Фактический адрес
Офис Simplity «Чистые Пруды»,
ул. Мясницкая д. 24/7 стр.3

+7 499 288 88 18
Мониторинг инцидентов ИБ в международной логистической компании
Вернуться

Мониторинг инцидентов ИБ в международной логистической компании

более 1 ТБ
составляет поток событий ИБ в сутки
Проблема

  • Для логистики любая кибератака способна вызвать цепную реакцию.

  • Вредоносное ПО, отказ сервисов, блокировка пользовательских доступов, компрометация систем бронирования, GPS-трекеров, электронного обмена документами или терминальной инфраструктуры приводят к задержкам рейсов, срывам графиков, потерям грузов, нарушению контрактов и крупным финансовым убыткам.

  • В отдельных случаях атака может привести к шифрованию инфраструктуры логистического объекта и нарушить цепочки поставок на международном уровне.

Особенность

Клиент ежедневно управляет тысячами операций: движением транспортных средств, контейнеров, грузов, складов, таможенными процессами, документооборотом и IT-сервисами, связанными в единую экосистему. Такая масштабная, распределённая инфраструктура неизбежно становится привлекательной целью для атакующих - от киберпреступников до группировок, действующих в интересах государств.

Из-за большой площади атаки - сотен сервисов, удалённых офисов, транспортных средств, подрядчиков и облачных систем - угрозы часто маскируются под нормальный трафик. Без постоянного контроля Клиент может не заметить проникновение до момента, когда злоумышленник уже получил доступ к критичным системам или начал шифрование данных.

Запрос

  • Предложить надёжное и масштабируемое решение для SOC 24/7, способное охватить всю распределённую инфраструктуру

ЧТО БЫЛО СДЕЛАНО КОМАНДОЙ SIMPLITY:

Мы предложили клиенту SIEM систему Smart Monitor, которая сможет корректно обрабатывать огромные объёмы событий, работать в условиях сложной сетевой топологии и обеспечивать высокий уровень корреляции событий.

Предложенная SIEM система соответствует ряду критериев:

  • Гибкая настройка правил
  • Поддержка интеграции с сотнями источников и объединение данных в единой панели
  • Возможность детектирования современных угроз и аномалий
  • Отказоустойчивость
  • Надёжное хранение телеметрии и соответствие требованиям регуляторов
  • Автоматизация реагирования

 Работа над проектом происходила по следующим этапам:

  1. Обследование инфраструктуры. Проанализировали сетевую топологию, серверные мощности, облачные сегменты, СЗИ, журналы приложений и промышленных систем. Определили источники событий, их объёмы, форматы логов и потенциальные узкие места.
  2. Формирование архитектуры системы мониторинга. Спроектировали схему размещения коллекторов логов с учетом геораспределенной инфраструктуры, центральной платформы корреляции, хранилища событий и резервных узлов. Определили каналы передачи данных, параметры
  3. Развернули инфраструктурные компоненты решения. Установили виртуальные машины под сборщики событий, корреляционный движок, консоль оператора SOC, базы данных и хранилища. Настроили сетевые правила, VPN-каналы, балансировку и резервирование.
  4. Подключили источники телеметрии, в том числе Linux, СУБД, сетевые экраны, IPS/IDS, антивирусные решения, почтовые шлюзы, облака и промышленные контроллеры. Настроили передачу событий через Syslog, API, filebeat и EDR агенты.
  5. Настроили нормализацию и маршрутизацию логов. Система была обучена приводить разнородные форматы данных к единому виду, классифицировать события, устранять шум и оптимизировать потоки логов, что повысило точность детектирования.
  6. Включили и адаптировали корреляционные правила с учетом специфики Клиента. Активировали сценарии обнаружения сетевых атак, аномалий поведения, подозрительных действий УЗ, попыток эксплуатации уязвимостей и пр.
  7. Сформировали дашборды и отчётность SOC для технических специалистов клиента. Настроили рабочие панели аналитиков, отчёты для руководства.
  8. Провели тестирование, корректировку и ввод системы в эксплуатацию в круглосуточном режиме.
Результат
  • Клиент внедрил механизм, благодаря которому компания остается устойчивой, бесперебойно выполняет логистические операции и сохраняет доверие клиентов и партнёров
  • Клиент снизил риск простоя инфраструктуры, финансовых потерь и нарушения международных обязательств
  • Клиент получил оперативное выявление аномальной активности в режиме реального времени и реакцию на кибератаки на ранней стадии.
  • Клиент как объект КИИ делегировал взаимодействие с НКЦКИ команде SOC Simplity - центру ГосСОПКА класса А.
Сотрудничать
с Simplity
Использование cookies

Наш сайт использует куки. Продолжая им пользоваться, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности.
Политика использования cookie-файлов