Агропромышленный холдинг «Дороничи», работающий по принципу полного производственного цикла, повысил уровень защиты от целенаправленных атак и обеспечил киберустойчивость своих критически важных систем. Для этого была внедрена система раннего обнаружения сложных угроз PT Anti-APT, которая базируется на анализе сетевого трафика с помощью PT Network Attack Discovery (PT NAD) и изолированной среде (песочнице) для выявления новейших вредоносных программ PT Sandbox. Как сообщили CNews представители компании Positive Technologies, эти инструменты работают в тандеме, защищая производственные мощности холдинга от киберугроз, простоев и других бизнес-рисков, связанных с инцидентами информационной безопасности.
Уже на этапе пилотного запуска PT NAD помог предотвратить кибератаку на цепочку поставок, направленную на хищение данных. Благодаря внедрению PT Sandbox и PT NAD мы достигли нескольких ключевых целей, прописанных в нашей стратегии кибербезопасности. Система анализа трафика дала нам полную видимость сети и позволила установить контроль над критической инфраструктурой. Песочница, в свою очередь, значительно усилила защиту от атак, использующих сложное вредоносное ПО. Продукты полностью интегрированы: PT Sandbox проверяет все файлы из сетевых сессий, выявленных PT NAD. Решающими факторами при выборе решения стали высокий уровень экспертизы, удобство работы, гибкая интеграция и способность продуктов действовать как единое целое. Также мы очень довольны работой службы технической поддержки Positive Technologies», — отметил Станислав Бахтиаров, руководитель отдела ИБ агропромышленного холдинга «Дороничи».
В ходе пилотного тестирования PT NAD зафиксировал подозрительную активность в розничном сегменте холдинга. Выяснилось, что в оборудовании, приобретенном у проверенного поставщика, был обнаружен инфостилер — вредоносная программа, предназначенная для кражи данных. Специалисты агрохолдинга провели расследование и оперативно нейтрализовали угрозу. PT NAD, зарекомендовавший себя как экспертный инструмент для обнаружения и анализа атак, был интегрирован в инфраструктуру центра обработки данных (ЦОД) и производственный сегмент. Процесс занял всего несколько часов и не вызвал технических сложностей. Система стала основным источником данных о сети и теперь работает в связке с межсетевым экраном нового поколения (NGFW).
За последний месяц PT NAD выявил несколько критически опасных инцидентов. Продукт применил правила, которые помогли обнаружить атаки с высоким и средним уровнем опасности. Специалисты по ИБ агрохолдинга используют готовые репутационные списки с индикаторами компрометации, работают с лентой активностей и зарегистрированными атаками, а также отслеживают состояние трафика с помощью дашбордов, настроенных с учетом особенностей инфраструктуры. Эксперты отмечают, что оперативно реагировать на инциденты помогают, в частности, описания срабатываний правил в PT NAD. Помимо внешних угроз, продукт также помогает выявлять нарушения правил кибергигиены на устройствах сотрудников и подрядчиков.
PT Sandbox проверяет почтовый трафик. Чтобы обеспечить надежную обработку сообщений, в изолированной среде выполняется статический анализ объектов с задействованием ряда антивирусных решений, в том числе PT AV Positive Technologies. Эксперты по информационной безопасности также подчеркивают полезность режима анализа поведения файлов до и после перезагрузки виртуальной машины. Это позволяет обнаруживать сложные угрозы, которые проявляют активность не сразу. PT Sandbox в основном выявляет средства удаленного доступа, трояны, эксплойты, установщики вредоносного ПО, бэкдоры и прочие нежелательные программы. Специалисты по ИБ наблюдают значительный объем фишинговых писем, поэтому стремятся продвигать среди сотрудников практики кибербезопасности, предлагая использовать сервис Checkme. С его помощью можно самостоятельно направлять файлы и ссылки на проверку в PT Sandbox и оперативно получать заключение о легитимности данных.
«Вредоносное ПО применяется в 71% атак на компании. Злоумышленники нередко заражают жертв вредоносными программами через фишинговые электронные письма, — отметил Сергей Осипов, руководитель направления защиты почты от вредоносного ПО в Positive Technologies. — Киберпреступники активно интегрируют в свои разработки технологии искусственного интеллекта, наделяя ИИ функциями автономного компонента, создают гибридное многофункциональное ПО, разрабатывают сценарии обхода средств защиты информации и экспериментируют с форматами доставки полезной нагрузки. В противодействии этим угрозам эффективны многоуровневые системы защиты информации, обеспечивающие комплексную безопасность инфраструктуры».
В качестве очередного шага по укреплению киберустойчивости агрохолдинг рассматривает возможность расширения применения PT NAD на другие системы, а также намерен подключить к PT Sandbox межсетевой экран уровня веб-приложений (WAF).
