Агрохолдинг «Дороничи» усилил защиту от целевых атак с помощью PT Sandbox и PT NAD

«Дороничи» — крупнейший в Кировской области агропромышленный холдинг с производством полного цикла — усилил защиту от целевых атак и обеспечил киберустойчивость критической инфраструктуры, внедрив комплекс для раннего выявления сложных угроз PT Anti-APT. Решение строится на базе системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) и песочницы для обнаружения новейшего вредоносного ПО PT Sandbox. Работая в связке, эти продукты защищают производственные сегменты холдинга от киберугроз, простоев и других бизнес-рисков, вызванных инцидентами ИБ. Уже на этапе пилота PT NAD помог предотвратить кибератаку на цепочку поставок с целью кражи данных.

На стадии пилотного тестирования PT NAD зафиксировал подозрительную активность в ритейл-сегменте холдинга. Выяснилось, что в оборудовании, закупленном у проверенного поставщика, был инфостилер — вредоносное ПО для кражи данных. Специалисты агрохолдинга провели расследование и оперативно предотвратили угрозу. PT NAD, зарекомендовавший себя как экспертный продукт для обнаружения и анализа атак, был внедрен в инфраструктуру центра обработки данных (ЦОД) и производственный сегмент. Это заняло всего несколько часов, не вызвав технических сложностей. Система стала основным источником данных о сети и теперь работает в комплексе с межсетевым экраном нового поколения (NGFW).

За последний месяц PT NAD обнаружил несколько критически опасных инцидентов. Продукт применил правила, которые помогли выявить атаки с высоким и средним уровнем опасности. Специалисты агрохолдинга по ИБ используют готовые репутационные списки, содержащие индикаторы компрометации, работают с лентой активностей и зарегистрированными атаками, а также отслеживают состояние трафика с помощью дашбордов, которые были настроены с учетом особенностей инфраструктуры. Эксперты отмечают, что оперативно реагировать на инциденты помогают среди прочего описания срабатываний правил в PT NAD. Продукт, помимо внешних угроз, помогает выявлять нарушение правил кибергигиены на устройствах сотрудников и подрядчиков.

PT Sandbox осуществляет проверку почтового трафика. Для стабильной обработки писем в песочнице проводится статический анализ объектов с помощью нескольких антивирусных движков, включая PT AV Positive Technologies. Специалисты по ИБ также отмечают пользу режима поведенческого анализа файлов до и после перезагрузки виртуальной машины. Это помогает выявлять сложные угрозы, которые активируются не сразу. PT Sandbox чаще всего обнаруживает средства удаленного доступа, трояны, эксплойты, установщики вредоносов, бэкдоры и другое нежелательное ПО. Специалисты по ИБ фиксируют большой поток фишинговых писем, поэтому стремятся популяризовать среди сотрудников практики кибербезопасности, предлагая им использовать службу Checkme. С ее помощью можно самостоятельно отправить файлы и ссылки на проверку в PT Sandbox и быстро получить вердикт о легитимности данных.

В качестве следующего шага к укреплению киберустойчивости агрохолдинг изучает возможность масштабирования PT NAD на другие системы, а также планирует подключить к PT Sandbox межсетевой экран уровня веб-приложений (WAF).