О компании Энергетический сектор Германии - притягательная мишень для хакеров. У сегодняшних киберпреступников и хактивистов есть как мотивы, так и возможности для нанесения мощных ударов с помощью атак, что ставят целью кражу конфиденциальной информации производства и информации об их клиентах. Это фактор беспокоил Бенджамина Наврата - специалиста по информационной безопасности энергетического провайдера Energie Suedbayern (ESB), который поставляет природный газ и электричество в 120 000 домохозяйствах на юге Германии. ESB является крупнейшим оператором в своем роде в регионе. В нем занято около 350 сотрудников, 14 из которых работают вместе с Бенджамином в сфере информационных технологий.

Проблема Одной из самых больших проблем Бенджамина Наврата являлось соблюдение немецкого “Закона об информационной безопасности (ITSG)”, который начал действовать с июля 2017 года. Закон обязывает всех поставщиков критически важной инфраструктуры запускать расширенную программу кибербезопасности, предназначенную для обеспечения доступности, целостности, подлинности и конфиденциальности их ИТ-инфраструктуры. Закон также требует, чтобы организации регулярно предоставляли сертификаты, подтверждающие их соответствие этим требованиям. Невыполнение может повлечь за собой штраф в размере сотен тысяч евро. С комплексной промышленной средой для мониторинга (включая 2000 IP-адресов), ограниченными ресурсами ИТ-персонала и постоянными угрозами со стороны хакеров, Бенджамину Наврату требовались надежные технологические решения для преодоления этих проблемы.

Интеграция
Компания ESB ранее уже использовала ведущее решение Rapid7 по управлению уязвимостямиRapid7 insightVM (ранее Nexpose), поэтому естественным выбором было дальнейшее расширение своего портфеля с помощью Rapid7. Чтобы удовлетворить потребность обнаружения и реагирования на инциденты, было решено настроить Proof of Concept (PoC) в InsightIDR. Команда ESB утверждает, что решение легкое в настройке и обслуживании, упрощает управление и централизует отчетность. «Мне нужно решение, которое обладает собственным интеллектом, а не просто автомат для создания свода правил. Я плачу за рациональные решения, а не правила. Splunk и подобные ему продукты просто собирают логи, и дальше я вынужден следить за событиями самостоятельно. Но я хочу знать, происходит ли что-то странное и нетипичное - а об этом как раз и сообщает InsightIDR. Это лучшее решение для предоставления необходимых мне интеллектуальных данных за разумную цену».
Бенджамин Наврат, специалист по информационной безопасности Energie Suedbayern

Результат InsightIDR сэкономил команде ИТ ESB время и помог быстрее реагировать на инциденты. Объединяя SIEM, аналитику поведения пользователей (UBA) и обнаружение и реагирование конечных точек (EDR), продукт был настроен с нуля для обнаружения вторжений как можно раньше в цепочке атак, не оставляя злоумышленникам шансов. «Если честно, до InsightIDR у меня не было никакого процесса реагирования на инциденты. Раньше я просто получал от пользователей отчет о том, что «что-то идет не так, как ожидалось». И после этого я был вынужден сам копаться и собирать журналы логов, что занимало огромное количество времени».
Бенджамин Наврат, специалист по информационной безопасности Energie Suedbayern Бенджамин Наврат использует функциональные возможности live-панели мониторинга для отслеживания неудачных входов в систему отдельных пользователей. «Одна из многих хороших вещей заключается в том, что мне не нужно сообщать InsightIDR, что такое учетная запись службы - он ​​просто распознает ее».
Бенджамин Наврат, специалист по информационной безопасности Energie Suedbayern Интуитивный в управлении портал позволяет ему следить за любыми необычными значениями - если удаленные пользователи входят в систему из других стран, или любые другие показатели, указывающие на несоответствие. Оповещения по электронной почте дополняют картину и  рассылаются другим членам ИТ-группы, что позволяет им оперативно реагировать, если обнаруживается что-либо вредоносное. В конечном счете, объединенные возможности продуктов Insight высвободили Бенджамину Наврату 60% времени. Это, в свою очередь, позволяет им тратить больше времени на проверку самих уязвимостей. Более того, ценность данных, сгенерированных Rapid7, даже помогла ему повысить свою репутацию в организации и убедить компанию инвестировать в безопасность. «Высшее руководство не слишком понимает проблемы безопасности, но с продуктами Insight я могу убедить их в реальности рисков, с которыми мы сталкиваемся. И поскольку решения были не дорогими, не было никаких проблем с тем, чтобы убедить руководство выделить финансирование”.
Бенджамин Наврат, специалист по информационной безопасности Energie Suedbayern

Ритейлер использует Rapid7 Nexpose и Rapid7 Metasploit Pro для защиты своей среды. Как и во многих организациях в этой отрасли, соответствие является основным драйвером для наличия сильной программы управления уязвимостями: новые требования PCI DSS для тестирования на проникновение послужили толчком для их первоначальной покупки Rapid7. До этого момента команда безопасности проверяла машины вручную, чтобы увидеть, какие патчи отсутствуют, и какие другие уязвимости необходимо устранить.

«Мы дошли до того, что делать это вручную было невозможно, учитывая временные рамки», - вспоминает Стив, менеджер по информационной безопасности. «Даже команда, в три раза превышающая наш размер, не смогла бы этого сделать».

Это не означает, что Стив считает, что организация безопасна, пока она соответствует требованиям - история показала, что совместимые компании все еще могут стать жертвами кибератак.

«Соблюдение требований, безусловно, является ключевым фактором для нашей программы управления уязвимостями, но только то, что я могу пройти тест, не означает, что я в безопасности. Нам нужно сделать шаг вперед, чтобы действительно защитить сеть ».

И Nexpose, и Metasploit могут помочь выполнить необходимые для PCI сканирования уязвимостей и тесты на проникновение, но именно Стив обратил внимание на Nexpose и Metasploit вместе. Эти два продукта, работающие в тандеме, предоставляют возможности, которые необходимы ему и его команде, чтобы выйти за рамки базовых оценок соответствия и получить действенную информацию о безопасности - обнаружение активов и угроз, оценку состояния безопасности организации и помощь в исправлении или реализации мер по смягчению последствий. «С ними обоими вы получаете больше отдачи, - соглашается Стив. - Это то, что в конечном итоге заставило меня принять решение о переходе на Rapid7».

Чад Кливер пришел в компанию два года назад и вскоре стал ее сотрудником по информационной безопасности. Ему была поручена реализация общего плана безопасности для бизнеса, а также обеспечение соблюдения стандартов соответствия. Для этого ему нужно было объединить несколько групп по всей организации, включая корпорации, телефонный бизнес и широкополосный доступ, чтобы создать единую инфраструктуру. Еще одно препятствие? Это нужно было сделать без централизованной ИТ-команды.

«Я работаю в команде из одного человека», - говорит Чад. «Помимо реализации программы, я также слежу за ней. У меня нет команды, которая бы настраивала ситуацию и следила за ней весь день. Мне нужна аналитика, чтобы пролить свет на то, что важно, а что нет».

Для Чада тут вступают Rapid7 InsightIDR и Nexpose.

«Они объединяют все эти области и дают одно общее представление одновременно», - говорит он.