Внедрение системы защиты конечных устройств для международной промышленной компании
Заказчик проекта – крупная международная компания, специализирующаяся на разработке и поставке решений в области промышленной химии, водоочистки и санитарии для предприятий различных отраслей.
Компания работает на глобальном рынке и имеет распределённую инфраструктуру, включающую офисы, производственные площадки и удалённых сотрудников.
В связи с геополитическими изменениями 2022 года российский офис одной из ведущих мировых производственных организаций отделился материнской структуры. Так в процессе выстраивания собственной ИТ-инфраструктуры компания приняла решение о создании самостоятельного контура информационной безопасности и внедрение системы защиты рабочих станций и серверов.
Ранее часть сервисов и средств безопасности предоставлялась централизованно головной компанией, поэтому после разделения заказчику требовалось оперативно развернуть собственную систему защиты и обеспечить контроль всех устройств.
Дополнительной сложностью стала распределенная инфраструктура и наличие сотрудников, работающих вне корпоративной сети. С этими задачами заказчик обратился к своему технологическому партнеру ICL Services.
Задачи
- Построить инфраструктуру управления защитой конечных устройств
- Внедрить антивирусную защиту для рабочих станций и серверов
- Обеспечить централизованное управление и обновление политик безопасности
- Организовать защиту устройств, работающих вне корпоративной сети
- Повысить уровень обнаружения сложных угроз за счет внедрения EDR-функциональности
- Настроить мониторинг и оперативное реагирование на инциденты безопасности
Реализация проекта проходила в три ключевых этапа.
1. Внедрение системы защиты конечных устройств
На первом этапе специалисты разработали архитектуру решения и развернули инфраструктуру управления безопасностью на базе Kaspersky Security Center.
В рамках проекта команда ICL Services внедрила Kaspersky Security Center — систему централизованного управления защитой, Kaspersky Endpoint Security for Windows для защиты пользовательских рабочих станций, а также Kaspersky Endpoint Security for Linux для защиты серверной инфраструктуры.
Инженеры выполнили:
— развертывание сервера управления с базой данных MS SQL;
— настройку политик безопасности и обновлений;
— пилотное внедрение на тестовой группе устройств;
— последующее масштабирование решения на всю инфраструктуру.
После завершения внедрения системой защиты было покрыто около 500 устройств.
2. Организация защиты удаленных устройств
В процессе эксплуатации была выявлена проблема: часть сотрудников работала удаленно и не всегда подключалась к корпоративной сети. Из-за этого устройства нерегулярно получали обновления и политики безопасности.
Так для защиты сотрудников, работающих вне корпоративной сети, был внедрен шлюз соединений Kaspersky Security Center, размещенный в DMZ-сегменте.
Это позволило обеспечить безопасное подключение устройств из сети интернет, централизованно управлять устройствами без постоянного VPN и гарантировать получение обновлений и политик безопасности.
3. Внедрение EDR
На следующем этапе была внедрена система Kaspersky EDR, позволяющая обнаруживать сложные угрозы и проводить расследование инцидентов.
Специалисты проекта:
- активировали EDR-компоненты на всех устройствах;
- настроили веб-консоль и дашборды мониторинга;
- внедрили систему оповещений о подозрительной активности;
- разработали сценарии реагирования (playbooks) для различных типов инцидентов;
- организовали круглосуточный мониторинг безопасности.
Для оперативного реагирования была создана следующая модель работы:
- команда мониторинга отслеживает события безопасности;
- при обнаружении инцидентов производится первичный анализ;
- дежурные инженеры безопасности подключаются для
расследования и реагирования.
