Профиль организации
- Название: ФГУП ВГТРК.
- Отрасль: СМИ.
- Состав компании: федеральные каналы «Россия-1», «Россия — Культура» и «Россия-24», международный канал «РТР-Планета», русская версия канала «Евроньюс», более 80 региональных телерадиокомпаний, четыре радиостанции («Радио России», «Маяк», «Культура», «Вести FM»), интернет-канал «Россия».
- Решение: PT Network Attack Discovery для глубокого анализа сетевого трафика, выявления вредоносной активности в сетевом трафике, расследования инцидентов и выполнения требований регуляторов.
начальник отдела защиты информации ВГТРК
«Для эффективной борьбы с постоянными киберугрозами нам нужен был инструмент, позволяющий быстро анализировать проблемы, возникающие в различных точках подключения, отслеживать общую ситуацию в сети или действия конкретной машины. Благодаря внедрению PT Network Attack Discovery мы смогли решить проблему контроля вредоносной активности в сетевом трафике, а также провели подготовку к выполнению требований регулирующих органов».
Всероссийская государственная телевизионная и радиовещательная компания (ВГТРК) — крупнейшая медиакорпорация России. ВГТРК является лидером на рынке национального вещания и одним из ведущих производителей программ.
Задача
Число целенаправленных атак на компании растет с каждым годом — в 2017 году с ними столкнулась уже каждая вторая организация1. Выявление и отражение этих атак становится крайне трудоемкой задачей: злоумышленники все чаще используют множественные векторы проникновения в инфраструктуру и сложное вредоносное ПО. В таких условиях процесс выявления скрытых угроз может тянуться от нескольких недель до нескольких лет.
Отдельным слабым звеном в защищенности компании является ее персонал: загружая вредоносные файлы и переходя по подозрительным ссылкам в интернете, сотрудники нередко провоцируют заражение всей инфраструктуры и компрометацию важных данных.
Как крупная медийная компания ВГТРК часто сталкивается с подобными угрозами. Осознавая существующие риски, отдел защиты информации (ОЗИ) ВГТРК принял ряд мер по повышению корпоративной защищенности. Эти меры включали внедрение системы сетевой безопасности для глубокого анализа взаимодействия компонентов сети и поиска аномалий в сетевых соединениях. Для решения этих задач требовался продукт, предоставляющий:
- агрегацию всех данных о сетевых взаимодействиях в инфраструктуре компании;
- возможность сбора и хранения сырого трафика и метаданных;
- инструменты ретроспективного анализа данных для поиска аномалий в трафике, происходивших в прошлом.
Решение
ОЗИ ВГТРК выбрал PT Network Attack Discovery (PT NAD) — комплексное решение сетевой безопасности, предназначенное для анализа сетевого трафика, выявления и расследования инцидентов ИБ.
В ходе работы PT NAD захватывает, обрабатывает и хранит большие объемы сырого трафика. Разбирая протоколы до уровня L7, система на лету извлекает и сохраняет метаданные с уникальными параметрами каждого сетевого соединения: IP-адресами и значениями полей протоколов, репутацией передаваемых объектов, задействованными портами, приложениями.
Среди других решений класса Network Forensics продукт выделяет наличие встроенной системы пассивного выявления атак с помощью сигнатурных методов и поведенческого анализа. Кроме того, PT NAD поддерживает загрузку файлов с трафиком из внешних источников для проведения ретроспективного анализа. Анализ трафика в реальном времени в сочетании с ретроспективой позволяет не только выявлять текущую скрытую вредоносную активность, но и отслеживать векторы развития и хронологию атак.
Результаты
Уже в ходе пилотного проекта с помощью PT NAD специалистам ОЗИ ВГТРК удалось обнаружить в корпоративной сети несколько действующих ботнетов и другую скрытую вредоносную активность. Вскоре после перехода на боевую систему было выявлено и оперативно ликвидировано несколько программ-майнеров.
В результате проекта ВГТРК получила удобный инструмент для контроля вредоносной активности в сетевом трафике и возможность для выполнения требований регуляторов — в частности, новых требований к операторам связи и интернет-проектам, предусмотренных Федеральным законом № 35-ФЗ «О противодействии терроризму».
Ключевые преимущества
- Хранение сырого трафика и метаданных. Гарантированный захват трафика скоростью до 10 Гбит/с, индексация и запись в файлы формата PCAP.
- Реконструкция сессий. Детальный разбор протоколов и извлечение метаданных о параметрах сетевых соединений, мощные механизмы поиска и фильтрации для быстрой навигации в больших массивах сохраненных данных.
- Извлечение файлов. Автоматизированное извлечение объектов, передаваемых через протоколы прикладного уровня: HTTP, FTP, POP3, SMTP, SMB, NFS и др.
- Ретроспективный анализ. Импорт файлов в формате PCAP из внешних источников для углубленного анализа и выявления не обнаруженных в прошлом атак.
- Визуализация данных. Подробная статистика событий безопасности, настраиваемые формы отчетов и графиков, наглядная карта сетевых взаимодействий.
- Обзор «Кибербезопасность (2017–2018): цифры, факты, прогнозы», Positive Technologies.