Система защиты конечных устройств для международной промышленной компании

В рамках инициативы ICL Services выстроила централизованную инфраструктуру кибербезопасности, обеспечивающую контроль, управляемость и устойчивость ИТ-среды в нескольких странах присутствия. Проект позволил заказчику снизить операционные риски и обеспечить непрерывность бизнес-процессов в новой регуляторной реальности.

О заказчике

Заказчик проекта — крупная международная компания, специализирующаяся на разработке и поставке решений в области промышленной химии, водоочистки и санитарии для предприятий различных отраслей. Компания работает на глобальном рынке и имеет распределенную инфраструктуру, включающую офисы, производственные площадки и удаленных сотрудников.

Об исполнителе

ICL Services – продуктово-сервисная компания, работающая на российском и международном рынках с 2006 года. Состоит в реестре аккредитованных ИТ-компаний Минцифры России; предлагает широкий спектр продуктов и услуг: от аудита, бизнес-консалтинга и проектирования до полной интеграции с информационными системами заказчиков, поставки оборудования, выполнения проектов внедрения и дальнейшего сопровождения в режиме 24/7.

Предпосылки проекта

В связи с геополитическими изменениями 2022 года российский офис одной из ведущих мировых производственных организаций отделился от материнской структуры. Так, в процессе выстраивания собственной ИТ-инфраструктуры, компания приняла решение о создании самостоятельного контура информационной безопасности и внедрении системы защиты рабочих станций и серверов.

Ранее часть сервисов и средств безопасности предоставлялась централизованно головной компанией, поэтому после разделения заказчику требовалось оперативно развернуть собственную систему защиты и обеспечить контроль всех устройств.

Дополнительной сложностью стала распределенная инфраструктура и наличие сотрудников, работающих вне корпоративной сети.

Задачи проекта

Перед командой проекта стояли следующие задачи:

• построить инфраструктуру управления защитой конечных устройств;
• внедрить антивирусную защиту для рабочих станций и серверов;
• обеспечить централизованное управление и обновление политик безопасности;
• организовать защиту устройств, работающих вне корпоративной сети;
• повысить уровень обнаружения сложных угроз за счет внедрения EDR-функциональности;
• настроить мониторинг и оперативное реагирование на инциденты безопасности.

Ход проекта

Реализация проекта проходила в три ключевых этапа.

1.  Внедрение системы защиты конечных устройств
На первом этапе специалисты разработали архитектуру решения и развернули инфраструктуру управления безопасностью на базе Kaspersky Security Center.
В рамках проекта команда ICL Services внедрила Kaspersky Security Center — систему централизованного управления защитой, Kaspersky Endpoint Security for Windows для защиты пользовательских рабочих станций, а также Kaspersky Endpoint Security for Linux для защиты серверной инфраструктуры.

Инженеры выполнили:

• развертывание сервера управления с базой данных MS SQL;
• настройку политик безопасности и обновлений;
• пилотное внедрение на тестовой группе устройств;
• последующее масштабирование решения на всю инфраструктуру.

После завершения внедрения системой защиты было покрыто около 500 устройств.

2.  Организация защиты удаленных устройств

В процессе эксплуатации была выявлена проблема: часть сотрудников работали удаленно и не всегда подключались к корпоративной сети. Из-за этого устройства нерегулярно получали обновления и политики безопасности.

Так для защиты сотрудников, работающих вне корпоративной сети, был внедрен шлюз соединений Kaspersky Security Center, размещенный в DMZ-сегменте.

Это позволило обеспечить безопасное подключение устройств из сети Интернет, централизованно управлять устройствами без постоянного VPN и гарантировать получение обновлений и политик безопасности.

3.  Внедрение EDR

На этом этапе была внедрена система Kaspersky EDR, позволяющая обнаруживать сложные угрозы и проводить расследование инцидентов.

Специалисты:

• активировали EDR-компоненты на всех устройствах;
• настроили веб-консоль и дашборды мониторинга;
• внедрили систему оповещений о подозрительной активности;
• разработали сценарии реагирования (playbooks) для различных типов инцидентов;
• организовали круглосуточный мониторинг безопасности.

Для оперативного реагирования была создана следующая модель работы:

1. команда мониторинга отслеживает события безопасности;
2. при обнаружении инцидентов проводится первичный анализ;
3. дежурные инженеры безопасности подключаются для расследования и реагирования.

Результаты проекта

В результате проекта заказчик перешел от фрагментированной и частично зависимой от внешних провайдеров модели защиты к централизованной, управляемой системе кибербезопасности. Все конечные устройства были объединены в единый контур с прозрачной политикой контроля, что позволило существенно повысить уровень видимости и управляемости ИТ-инфраструктуры.

Компания получила возможность оперативно выявлять и нейтрализовать угрозы, сократив время реакции на инциденты и снизив нагрузку на внутренние ИТ-команды. При этом внедренное решение обеспечило необходимую технологическую независимость в условиях ограничений со стороны зарубежных сервисов.

Отдельным результатом стала стабильность бизнес-процессов: даже при изменении внешней ИТ-среды и поставщиков сервисов компания сохранила непрерывность работы и контроль над критически важными системами. В итоге проект не только усилил защиту, но и стал основой для дальнейшего развития ИТ-ландшафта и масштабирования решений в других регионах присутствия.