Экспобанк, входящий в топ-40 крупнейших банков России, уже пять лет использует систему мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM . Продукт оперативно обнаруживает подозрительную активность и оповещает о ней операторов, что помогает банку предотвращать атаки на ранних этапах до наступления недопустимых событий. Результативность работы операторов SIEM‑системы подтверждена статистикой своевременно выявленных попыток проникновения в инфраструктуру, а также итогами регулярно проводимых пентестов.
С 2018 года Экспобанк применяет комплексный подход к обеспечению кибербезопасности. Финансовая организация использует десятки информационных систем; банку требовалось иметь полную видимость инфраструктуры и в режиме реального времени непрерывно контролировать ее защищенность. Для мониторинга событий ИБ банк рассматривал зарубежные и российские SIEM-системы.
По итогам пилотного тестирования был выбран MaxPatrol SIEM, который максимально соответствовал требованиям компании. Продукт обеспечивает результативность работы аналитиков, являясь ядром для построения ИБ в организации. «MaxPatrol SIEM гарантированно выявляет инциденты, которые могут привести к нарушению киберустойчивости организации. Продукт стабильно работает в инфраструктурах любого масштаба, быстро адаптируясь к изменениям в них, фиксирует обновления инфраструктуры в реальном времени, контролирует полноту и качество сбора событий ИБ», — комментирует Сергей Сухоруков, лидер практики продуктов по мониторингу ИБ и управлению инцидентами Positive Technologies.
Отечественная система обладает такими же функциональными возможностями, как и иностранные аналоги. Помимо этого, MaxPatrol SIEM, в отличие от зарубежных систем, регулярно получает информацию о способах обнаружения актуальных для российского ландшафта угроз, о тактиках и техниках злоумышленников (данные передаются в виде пакетов экспертизы). Среди других преимуществ продукта специалисты Экспобанка отмечают гибкую систему лицензирования. Также MaxPatrol SIEM имеет все необходимые сертификаты ФСТЭК России и входит в реестр отечественного ПО .
В настоящее время система обрабатывает 16 000 событий в секунду. Она выполняет мониторинг всей IT-инфраструктуры банка, состоящей из 5000 активов (серверов, рабочих станций, сетевого оборудования). К MaxPatrol SIEM также подключены другие продукты Positive Technologies: PT Network Attack Discovery , MaxPatrol VM , PT XDR и PT Threat Intelligence Feeds . Внедрение и настройку MaxPatrol SIEM осуществила компания «Акстел-Безопасность». Специалисты компании поддерживают продукт, а также помогают подразделению ИБ Экспобанка в анализе киберугроз.
«MaxPatrol SIEM подтвердил результативность при защите банка от кибератак. Система уведомляет о любом подозрительном действии, и за пять лет мы не пропустили ни одного значимого инцидента. Кроме того, мы регулярно проводим тестирования на проникновение и довольны результатами работы операторов: в интерфейсе MaxPatrol SIEM они следят за всей цепочкой атаки, — рассказал Вячеслав Кузьмин, руководитель направления информационной безопасности Экспобанка. — Быть всегда начеку и контролировать безопасность нам помогают еще пять продуктов Positive Technologies. Благодаря этому банк своевременно реагирует на угрозы и противодействует им до наступления серьезных последствий. Для защиты сети и отражения внешних атак мы также планируем приобрести PT NGFW , как только он будет представлен рынку».
«Главная цель подобных проектов не сам факт внедрения SIEM-системы, а достижение высокого уровня кибербезопасности компании. Он проверяется либо в момент атаки, либо на пентестах. Когда организация подвергается целенаправленной атаке, комплекс внедренных систем защиты — вкупе с правильно выстроенными процессами — должен ее вовремя обнаружить и пресечь. Эффективность внедрений должна выражаться в результатах: пентесты не приводят к недопустимым для компании событиям, атаки злоумышленников вовремя выявляются и предотвращаются, — комментирует Максим Прокопов, руководитель направления информационной безопасности компании «Акстел-Безопасность». — C MaxPatrol SIEM Экспобанк чувствует себя намного увереннее: простота и гибкость настройки мониторинга и управления событиями ИБ в MaxPatrol SIEM позволила обойтись без увеличения штата специалистов».