Клиент — российский филиал крупного зарубежного банка с головным офисом на территории другого государства, предоставляющего финансовые услуги корпоративным клиентам и юридическим лицам.

Ранее за поддержку распределенной ИТ-инфраструктуры российского офиса отвечала материнская компания, которая была развернута на мощностях облака по отказоустойчивому сценарию с помощью двух ЦОД — основного и резервного.

После введения санкций на продолжение деятельности на территории России и последующего отключения от центральной компании клиенту потребовалось обеспечить бесперебойную работу офиса и защитить внутреннюю информацию. Поэтому филиал решил провести локализации ИТ-инфраструктуры с учетом требований безопасности, а также выстроить процессы мониторинга и реагирования на инциденты ИБ. Компания входит в число системообразующих банков согласно Указу Президента РФ № 250 и подпадает под требования в части защиты критической информационной инфраструктуры (187-ФЗ), но не имеет значимых объектов КИИ.

Для реализации подобного проекта своими силами необходимы большие финансовые ресурсы и экспертная команда для подключения и настройки средств защиты информации. Компания хотела провести локализацию и импортозамещение средств защиты в сжатые сроки — за 70 календарных дней. Поэтому банк решил доверить часть этих процессов подрядчику.

Почему К2 Кибербезопасность

При выборе партнера компания опиралась на наличие у него опыта проведения подобных проектов в крупном банковском сегменте крупных, а также команды специалистов с международными сертификатами (CISA, CISM, CRISC и др.). Другой критерий — наличие у подрядчика собственного центра мониторинга и реагирования по модели MSSP из защищенного облака, соответствующего требованиям регуляторов.

К этому моменту К2 Кибербезопасность реализовала более 10 комплексных проектов в отрасли, в том числе — с подключением к SOC, которые провела команда экспертов по сетевой безопасности, инженеров по инфраструктуре и технических менеджеров.

На этапе установочной встречи со клиентом распределили обязанности по проекту — наша команда взяла на себя ответственность за обеспечение информационной безопасности по модели on-cloud. Команда клиента же разворачивала инфраструктурную составляющую самостоятельно в своих ЦОД.

Проект начался с формирования технического задания: обозначили требования к инфраструктуре, после сформировали и согласовали детальный план-график проекта. Он включал в себя выявление зависимостей от базовой ИТ-инфраструктуры, организацию каналов связи, проектирование и внедрение системы защиты информации, предварительные тестирования и приемо-сдаточные испытания.

Итоговая инфраструктура состояла из двух собственных ЦОД клиента и двух облачных отказоустойчивых площадок. Для организации сетевой связности между объектами установили выделенный физический канал связи (MPLS) в качестве основного и интернет-канал как резервный, дополнительно защитив их с помощью средств криптографии. Такой подход гарантирует бесперебойную передачу больших объемов информации без задержек.

Параллельно с построением каналов начали развертывать необходимые средства защиты информации. Предложили заказчику реализовать концепцию XDR для высокого уровня защищенности, а также сокращения срока проекта благодаря экосистемному подходу. Другими словами, концепция предполагает использование комплекса решений одного вендора, которые легко интегрируются между собой на уровне архитектуры. Для этого использовали продукты известного российского разработчика систем защиты, начав с решений для защиты рабочих станций (антивирус вместе с EDR), корпоративной почты и веб-трафика.

Чтобы убедиться в корректности работы каналов связи и средств защиты, провели предварительные испытания на тестовых устройствах в контуре клиента. Однако банк не мог обеспечить постоянную сетевую связность, из-за чего было невозможно настроить детальные политики под конкретные информационные системы. При этом на тестирование и проверку корректной работы СЗИ выделялись короткие технологические окна, поэтому наша команда сосредоточилась на отладке средств защиты, в числе которых «песочница» (Sandbox), контроль действий пользователей (PAM), многофакторная аутентификация и др.

Также на время локализации и миграции в облако реализовали временную схему работы критичных средств защиты, например, для корпоративной почты. Всё потому, что в этот период банк продолжал работать с зарубежными инфраструктурными сервисами материнской компании, которая запретила использование отечественных средств защиты без предварительной проверки зарубежными решениями в ее контуре.

Параллельно с развертыванием и настройкой СЗИ подключали клиента к Центру мониторинга кибербезопасности для своевременного выявления и реагирования на инциденты ИБ. Процесс подключения SOC занял 14 дней — от настройки VPN-туннеля до конфигурации источников событий. Впоследствии команда нашего Центра мониторинга кибербезопасности начала налаживать и оптимизировать правила выявления инцидентов под потребности банка, занимаясь этим по сей день.

В завершении проекта было проведено финальное тестирование, но уже на устройствах пользователей (в том числе — удаленных) и корпоративных приложениях. В такой период все работы должны проходить максимально оперативно без влияния на бизнес-процессы банка. Для этого наша команда проводила тестирование в непрерывном режиме, благодаря чему работы завершились в срок.

Для управления развернутыми средствами защиты эксперты К2 Кибербезопасность взяли на себя полное их администрирование. Чтобы компания смогла оперативно локализовать последствия в случае крупного сбоя или кибератаки, разработали план аварийного восстановления работы ключевых систем и средств защиты (Disaster Recovery).