Разделы

ПО Безопасность Интернет

Антон Плетнев, «Черкизово»: Внедрение ИБ-решений в ритейле напрямую ведет к снижению ущерба от кибератак

Обеспечение информационной безопасности крупного диверсифицированного холдинга, в структуру которого входит множество различных производственных предприятий и филиалов по всей территории России — задача, требующая комплексного подхода и применения таких систем автоматизации процессов ИБ, которые способны обеспечить оптимальное использование СЗИ и их интеграцию в единое технологическое пространство. О том, как эта задача решается в группе «Черкизово», редакции CNews рассказал руководитель отдела киберзащиты Антон Плетнев.

«Специфика ритейла стимулирует процессы цифровизации»

CNews: Антон, все знают, например, об особенностях угроз и, соответственно, обеспечения информационной безопасности в банковском секторе. А как насчет продуктового ритейла? Обладает ли он своей спецификой?

Антон Плетнев: Специфика ритейла вообще и продуктового в частности в высококонкурентной среде, непрерывной борьбе за лояльность покупателей и относительно невысокой маржинальности, что вкупе стимулирует процессы непрерывного повышения экономической эффективности, оптимизации затрат и диджитализации. При этом следует учесть, что наша группа является не просто значимым игроком в продуктовом ритейле, но и одним из крупнейших производителей продовольствия, а это, в свою очередь, означает социальную ответственность не только перед нашими покупателями, но и перед государством.

Группа «Черкизово» — крупнейший производитель мясной продукции в России. Сегодня «Черкизово» занимает лидирующие позиции на рынках куриного мяса, индейки и колбасных изделий. География предприятий компании простирается от Калининградской области до Алтая, поэтому бренды «Черкизово», «Петелинка», «Куриное царство», «Пава-Пава», «Империя вкуса» хорошо знают в самых разных уголках страны. Мясо от «Черкизово» можно встретить не только на полках в магазинах, но и в составе блюд крупнейших в мире сетей быстрого питания — McDonald’s, Burger King, KFC, чьими поставщиками является компания.

Группа «Черкизово» представляет собой вертикально интегрированную структуру, включающую предприятия, занимающиеся выращиванием зерновых, элеваторным хранением, производством комбикормов, разведением, выращиванием и убоем животных, а также мясопереработкой и дистрибуцией.

В Доктрине продовольственной безопасности России указывается, в частности, что национальным интересом государства является создание в сельском хозяйстве высокопроизводительного сектора, развивающегося на основе современных технологий. Кроме того, одними из основных задач обеспечения продовольственной безопасности названы своевременное прогнозирование, выявление и предотвращение внутренних и внешних угроз продовольственной безопасности и минимизация их негативных последствий, а также устойчивое развитие производства сельскохозяйственной продукции, сырья и продовольствия.

Антон Плетнев, «Черкизово»: Потребность в кибербезопасности продовольственного сектора сегодня обусловлена не только минимизацией внутренних киберрисков производителей и ритейлеров, но и ее обеспечением на государственном уровне

В этой связи можно вспомнить, как в мае 2021 г. крупнейшая в мире мясоперерабатывающая компания JBS подверглась масштабной кибератаке вируса-вымогателя, в результате чего на несколько суток приостановилась работа ее предприятий, производящих почти четверть американской говядины. Это могло повлечь за собой настоящий продовольственный кризис. В итоге хакеры получили от JBS выкуп в размере 11 млн долларов в биткоинах, а фактом атаки и ее последствиями были озабочены первые лица США. Таким образом, очевидно, что потребность в кибербезопасности продовольственного сектора в современном мире обусловлена не только минимизацией внутренних киберрисков производителей и ритейлеров, но и обеспечением продовольственной безопасности на государственном уровне.

CNews: Есть ли в группе «Черкизово» технические нюансы, влияющие на процессы обеспечения информационной безопасности?

Антон Плетнев: По ИТ-инфраструктуре и специфике бизнес-процессов мы скорее ближе к промышленной или добывающей отрасли: географически распределенная сеть, малое количество ИТ-специалистов на местах, повышенные требования к непрерывности процессов производства и устойчивости цепей поставок. При этом тренд на цифровую трансформацию в отечественной пищевой промышленности, без преувеличения, задает наша компания. Достаточно вспомнить наш полностью автоматизированный завод-робот по производству колбас, применение технологий машинного зрения и искусственного интеллекта для контроля качества и повышения производительности труда, использование устройств интернета вещей для контроля состояния животных и анализа условий их содержания с применением технологий обработки больших данных.

По ИТ-инфраструктуре и специфике бизнес-процессов ритейл ближе к промышленной или добывающей отрасли: географически распределенная сеть, малое количество ИТ-специалистов на местах, повышенные требования к непрерывности процессов производства и устойчивости цепей поставок

Внедрение таких высокотехнологичных процессов одновременно влечет за собой инвестиции в информационную безопасность создаваемой IT/OT-инфраструктуры, в частности, в системы автоматизации управления процессами информационной безопасности, в платформы централизованного менеджмента и мониторинга состояния кибербезопасности и в решения для роботизации обработки киберинцидентов, в том числе для сокращения показателей MTTD (mean time to detect, среднее время обнаружения киберинцидента) и MTTR (mean time to respond, среднее время реагирования на киберинцидент). Это напрямую ведет к снижению ущерба от возможных кибератак.

«Путь централизации ИБ-процессов на единой платформе»

CNews: Как осуществляется ИБ-управление? Насколько оно централизованно?

Антон Плетнев: В части организации процессов обнаружения и реагирования на инциденты кибербезопасности на таком большом количестве конечных точек важно осуществлять оперативную координацию всех участников на местах. Необходимо осуществлять учет инцидентов кибербезопасности, автоматическое обогащение информацией из различных корпоративных систем, постановку задач из единого удобного интерфейса и последующий контроль их исполнения. Кроме того, безусловно важными для нас являются возможности предоставления отчетности по всем ключевым метрикам ИБ в масштабах всего холдинга, а также средства визуализации информации, в том числе отображение данных по инцидентам на географической карте.

Краткая биография

Плетнев Антон

CNews: Какими средствами решаются эти задачи?

Антон Плетнев: В первую очередь путем централизации множества ИБ-процессов на единой автоматизированной платформе в рамках создания современного технологически развитого SOC. Преобразования в этом направлении идут уже давно, важным этапом стали работы по внедрению системы реагирования на инциденты кибербезопасности IRP/SOAR.

Системы IRP (Incident Response Platforms, платформы реагирования на киберинциденты) используются для автоматизации действий по анализу и обработке киберинцидентов, сбору дополнительной обогащающей информации по инцидентам, а также для интеграции с разнообразными системами для выполнения автоматических/автоматизированных действий по реагированию.

Платформы IRP частично эволюционировали в системы SOAR (Security Orchestration, Automation and Response, платформы оркестрации, автоматизации и реагирования на киберинциденты), которые предназначены для комплексной автоматизации процессов реагирования на киберинциденты. В функционал SOAR-систем входит, как правило, обработка событий ИБ, получаемых непосредственно от средств защиты или из SIEM-решений, автоматизация действий по обработке данных событий в соответствии с рабочими процессами реагирования, а также непосредственное выполнение действий по реагированию с помощью оркестрации (централизованного управления) ИТ/ИБ-системами.

Дополнительный функционал SOAR-решений может включать в себя инструменты совместной работы аналитиков над инцидентами, ведение общей базы знаний и закрытых инцидентов, интеграцию с инструментами обработки данных киберразведки, возможности для визуализации данных и построения отчетности.

Мы тщательно изучили рынок IRP/SOAR систем и по результатам остановили свой выбор на Security Vision IRP/SOAR. Следующим шагом стала реализация пилотного проекта, который был завершен в декабре 2021 г.

CNews: Почему вы выбрали Security Vision IRP/SOAR? По каким параметрам осуществлялся выбор?

Антон Плетнев: Выбор был обусловлен развитым функционалом данной платформы, обширным перечнем уже успешно реализованных командой SecurityVision проектов (в том числе в промышленности и ритейл-сегменте), гибкостью платформы и широкими возможностями интеграции с использующимися у нас средствами защиты, а также уникальным сочетанием технологий для ускорения реагирования, выявления аномалий и помощи членам команды реагирования на инциденты ИБ путем снижения рутинной нагрузки.

Антон Плетнев, «Черкизово»: Наша группа компаний является не просто значимым игроком в продуктовом ритейле, но и одним из крупнейших производителей продовольствия, а это означает социальную ответственность не только перед нашими покупателями, но и перед государством
Всепроникающая безопасность: какие облачные ИБ-решения будут больше всего востребованы и почему
Облачные тренды

CNews: Что было сделано в рамках пилотного проекта?

Антон Плетнев: Во-первых, была реализована интеграция Security Vision IRP/SOAR с внешним коммерческим SOC в целях получения событий безопасности и инцидентов ИБ от SOC (через API-запросы), запроса комментариев в SOC (через API-запросы) и получения ответов, синхронизации процесса закрытия киберинцидентов.

Это позволяет формализовать и систематизировать внутренние процессы реагирования на события и инциденты ИБ, полученные от SOC, и, как следствие, повысить общую операционную эффективность. Далее, было реализовано внедрение автоматического обогащения в процессах реагирования на инциденты ИБ с целью сокращения времени реагирования и минимизации ущерба, были выполнены интеграции с MS Active Directory, MS SCCM, системой антивирусной защиты, приложением для управления IP-адресами (IPAM), VirusTotal. Также завершается реализация интеграции с кадровой бизнес-системой. Благодаря этому можно будет оперативно получать детализированную информацию по каждому сотруднику предприятий, входящих в холдинг.

Интеграция Security Vision IRP/SOAR с внешним коммерческим SOC позволила формализовать и систематизировать внутренние процессы реагирования на события и инциденты ИБ и, как следствие, повысить общую операционную эффективность

Помимо этого Security Vision IRP/SOAR была интегрирована с корпоративным электронным почтовым ящиком для автоматического заведения инцидентов на основе email-сообщений от всех сотрудников компаний, входящих в группу, и был выстроен процесс обработки такого рода обращений. Интеграция системы с корпоративной электронной почтой и Telegram обеспечивает возможность оперативного оповещения команды реагирования о полученных событиях безопасности от различных источников.

CNews: Как насчет визуализации и отчетности?

Антон Плетнев: В Security Vision IRP/SOAR были реализованы отчеты по необходимым нам метрикам и согласно нашему шаблону в разрезе день/неделя/месяц. Также были созданы операционный и тактический дашборды и отражение метрик SLA, в том числе в части взаимодействия с SOC. Были реализованы индикация и отображение информации по инцидентам, происходящим в различных подразделениях, на географической карте. Также была реализована возможность создания дашбордов и отчетов с прогнозом количества инцидентов на следующий месяц по тренду, образовавшемуся за два-три последних месяца, с учетом геолокации.

CNews: Вас удовлетворили результаты пилотного проекта?

Антон Плетнев: Результаты полностью оправдали наши ожидания. Было принято решение приобрести систему и начать ее активное внедрение в промышленную эксплуатацию.