STEP LOGIC внедрил комплексное решение для обеспечения антивирусной защиты и контроля целостности объектов критической информационной инфраструктуры (ОКИИ) на одном из крупнейших российских горнодобывающих предприятий.
Перед специалистами компании стояла задача по обеспечению защиты ИТ-инфраструктуры ОКИИ в соответствии с требованиями законодательства РФ и моделью угроз, учитывающей реальные инциденты ИБ на 5 производственных площадках, территориально удаленных от мегаполисов. В общей сложности инфраструктура заказчика включала в себя более 700 узлов, часть из которых относилась к автоматизированным системам управления производством, размещенным в изолированных сетях без возможности удаленного подключения.
Учитывая специфику работы предприятия и требования законодательства в области защиты ОКИИ, заказчику было предложено комплексное решение по обеспечению ИБ, состоящее из продуктов «Лаборатории Касперского»:
Kaspersky Security для Windows Server и Kaspersky Endpoint Security – для защиты серверов и рабочих станций ОКИИ в корпоративной сети,
KICS for Nodes – для сегмента АСУ ТП,
Kaspersky Security Center – для централизованного управления политиками безопасности.
Ввиду территориальной удаленности объектов и отсутствия возможности удаленной установки ПО, команда проекта разработала детальный план выполнения работ, включающий 4 этапа.
На первом этапе в виртуальной среде были созданы копии типовых АРМ и серверов с установленным технологическим ПО для предварительного тестирования политик безопасности продуктов «Лаборатории Касперского». В результате удалось собрать дополнительные данные о работе ПО АСУ ТП для корректировки стандартных политик безопасности, что позволило исключить ошибки совместимости при внедрении, устранить ложные срабатывания из журналов мониторинга и скорректировать требования к АРМ и серверам.
Далее специалисты STEP LOGIC внедрили продукты вендора на пилотных группах АРМ и серверах на производственных площадках. Чтобы исключить заражение инфраструктуры через съемные носители с дистрибутивами, на них была установлена защита от записи. После установки антивирусных клиентов на всех АРМ и серверах выполнялась полная антивирусная проверка и лечение зараженных объектов. В случае ложных срабатываний результаты сканирования отправлялись в ТП вендора для корректировки сигнатур.
На третьем этапе специалисты компании приступили к пилотированию на «боевых объектах без дублеров» – установке решений на «standalone» серверы, на которых отсутствовало резервирование и резервное копирование, а затем – на все АРМ и серверы площадок.
Для повышения эффективности внедряемых мер защиты, снижения общего объема событий безопасности, формируемых антивирусными решениями, и исключения ложных срабатываний при использовании функционала мониторинга работы ПО АСУ ТП специалисты компании выполнили переопределение стандартных параметров в политике Kaspersky Industrial CyberSecuirty for Nodes. В частности, было разработано более 23 тыс. правил для модуля «Контроль запуска программ», определены исключения из зоны мониторинга для модуля «Мониторинг файловых операций», а также адаптированы настройки модуля «Анализ журналов» – отключены правила, генерирующие события, не свидетельствующие о несанкционированных изменениях в работе ПО АСУ ТП.