АО «СГМК», флагман ломозаготовки для предприятий Сибири, Урала и Дальнего Востока, использует систему мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM в качестве основы SOC. Источником данных о сети выступает система поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD). Внедрение продуктов проводилось при участии SoftMall. СГМК продолжает масштабировать проект, стремясь обеспечить максимальное покрытие инфраструктуры системами ИБ.
Согласно аналитике Positive Technologies, число кибератак на промышленные предприятия во всем мире резко увеличилось и достигло 15% от числа всех атак в 2025 году. Для проактивной защиты от киберугроз Сибирская горно-металлургическая компания внедрила продукты Positive Technologies — MaxPatrol SIEM выступает ядром SOC, а PT NAD отвечает за полноценный анализ сетевого трафика.
Центр мониторинга и реагирования на киберугрозы в режиме 24/7 отслеживает безопасность ИТ-периметра и инфраструктуры СГМК. MaxPatrol SIEM осуществляет сбор данных с инфраструктуры СГМК — рабочих станций, серверов, сетевого оборудования и прикладных систем («1С»). Благодаря полноте собираемых данных и развитой базе корреляционных правил выявления инцидентов, аналитики SOC СГМК оперативно реагируют на киберугрозы. Например, с помощью MaxPatrol SIEM было обнаружено первичное проникновение злоумышленника в инфраструктуру компании, а дальнейшее его продвижение было заблокировано специалистами по ИБ.
Ранее в СГМК использовали SIEM-систему зарубежного производителя, который впоследствии прекратил работу на российском рынке. В рамках импортозамещения СГМК в течение года проводила пилотные проекты по внедрению российских решений этого класса и в итоге сделала выбор в пользу MaxPatrol SIEM. Миграция осуществлялась при технической поддержке инженеров SoftMall и Positive Technologies. Благодаря тесному сотрудничеству специалисты СГМК довели работу с системой до автоматизма.
«Продукты Positive Technologies — основа нашего SOC, — отмечает Марк Филиппов, директор по информационным технологиям АО „СГМК”. — Основным решением для мониторинга киберугроз выступает MaxPatrol SIEM, на который мы начали переходить еще с 2020 года. Мы изучали продукт задолго до внедрения, а спустя несколько лет провели полноценный „пилот”. За это время возможности MaxPatrol SIEM кратно возросли, он стал стабильнее, продолжает активно развиваться и не уступает зарубежным аналогам. Радует, что Positive Technologies держит слово и продолжает повышать функциональность своих средств защиты, вкладываться в обучение партнеров, что в итоге помогает региональным пользователям эффективно работать с решениями Positive Technologies».
До внедрения PT NAD в СГМК не проводился полноценный анализ трафика. Благодаря PT NAD видимость сети значительно возросла, так как система точно выявляет действия злоумышленников в сети, упрощает расследование инцидентов и помогает в проактивном поиске угроз.
«С помощью PT NAD мы научились смотреть трафик и работать с ним, — добавляет Виталий Долгополов, руководитель отдела защиты информации АО „СГМК”. — Трафик — один из главных инструментов SOC, а тот факт, что PT NAD видит сессии, может сохранять дампы трафика и IoC, анализирует зашифрованный трафик, делает его незаменимым инструментом. Так, благодаря PT NAD мы в режиме реального времени увидели сервисы, использующие небезопасные протоколы, которые работали внутри сети. С внешними нарушителями мы уже знали, что делать, а навести порядок с внутренними помог PT NAD. Мы стараемся максимально использовать его функциональность для проактивной защиты: работаем с сессиями, лентой активностей и плейбуками по реагированию, создаем пользовательские правила профилирования, настроили уведомления от PT NAD в Telegram. Применяем несколько каналов оповещения, поэтому уверены, что в трафике у нас точно порядок».
Источник: Positive Technologies
