доступа к корпоративным ресурсам

По нашему опыту, самым «понятным» продуктом для Заказчика являются системы защиты от утечек конфиденциальной информации. Это обусловлено тем, что данные системы фиксируют нарушения политик конфиденциальности в его собственных документах. Системы дают полное понимание о личности нарушителя, частоте и времени нарушений, каналах утечки и о многом другом, а отчеты системы можно применять для служебных расследований.

Совместными усилиями компаний ООО «АСС АйТи» и InfoWatch был успешно выполнен масштабный проект в ФМС России, в результате которого данное ведомство получило одну из лучших Систем защиты от утечек конфиденциальной информации на базе продуктов InfoWatch:

  • InfoWatch Traffic Monitor
  • InfoWatch Device Monitor

Наши инженеры организовали обучение сотрудников ведомства, во всех подробностях объяснили особенности эксплуатации систем, и это позволило Заказчику быстро почувствовать эффект от их внедрения.

Краткая справка о компании InfoWatch и продуктах:

АО «ИнфоВотч» — российская инновационная компания, разрабатывающая уникальные технологии для мониторинга, анализа и защиты корпоративной информации. Компания была сформирована в 2003 году как отдельная организация на основе внутреннего проекта «Лаборатории Касперского» и в настоящее время занимает лидирующую позицию на российском рынке систем комплексной информационной безопасности.

 

В компании «ИнфоВотч» накоплены уникальный опыт и технологии в области защиты объектов информатизации от внутренних и наружных угроз, позволяющие успешно решать задачи обеспечения стабильного функционирования государственных и корпоративных информационных систем, а также конфиденциальности обрабатываемых данных.
В соответствии с действующим законодательством Российской Федерации компания «ИнфоВотч» обладает всеми необходимыми лицензиями и сертификатами ФСТЭК, ФСБ.

 

Решения компании «ИнфоВотч» успешно внедрены и применяются более чем в 200 крупнейших государственных и коммерческих организациях России, стран СНГ и дальнего зарубежья, таких как: ФТС России, ФСС РФ, Федеральная служба по регулированию алкогольного рынка, Сбербанк России, Газпромбанк, Банк ВТБ, Банк Москвы, Банк «Возрождение», Объединенная судостроительная корпорация, Компания «Сухой», Московский вертолетный завод им. М.Л. Миля, Улан-Удэнский авиационный завод, структуры РЖД, Транснефть, ЛУКОЙЛ, Сургутнефтегаз, Татнефть, Мегафон, Вымпелком, Беларусбанк, Администрация Президента Республики Казахстан, Управление делами Президента Республики Казахстан, Национальный Банк Республики Казахстан и другие.

Компания «ИнфоВотч» предлагает продукты для обеспечения комплексной защиты от актуальных угроз информационной безопасности и обеспечения защищенности конфиденциальных данных, АСУ ТП на базе собственных решений:

  • InfoWatch Traffic Monitor – система, специально предназначенная для обеспечения полного контроля информационных потоков в режиме реального времени (категорирование и определение конфиденциальных документов, контроль рабочих станций, корпоративной почты, съемных носителей и других популярных каналов утечки информации, включая сетевые, локальные принтеры). InfoWatch Traffic Monitor гибко интегрируется с установленными в ИТ-инфраструктуре компании системами информационной безопасности.

  • InfoWatch Targeted Attack Detector – решение по диагностике информационных ресурсов организации на наличие уникальных вредоносных программ, созданных профессионалами с целью воровства конфиденциальной информации, кибершпионажа, и получения выгоды от компроментации информационных систем. Решение основано на сочетании статического и динамического анализа, а также технологий выявления конфигурационных и поведенческих аномалий в целях обнаружения таргетированных атак.

  • InfoWatch Kribrum – веб-сервис, предназначенный для мониторинга и анализа социальных медиа активностей, а так же управления репутацией организации или персоналий в Интернете. Данное решение специально предназначено для мониторинга и управления потребительским опытом, лояльностью масс, предотвращения распространения негатива, отслеживания неправомерного распространения корпоративной информации, быстрого обнаружения фактов ненадлежащего поведения сотрудников в Интернете.

  • InfoWatch Attack Killer (Web Application Firewall) — автоматизированная система защиты веб-ресурсов и сервисов любой сложности от хакерских, целевых и DDoS-атак. Решение обеспечивает тотальную защиту ресурсов и сервисов компании от всех известных атак, благодаря синергии технологических разработок четырех компаний (Cezurity, QRator, Wallarm, Appercut).

Данный проект включал комплекс технических и организационных мероприятий, а также работ по аудиту бизнес процессов Заказчика с целью определения перечня документов содержащих Коммерческую тайну и путей их распространения. Был разработан регламент работы с Коммерческой информацией и иные меры организационного плана.
В качестве технических мер по предотвращению утечек чувствительной информации были выбраны решения компании InfoWatch – лидирующего поставщика систем подобного класса.

 

Данная система была настроена на перехват информации по всем возможным каналам утечки, включая исходящий трафик в Интернет (публичные почтовые сервисы, мессенджеры, облачные ресурсы), перехват информации копируемой на внешние носители или отправляемой на принтер, а также другие каналы утечек.

 

В качестве технической платформы для хранения и анализа трафика были поставлены сервера и системы хранения данных компании Hewlett Packard.

 

Принятые меры сформировали у сотрудников более ответственный подход к обработке КИ (конфиденциальная информация).

Безопасность сетевой инфраструктуры любого предприятия основана на фильтрации и анализе трафика, как входящего, так и покидающего периметр сети. В качестве базового компонента, ответственного за выполнение данной задачи, применяются различные устройства Межсетевого экранирования. Компания «АСС АйТи» совместно с технологическим партнёром – компанией Check Point Software Technologies, успешно внедрила в корпоративную сеть ФМС России межсетевые экраны следующего поколения (NGSE – Next Generation FireWall). Данное решение помогло значительно упростить анализ текущего трафика и управление политиками сетевого доступа, благодаря простому и понятному интерфейсу, а также позволило организовать удалённый доступ для сотрудников.

 

К традиционным технологиям фильтрации Web-трафика, основанным на категориях сайтов и антивирусному анализу, решение от Check Point добавило мощную и уникальную в своём роде технологию предотвращения вторжений (IPS – Intrusion Prevention System) с ежедневными обновлениями сигнатур, выпускаемых экспертами лаборатории Check Point.

 

Для мобильных пользователей ФМС России была реализована концепция BYOD (Bring Your Own Device), позволяющей установить на любой смартфон сотрудника ФМС приложение Check Point Capsule, которое организует защищенный канал доступа к ресурсам ФМС. В данном приложении реализованы все основные рабочие инструменты, такие как доступ к электронной почте, календарю, контактам и иным корпоративным ресурсам. Двухфакторная идентификация и полная изолированность контейнера Check Point Capsule от Операционной среды смартфона надёжно защищает корпоративные данные от несанкционированного доступа даже в случае утери смартфона.

С учётом постоянного развития информационных систем, увеличения их количества и уровня сложности, растёт и количество уязвимостей, которые могут быть использованы злоумышленниками. При этом, несмотря на наличие надёжных антивирусных решений, многие атаки могут быть выполнены с использованием вполне легитимных операций или на основе информации об, так называемых, уязвимостях «нулевого» дня, наличии излишне привилегированных прав у пользователя, либо чрезмерно мягких правилах Межсетевого экрана и т.п. Для выявления подобных ситуация, во многом связанных с человеческим фактором, в главном ЦОД ФМС России была развёрнута интеллектуальная информационно-аналитическая система на базе продукта Positive Technologies MaxPatrol.

 

Система MaxPatrol способна выявить максимальное количество уязвимостей в информационных системах до того, как они будут обнаружены и использованы злоумышленниками. Регулярное автоматическое сканирование с помощью MaxPatrol требует минимального вмешательства специалиста. Система работает удалённо, никаких «агентов» и дополнительного ПО на проверяемые хосты ставить не требуется. После сканирования MaxPatrol выдаёт чёткие рекомендации по устранению обнаруженных уязвимостей.

Получить консультацию