В рамках инициативы ICL Services выстроила централизованную инфраструктуру кибербезопасности, обеспечивающую контроль, управляемость и устойчивость ИТ-среды в нескольких странах присутствия. Проект позволил заказчику снизить операционные риски и обеспечить непрерывность бизнес-процессов в новой регуляторной реальности.
О заказчике
Заказчик проекта — крупная международная компания, специализирующаяся на разработке и поставке решений в области промышленной химии, водоочистки и санитарии для предприятий различных отраслей. Компания работает на глобальном рынке и имеет распределенную инфраструктуру, включающую офисы, производственные площадки и удаленных сотрудников.
Об исполнителе
ICL Services – продуктово-сервисная компания, работающая на российском и международном рынках с 2006 года. Состоит в реестре аккредитованных ИТ-компаний Минцифры России; предлагает широкий спектр продуктов и услуг: от аудита, бизнес-консалтинга и проектирования до полной интеграции с информационными системами заказчиков, поставки оборудования, выполнения проектов внедрения и дальнейшего сопровождения в режиме 24/7.
Предпосылки проекта
В связи с геополитическими изменениями 2022 года российский офис одной из ведущих мировых производственных организаций отделился от материнской структуры. Так, в процессе выстраивания собственной ИТ-инфраструктуры, компания приняла решение о создании самостоятельного контура информационной безопасности и внедрении системы защиты рабочих станций и серверов.
Ранее часть сервисов и средств безопасности предоставлялась централизованно головной компанией, поэтому после разделения заказчику требовалось оперативно развернуть собственную систему защиты и обеспечить контроль всех устройств.
Дополнительной сложностью стала распределенная инфраструктура и наличие сотрудников, работающих вне корпоративной сети.
Задачи проекта
Перед командой проекта стояли следующие задачи:
- построить инфраструктуру управления защитой конечных устройств;
- внедрить антивирусную защиту для рабочих станций и серверов;
- обеспечить централизованное управление и обновление политик безопасности;
- организовать защиту устройств, работающих вне корпоративной сети;
- повысить уровень обнаружения сложных угроз за счет внедрения EDR-функциональности;
- настроить мониторинг и оперативное реагирование на инциденты безопасности.
Ход проекта
Реализация проекта проходила в три ключевых этапа.
1. Внедрение системы защиты конечных устройств
На первом этапе специалисты разработали архитектуру решения и развернули инфраструктуру управления безопасностью на базе Kaspersky Security Center.
В рамках проекта команда ICL Services внедрила Kaspersky Security Center — систему централизованного управления защитой, Kaspersky Endpoint Security for Windows для защиты пользовательских рабочих станций, а также Kaspersky Endpoint Security for Linux для защиты серверной инфраструктуры.
Инженеры выполнили:
- развертывание сервера управления с базой данных MS SQL;
- настройку политик безопасности и обновлений;
- пилотное внедрение на тестовой группе устройств;
- последующее масштабирование решения на всю инфраструктуру.
После завершения внедрения системой защиты было покрыто около 500 устройств.
2. Организация защиты удаленных устройств
В процессе эксплуатации была выявлена проблема: часть сотрудников работали удаленно и не всегда подключались к корпоративной сети. Из-за этого устройства нерегулярно получали обновления и политики безопасности.
Так для защиты сотрудников, работающих вне корпоративной сети, был внедрен шлюз соединений Kaspersky Security Center, размещенный в DMZ-сегменте.
Это позволило обеспечить безопасное подключение устройств из сети Интернет, централизованно управлять устройствами без постоянного VPN и гарантировать получение обновлений и политик безопасности.
3. Внедрение EDR
На этом этапе была внедрена система Kaspersky EDR, позволяющая обнаруживать сложные угрозы и проводить расследование инцидентов.
Специалисты:
- активировали EDR-компоненты на всех устройствах;
- настроили веб-консоль и дашборды мониторинга;
- внедрили систему оповещений о подозрительной активности;
- разработали сценарии реагирования (playbooks) для различных типов инцидентов;
- организовали круглосуточный мониторинг безопасности.
Для оперативного реагирования была создана следующая модель работы:
- команда мониторинга отслеживает события безопасности;
- при обнаружении инцидентов проводится первичный анализ;
- дежурные инженеры безопасности подключаются для расследования и реагирования.
Результаты проекта
В результате проекта заказчик перешел от фрагментированной и частично зависимой от внешних провайдеров модели защиты к централизованной, управляемой системе кибербезопасности. Все конечные устройства были объединены в единый контур с прозрачной политикой контроля, что позволило существенно повысить уровень видимости и управляемости ИТ-инфраструктуры.
Компания получила возможность оперативно выявлять и нейтрализовать угрозы, сократив время реакции на инциденты и снизив нагрузку на внутренние ИТ-команды. При этом внедренное решение обеспечило необходимую технологическую независимость в условиях ограничений со стороны зарубежных сервисов.
Отдельным результатом стала стабильность бизнес-процессов: даже при изменении внешней ИТ-среды и поставщиков сервисов компания сохранила непрерывность работы и контроль над критически важными системами. В итоге проект не только усилил защиту, но и стал основой для дальнейшего развития ИТ-ландшафта и масштабирования решений в других регионах присутствия.
