Заказчику требовалось перестроить ИБ-функционал системы, подобрать отечественные решения на замену применявшимся и провести миграцию пула устройств в выбранные системы.
Устройствами в системе, рабочими станциями, серверами и приложениями пользовался широкий круг сотрудников заказчика от аналитиков, 1С-разработчиков до финансового отдела на 2 локациях (Москва и Зеленоград). Особенное внимание нужно было обратить на отладку и конфигурацию политик безопасности, веб-контроля и других, т.к. заказчик не знал заранее, какими они должны быть.
Из возможных и эффективных систем защиты было принято решение использовать EDR-систему, которая в значительной степени расширяет функционал антивирусного приложения, позволяющее собирать подробные данные о попытках хакерских атак.
Используя EDR-систему, ИБ-аналитики заказчика смогут получать доступ к логам о том, с каких IP-адресов и локаций осуществлялась атака, какие устройства она затронула и пр. Для решения этого вопроса подключилась ICL Services.
Задачи
- Проконсультировать заказчика по вопросу выбора российских ИБ-решений, в т. ч. по антивирусным и EDR-системам
- Спроектировать будущую систему с учетом предыдущих решений и локаций
- Внедрить выбранные решения в инфраструктуре заказчика с соблюдением жестких сроков (около 1 месяца для базовой конфигурации)
- Обеспечить максимальное покрытие агентом и программой безопасности Kaspersky всей инфраструктуры заказчика
- Обеспечить техподдержку после внедрения, осуществляя мониторинг и выявлять различные инфраструктурные инциденты, связанные с работой EDR-системы
- Обеспечить обнаружение и реагирование на инциденты ИБ, в т. ч. попытки хакерских атак в режиме 24х7
Команда приступила к проекту 9 января 2023 года. После консультаций по выбору решений команда ICL Services начала разработку с проектирования EDR-системы с учетом мощностей и особенностей ИТ-инфраструктуры заказчика.
Закончив проектирование системы и согласовав с заказчиком будущую архитектуру решения, подсветив риски и преимущества, специалисты ICL Services:
— получив доступ к корпоративным серверам, настроили политики безопасности продвинутой антивирусной защиты и веб-контроля,
— а также, успешно протестировав пилотные группы, приступили к полноценной миграции устройств.
Миграция проходила в несколько этапов: после настройки сервера команда ICL Services использовала свой опыт, лучшие практики ИБ и наработки с прошлых проектов, чтобы настроить политики в соответствии с высокими требованиями обеспечения кибербезопасности. Также с заказчиком были согласованы формат и содержание отчетности по процессам обеспечения ИБ средствами EDR системы.
После развертывания комплекта защиты в тестовом контуре были выявлены и проанализированы риски, а также определены необходимые шаги для последующей миграции. В том числе было учтено, каким устройствам потребуется перезагрузка, а каким нет, и согласовано время проведения работ – чтобы избежать остановки бизнес-процессов заказчика.
Далее в рамках коммерческого предложения мы настроили круглосуточный мониторинг угроз и предоставление отчетов о сбоях в системе и попытках кибератак: как следствие, команда специалистов была расширена, чтобы осуществлять не только техподдержку самой системы, но и обеспечить качественное и оперативное реагирование на инциденты ИБ и возможные угрозы в режиме 24х7.
На завершающем этапе прошли приемо-сдаточные испытания, где заказчик проверил соответствие SLA-требованиям, полноту покрытия серверов и рабочих станций EDR-системой.
Проект был реализован всего лишь за 3 месяца.
Продукты и технологии
- Kaspersky Security Center
- Kaspersky Endpoint Security for Windows
- Kaspersky Security for Windows Server
- Kaspersky Endpoint Detection and Response Optimum
Результаты
- Миграция 800+ устройств на двух локациях прошла успешно и без сбоев в системе.
- После перехода проекта на сервисную модель специалисты продолжили в рамках SOC осуществлять мониторинг различных киберугроз и инцидентов ИБ, фиксируя продолжающиеся попытки хакерских атак на заказчика и оперативно реагировать на них.
- Обеспечили полное покрытие выбранным ИБ-решением всех устройств инфраструктуры клиента и своевременным обновлением сигнатур на них.
эксперт по Оценке безопасности ИТ-инфраструктуры