«Росгеология» является крупнейшим государственным геологическим холдингом России, предприятиями которого открыто и изучено более тысячи месторождений полезных ископаемых на территории России и десятки — в странах Азии, Африки и Латинской Америки. «Росгеология» обладает разветвленной вычислительной инфраструктурой, выполняющей обработку и интерпретацию данных, полученных при выполнении геофизических и буровых работ на суше и на море.
Цифровизация недропользования — один из основных приоритетов «Росгеологии». Холдинг активно внедряет цифровые технологии, уделяет особое внимание кибербезопасности и защите своей интеллектуальной собственности, связанной с выполнением геолого-разведочных работ в интересах российских и зарубежных недропользователей. В качестве превентивной меры, позволяющей защитить инфраструктуру от целевых атак, обеспечить непрерывность производственных процессов и защиту оборудования от выхода из строя в результате киберинцидентов, в конце 2020 года госкомпания в «пилотном» режиме установила систему Threat Hunting Framework от Group-IB для проактивной охоты на угрозы (Threat Hunting) как внутри периметра организации, так и за его пределами.
Защищая крупные промышленные объекты, THF позволяет исключить затраты, связанные с простоем предприятия вследствие кибератаки, а также оптимизировать расходы, частично автоматизируя задачи по реагированию и исследованию инцидентов. За счет корреляции разрозненных оповещений в телеметрии из разных частей инфраструктуры, их автоматического объединения в инциденты, приоритезации, предоставления возможностей оперативного реагирования из единого интерфейса, THF значительно повышает эффективность работы команды ИБ.
Кибервраг не пройдет
В марте 2021 года системой THF был зафиксирован подозрительный вход в защищаемый периметр «Росгеологии», данные были переданы в Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB. Специалистами Group-IB было установлено, что киберпреступники проникли на почтовый сервер и пытаются запустить вредоносную программу. Получив необходимую информацию об атаке, служба безопасности «Росгеологии» оперативно локализовала и ликвидировала угрозу.
Напомним, что весной 2021 года около 100 000 компаний и организаций по всему миру стали жертвой атаки с использованием уязвимости «нулевого дня» в почтовых серверах Microsoft Exchange Server. Пройдя аутентификацию на сервере, атакующие могли получить права администратора, установить вредоносную программу, и похитить данные. Сначала подобные атаки совершала иностранная APT-группа Hafnium, позже этот способ атаки начали использовать другие хакерские группы, например, LuckyMouse, Tick и IronTiger.
«Появление новых кибергуроз и широкое распространение вредоносного программного обеспечения, ставит перед нами новые задачи в области кибербезопасности,— отметил Станислав Игнатов, директор Департамента информационной безопасности «Росгеологии». — Стабильная и беспрерывная работа холдинга зависит от надежности, в том числе, цифровых рубежей. Сегодня мало просто установить решение по кибербезопасности. Оно должно представлять возможности сбора данных для исследования инцидента, выявления причин его возникновения, связывать атаки с атакующими и определять их мотивы. Благодаря решению Group-IB мы смогли оперативно отразить целевую атаку без значимых последствий для холдинга».«Борьба с современными целевыми атаками требует комплексного подхода, включающего анализ сетевого трафика, поведения злоумышленников и вредоносного ПО, защиту электронной почты, автоматизацию процессов реагирования и проактивного поиска угроз, — подтверждает Никита Кислицин, руководитель департамента сетевой безопасности Group-IB. — Мы рады, что наше решение Threat Hunting Framework успешно прошло фазу опытной эксплуатации и внедрено для защиты такого многопрофильного клиента, как «Росгеология». Важно, что холдинг занимает проактивную позицию и регулярно проводит детальный анализ киберугроз, характерных для отрасли».
Система Group-IB Threat Hunting Framework была выведена на российский рынок осенью прошлого года. Она автоматизировано коррелирует и группирует все сетевые события в инциденты для сокращения времени их обработки службами безопасности, инженерами и ИТ-специалистами. THF анализирует критичность события в сети, помогая выстроить этапы реагирования на инцидент. Технологии, лежащие в основе THF, имеют ряд российских и международных патентов. THF сокращает издержки на закупку, внедрение, интеграцию и сопровождение разрозненных систем безопасности, закрывающих отдельные узкие направления защиты, а также предотвращает многомиллионный ущерб от простоев производства.