McAfee Enterprise Security Manager для пивоваренной компании

О заказчике Efes Rus — пивоваренная компания, входящая в четверку крупнейших игроков на российском рынке, подразделение международной пивоваренной компании Anadolu Efes. На сегодняшний день в активах Efes Rus шесть пивоваренных заводов — в Калуге, Уфе, Казани, Новосибирске, Ульяновске и Владивостоке и 1 солодовенный комплекс. Проблематика Постоянное развитие ИТ-инфраструктуры, увеличение числа пользователей, расширение спектра приложений привело к увеличению объема требующих анализа данных и практической невозможности контролировать состояние информационной безопасности (ИБ) компании без использования дополнительных средств, поэтому руководством компании Efes Rus было приняло решение о внедрении системы мониторинга событий информационной безопасности (SIEM). Для реализации этого проекта была выбрана компания «Андэк». Кроме того, сотрудниками «Андэк» ранее был проведен аудит обработки персональных данных в компании Efes Rus. Внедрение системы SIEM было одной из рекомендаций по результатам этого проекта, призванной реализовать требования по управлению событиями информационной безопасности в информационных системах персональных данных. Задачи Перед специалистами компании «Андэк» стояла задача не просто внедрить SIEM систему, необходимо было обеспечить подключение специфических источников событий, а также реализовать мониторинг действий привилегированных пользователей и контроль использования приложений SAP. Кроме этого, необходимо было подключить источники событий (элементы ИТ-инфраструктуры, СУБД, приложения SAP), настроить мониторинг прав привилегированных пользователей, провести настройку корреляции событий от различных источников с целью автоматического выявления инцидентов ИБ и провести настройку отчетов и панелей мониторинга для использования специалистами по ИБ компании Efes Rus. Описание проекта К моменту начала реализации проекта в московском офисе Efes Rus еще не были внедрены средства автоматизированного централизованного мониторинга событий ИБ. После консультаций было принято решение реализовать систему мониторинга событий на базе McAfee ESM, развернув ее в виртуальной среде Заказчика. Специалистами Андэка были разработаны кастомизированные парсеры журналов для нескольких систем: аудита СУБД DB2, журналов аудита приложений SAP и журналов трафика системы MS Exchange 2013, позволяющие собирать события с источников. Для контроля привилегированных пользователей была выполнена глубокая интеграция системы с несколькими доменами Active Directory. Во внедренной SIEM системе был реализован мониторинг назначения и использования привилегий (ролей) SAP, а также мониторинг запуска критичных бизнес-транзакций, в реальном времени и генерация исторической отчетности в соответствие с требованиями Заказчика. Были настроены правила корреляции, позволяющие выявлять критичные инциденты ИБ автоматически и уведомлять о них ответственный персонал компании-заказчика. Результат Внедрение SIEM системы повысило уровень защиты от внешних угроз, реализованный проект позволяет специалистам Efes Rus получить целостную картинку ситуации в корпоративной сети, визуализированную и упорядоченную, так как SIEM осуществляет централизованный сбор, обработку и хранение событий информационной безопасности. Кроме этого, система предоставляет возможности использования отчетности разной степени детализации и периода, что облегчает проведение расследований инцидентов. Комментарий заказчика «Система автоматического информирования зарекомендовала себя положительно. Она позволяет выстраивать автоматический превентивный контроль по ряду транзакций и процессов, которые могут быть сочтены критическими, позволяет в режиме online реагировать на возникающие угрозы в части возникновения критического совмещения полномочий. Внедренная SIEM-система является дополнительным, но не лишним инструментом контроля» — подчеркнул Павел Шветц, менеджер по внутреннему контролю компании Efes Rus. Комментарий специалиста компании «Андэк» Дмитрий Никифоров, руководитель дирекции реализации проектов компании «Андэк» прокомментировал данный проект: «Мы рады, что нам представилась возможность участвовать в этом проекте, нашими специалистами был получен уникальный опыт прямого подключения журналов аудита SAP без помощи сторонних средств. Надеемся, что наше давнее и плодотворное сотрудничество в части внедрения и развития систем обеспечения информационной безопасности продолжится и в дальнейшем».