|
|
Пример решения: «ВымпелКом» внедряет систему консолидации и корреляции сообщений о событиях информационной безопасностиО заказчике В группу компаний «ВымпелКом» входят операторы связи, предоставляющие свои услуги в России, Казахстане, Украине, Таджикистане, Узбекистане, Грузии и Армении. Лицензии группы компаний «ВымпелКом» на предоставление услуг связи в стандартах GSM и 3G охватывают территорию, на которой проживает около 250 миллионов человек. Это включает всю территорию России, Казахстана, Украины, Узбекистана, Таджикистана, Грузии и Армении. «ВымпелКом» стал первой российской компанией, включенной в листинг Нью-Йоркской фондовой биржи (NYSE). Акции компании котируются на NYSE под символом VIP. Постановка задачи Особенностью обеспечения информационной безопасности «ВымпелКом», имеющего распределенную региональную инфраструктуру, является повышенное внимание к защите ИT-инфраструктуры от вредоносных воздействий, которые могут быть направлены на важные ресурсы компании как извне, так и со стороны внутренних злоумышленников. Для решения этой задачи в компании создана эффективная распределенная система защиты, о масштабах которой можно судить по тому, что в настоящее время ее компоненты генерируют несколько сотен событий в секунду. В этих условиях обеспечение качественного анализа результатов работы системы и реакции на события безопасности стало серьезной проблемой, так как стало требовать привлечения большого количества человеческих и временных ресурсов. Кроме этого, присутствие компании на Нью-Йоркской фондовой бирже влечет за собой обязательства по выполнению компанией требований нормативных документов — Sarbanes Oxley Act, в том числе требований главы 404. С учетом этих требований, было принято решение о создании системы консолидации и корреляции сообщений о событиях информационной безопасности, способной не только обеспечить непрерывный мониторинг уровня информационной безопасности корпоративной информационной сети «ВымпелКом», но и выдавать отчетные документы, признаваемые аудиторами в качестве доказательства выполнения требований SOX. На этапе формализации требований проекта были определены компоненты корпоративной информационной сети, от которых требовалось собирать сообщения о событиях информационной безопасности во всех подразделениях «Вымпелком» на территории России. Помимо межсетевых экранов и сетевых систем предотвращения атак в этот список были включены сканеры безопасности, системы предотвращения атак, установленные непосредственно на серверах, события журналов регистрации событий критичных серверов. Внедренное решение должно обеспечить выполнение следующих задач:
Система консолидации и корреляции сообщений В ходе подготовки к реализации проекта «ВымпелКом» остановило свой выбор на компании «Информзащита», предложившей построить данную систему на основе решения американской компании netForensics — nFX Open Security Platform. nFX Open Security Platform — специализированное решение корпоративного масштаба, предназначенное для сбора сообщений от устройств и программного обеспечения более чем 80 производителей, их приведения к единому формату и корреляции на основе нескольких методик для выявления действительно важных событий, требующих немедленного реагирования сотрудников службы информационной безопасности. В настоящее время в мире под управлением внедренных систем nFX Open Security Platform находится более 1 миллиона устройств.
nFX Open Security Platform позволяет генерировать более 250 различных отчетов, помогающих наглядно представить происходящие в системе события, а также продемонстрировать аудиторам выполнение требований различных нормативных актов.
Сотрудники департамента проектирования и консалтинга компании «Информзащита» провели анализ корпоративной информационной сети «ВымпелКом» и разработали технический проект внедрения системы, который был реализован совместно с сотрудниками департамента информационной безопасности «ВымпелКом». Результаты Внедренное решение позволило автоматизировать процедуры сбора событий информационной безопасности от систем разных производителей, их предварительной обработки, корреляции и хранения, а также генерации отчетов. В результате внедрения системы консолидации и корреляции событий, вместо нескольких миллионов сообщений, поступавших ежедневно от контролируемых устройств, сотрудникам департамента информационной безопасности «ВымпелКом» теперь требуется отслеживать не более 100 событий безопасности, выявленных системой по результатам обработки. Это было достигнуто за счет оптимальной настройки внедряемой системы и создания правил корреляции, учитывающих особенности информационной системы компании. Дополнительным плюсом является то, что внедренное решение позволяет выявлять не только события, связанные с информационной безопасностью, но и обеспечивать дополнительный уровень контроля корректности функционирования ИT-инфраструктуры. Внедренное решение позволило выстроить непрерывный процесс анализа событий безопасности и реагирования на негативные изменения. Существенное уменьшение количества событий, которые приходится анализировать сотрудникам департамента информационной безопасности, гарантирует минимальное время реакции на инциденты. «Мы высоко оцениваем эффективность внедренной системы корреляции событий безопасности. Реализация этого проекта позволила нам существенно поднять уровень обеспечения комплексной безопасности сети и критичных сервисов, открыв дополнительные возможности повышения качества предоставляемых услуг для абонентов. Это достигается за счет эффективного и своевременного мониторинга общего фона воздействий на корпоративную информационно-технологическую инфраструктуру как из интернета, так и из-за ошибок внутренних пользователей. Внедрение механизмов своевременного и превентивного реагирования на эти негативные воздействия позволяет нам не допускать снижения качества сервиса за счет проблем с безопасностью», — так оценил результаты реализации проекта Дмитрий Устюжанин, руководитель департамента информационной безопасности «ВымпелКом». |
