«Почта России» на SOC-форуме ГК «Солар» объявила о завершении первой части своего самого масштабного проекта в сфере кибербезопасности. Впервые государственная компания собрала под одной крышей десятки российских вендоров и устроила им настоящий «экзамен боем» — с хакерами, ночевками в офисе и разбором всех слабых мест инфраструктуры. Участники трехлетнего проекта поделились с журналистами впечатлениями от первого года их «сражений».
Проект назвали «киберщитом» — неформально, но по сути. Идея в том, чтобы научиться отражать реальные атаки — из-за рубежа или от отечественных хакеров, а не просто «поставить антивирус». Получилась история про то, как компании Positive Technologies, «Лаборатория Касперского», «Солар», «Инфосистемы Джет» — в общей сложности два десятка подрядчиков заставили свои продукты работать как одна общая система.
Зачем
«Почта России» — огромная ИТ-система, где есть и оборудование 20-летней давности, и новые центры обработки данных, и тысячи отделений по всей стране. Роман Шапиро, руководитель ИБ-дирекции «Почты», объяснил, что цель была не просто «поставить защиту», а сделать так, чтобы все средства безопасности работали вместе и реально закрывали риски для бизнеса — от сбоев логистики до угрозы остановки операций.
Для этого собрали 350 тысяч страниц документации, 22 компании и 250 экспертов. Участников попросили их не только внедрять свои системы, но и заставить их корректно взаимодействовать.
Начало
Первая фаза — это не один большой проект, а 66 подпроектов. Их развернули, интегрировали между собой, описали процессы, выстроили архитектуру и договорились, как каждая система должна работать в ежедневном режиме.
Это всё задокументировано, но не в традициях госконтрактов, а, по описанию участников проекта, скорее как в фильмах про планирование ограбления банков: команды буквально поселились в офисах «Почты» неделями, печатали кипы бумаг, спорили, дописывали модели процессов.
Когда всё было развернуто, пришла очередь главного испытания — киберучений. И это был не «классический пентест».
Атаки
На проекте использовали формат purple team: есть защищающаяся сторона Blue team и есть атакующая — профессиональные хакеры, red team. Но важный нюанс в том, что им не ставили задачу «найдите уязвимость». Их задачей было создать реальный ущерб по 37 критическим сценариям риска, которые «Почты» определила заранее:
- нарушить работу логистических узлов,
- попытаться добраться до критичных систем,
- подменить операции,
- остановить часть процессов.
Кибератака длилась месяц. Три центра мониторинга и реагирования (их называют SOC) отбивались: Positive Technologies за корпоративный сегмент, «Лаборатория Касперского» создавала технологический контур, SOC «Почты России» работал как будущий постоянный оператор всей системы. Ночью, в выходные, иногда буквально из палаток на полу — нужно было полностью отбить настоящий взлом. Ведь атакующие тоже не отдыхали: «Кажется, они просто не спали», — шутят участники проекта.
И как
Выяснилось, что:
Системы реально работают вместе.
Продукты разных вендоров научились обмениваться событиями, реагировать на атаки и закрывать дыры в цепочке.
Нашли где дорабатывать.
Часть решений еще требует «тюнинга», команды это не скрывают. Это нормальная практика для огромных инфраструктур.
Подтвердилось: подход можно тиражировать.
Тестовое ядро прошло проверку, и теперь его будут разворачивать по всей стране — в логистических центрах, отделениях, ЦОДах. Кроме того, наработки можно затем использовать в любых других организациях.
Команды получили уникальный опыт.
Например, «Касперский» и Positive впервые брали продукты друг друга, чтобы тестировать совместимость — для рынка это редкость.
Читайте также
Почему это важно для рынка
Проект уникален для России тем, что вендоры отвечают здесь за результат, а не за факт поставки, эффективность проверяется не бумажными аудитами, а реальными хакерами. Кроме того, киберучения повторяютсяежегодно, что позволяет системе эволюционировать.
Наконец, опыт договоренностей между конкурентами («Касперский», Positive, «Солар» и др.) становится основой для применения в других компаниях.
Цель всего этого простая: разумеется, обеспечение непрерывности работы логистических центров и защита персональных данных клиентов Почты России. Но важно было сделать так, чтобы критическим рискам было дорого и сложно реализоваться. До такой степени, чтобы хакерам пришлось приложить несоразмерные усилия и чтобы любой их ход был заранее виден и превентивно и успешно блокировался.