Российские ИТ-решения и искусственный интеллект в борьбе с уязвимостями системы безопасности Свердловской области
Государственные информационные каналы ежедневно обрабатывают колоссальные массивы конфиденциальных данных. Кибернападения на правительственную инфраструктуру способны нарушить работу подконтрольных ведомств, а в критических ситуациях создать риски для безопасности страны. Согласно актуальной статистике, на госсектор приходится 17% от общего числа кибератак (исследование Positive Technologies 2025). При этом увеличивается не только частота инцидентов (для сопоставления: в 2023 году значение достигало 15%), но и постоянно эволюционируют способы их осуществления.
Для поддержания требуемого уровня устойчивости систем защиты информации в подобной обстановке государственным учреждениям необходимо формировать действенную оборону. Именно этой стратегии следует администрация Свердловской области. Во многом благодаря такой политике регион вошел в топ-10 субъектов России, достигших наивысшей оценки по параметру «Информационная безопасность» в Федеральной системе координации информатизации, и за три года переместился с 74-й на 6-ю строчку в рейтинге цифровизации российских регионов. Значительный вклад в этот прогресс внесли реализованные инициативы по укреплению защищенности инфраструктуры. Ключевым этапом стало внедрение метапродукта Positive Technologies MaxPatrol O2 – впервые в практике региональных органов власти. Детали проекта и достигнутые эффекты раскрыли специалисты группы компаний «Анлим», осуществляющей интеграцию решения в региональную инфраструктуру.
Движение к автоматизированной системе киберзащиты
Информационные активы администрации Свердловской области изначально представляли собой сложную архитектуру. На начальном этапе она объединяла множество технологических платформ и разобщенных инфраструктурных элементов. Деятельность проходила в обстановке выраженного дефицита специалистов. Параллельно системы кибербезопасности формировали непрерывный поток оповещений, анализировать которые, выявлять ошибочные тревоги и реагировать на настоящие угрозы было крайне затруднительно из-за недостатка персонала или компетенций. В подобной ситуации пропустить реальный инцидент весьма вероятно. Киберпреступники маскируют свои действия под разрешённые операции, и для их выявления требуется анализировать огромные массивы информации. Поэтому ложные срабатывания — неизбежный элемент мониторинга кибербезопасности, без них невозможно добиться качественного обнаружения угроз.
Для преобразования ситуации и усиления защищённости информационного пространства региона эксперты правительства Свердловской области на протяжении нескольких лет вели работу по упорядочиванию и унификации инфраструктуры. Итогом стало принципиальное заключение: требуется платформа, способная оперативно противодействовать кибератакам и исключающая необходимость постоянного анализа ложных тревог из многочисленных информационных комплексов.
Почему выбрали MaxPatrol O2?
MaxPatrol O2 — это комплексное решение, способное автоматически выявлять злоумышленников, идентифицировать компрометированные ресурсы и блокировать атаки до причинения серьёзного ущерба.
Данная система позволяет минимизировать участие человека в процессе наблюдения и сократить время реагирования на угрозы, что особенно ценно в условиях нехватки кадров. Внедрение технологии даёт возможность уменьшить численность требуемых специалистов по кибербезопасности, снизить планку требований к их подготовке и, что最关键, способствует сокращению ложных оповещений и рисков пропуска реальных атак.
Поэтапная реализация
MaxPatrol O2 — это комплексная платформа, предполагающая определённый уровень зрелости системы безопасности организации. До начала работ важно осознавать, что внедрение любого защитного инструмента не является универсальным решением. Злоумышленник всё равно сможет быстро проникнуть в инфраструктуру, если в ней изначально присутствуют неисправленные уязвимости. Поэтому перед развёртыванием системы необходимо выполнить значительный объём технических мероприятий: аудит инфраструктуры, усиление защищённости и грамотная настройка всех компонентов. Этот шаг можно считать подготовительным, и только после его завершения возможен переход к первому этапу внедрения.
Этап 1. Выявление недопустимых событий
Критическим инцидентом считается ситуация, способная возникнуть вследствие кибернетического нападения и вызывающая сбой или полную остановку ключевых операций учреждения либо препятствующая достижению его стратегических задач, что способно повлечь значительный урон для организации. В качестве примеров можно привести выход из строя систем оповещения граждан о чрезвычайных происшествиях, приостановку выпуска продукции с массовым появлением дефектных изделий, искажение сведений на официальных интернет-ресурсах государственных органов, утрату важнейших объектов интеллектуальной собственности (оригинальных технических схем, производственных формул).
Определение критических инцидентов выполняется на начальной стадии, чтобы сразу сформировать ясное представление о том, какие ресурсы требуют первоочередной защиты. Это позволяет грамотно развернуть и настроить MaxPatrol O2, выделив наиболее значимые и приоритетные системы.
Этап 2. Выбор целевого сегмента
Учитывая масштабность инфраструктуры правительства Свердловской области, внедрение решения осуществлялось поэтапно. Первоначальным объектом стала инфраструктура одного из подконтрольных учреждений, размещённая в центре обработки данных правительства. Были выделены системы, потенциально привлекательные для злоумышленников, а также компоненты, обеспечивающие их стабильную работу.
Этап 3. Анализ инфраструктуры целевого сегмента
На данной стадии специалисты получили детальное представление о составе защищаемой инфраструктуры (серверные ресурсы, рабочие станции пользователей и администраторов, сетевые компоненты и прочее), установили существующие взаимосвязи и определили используемое программное обеспечение. Проведя такую инвентаризацию, они закономерно обнаружили недостатки в системе безопасности: неустранённые уязвимости, недостаточное разделение прав доступа, несоответствующие требованиям конфигурации. По итогам был составлен план усиления защиты инфраструктуры, который незамедлительно начал реализовываться.
Этап 4. Организация эффективного взаимодействия установленных средств защиты информации с MaxPatrol O2
Для полноценного функционирования MaxPatrol O2 требуется комплексный охват защищаемой инфраструктуры инструментами, осуществляющими регистрацию и сбор данных на уровне сетевых узлов и коммуникаций. Такими инструментами выступают решения категорий SIEM и NTA.
На этом этапе специалисты ликвидировали «слепые зоны», правильно настроили систему мониторинга и безопасности.
Ключевой задачей являлось не только обеспечение сбора информации со всей инфраструктуры, но и контроль за тем, чтобы регистрировались именно те данные, которые требуются для корректного функционирования системы, одновременно снижая нагрузку на сетевые каналы.
Этап 5. Апробация продукта
Для наглядной демонстрации возможностей MaxPatrol O2 потребовалось смоделировать кибератаку, для чего специалисты выполнили тестирование на проникновение (пентест). Группа этичных хакеров разработала сценарий реализации критического для сервисов Правительства Свердловской области инцидента и предприняла меры по его осуществлению.
Система MaxPatrol O2 фиксировала все шаги гипотетического нарушителя на протяжении всей атаки — как на рабочих станциях, так и при перемещении по корпоративной сети. При этом саму кибератаку и рекомендуемые системой меры противодействия можно было наблюдать в живом режиме.
Этап 6. Итоги тестирования
В ходе пентестирования выделенного сегмента правительства Свердловской области платформа MaxPatrol O2 выявила атаки, восстановила их последовательность, обосновала выводы для специалистов по информационной безопасности и предложила конкретные шаги по блокировке дальнейших действий злоумышленника.
Каковы дальнейшие планы?
Успешное тестирование в выделенном сегменте и подтверждение работоспособности системы на практике побудили правительство Свердловской области запланировать адаптацию MaxPatrol O2 для развертывания на других защищаемых объектах в рамках общей инфраструктуры, а также расширить функционал решения за счет перевода из режима обнаружения кибератак в режим их автоматического блокирования.
■ Рекламаerid:2W5zFGNuCRvРекламодатель: ООО "Анлим-ИТ"ИНН/ОГРН: 7202226910/1127232005328Сайт: www.unlim.group
