Почему кибер атаки на бизнес проходят незамеченными или как можно оперативно выявить нарушителя безопасности

Важный этап в создании системы защиты - это внедрение полноценного мониторинга и анализа событий информационной безопасности (идеально в режиме реального времени). Для решения этой задачи используются SIEM (Security Information and Event Management) системы, позволяющие собирать, анализировать и сопоставлять между собой (искать корреляции) данные о событиях безопасности для выявления инцидентов и предотвращения угроз. Следующий шаг - это еще и система автоматического реагирования (класс инструментов защиты под названием SOAR), но далее мы приведем примеры, где SIEM системы позволили избежать серьезных атак, и рассмотрим ключевые факторы, которые следует учесть при выборе SIEM системы.

• Одна из крупных финансовых компаний столкнулась с проблемой кражей данных, но не могла понять, где угроза. Благодаря “докрутке” системы мониторинга специалисты ИБ-департамента с помощью SIEM построили цепочки и обнаружили подозрительные действия: несанкционированный доступ к конфиденциальной информации и передачу ее во внешний контур. При этом при раскладке событий по линии времени (time line) также были замечены попытки использования уязвимостей базы данных. В цепочке событий был задействован один из сотрудников. Это реальный человек, которые первоначально не имел доступа к этим данным. Фишка в том, что сама учетная запись (и компьютер) сотрудника оказалась скомпрометирована. Через его аккаунт злоумышленники пытались получить доступ к базам данных с конфиденциальной информацией. Благодаря оперативно выполненному расследованию и реагированию со стороны группы мониторинга удалось избежать крупного инцидента и масштабной громкой утечке. Ура SIEM системе!
• Другой пример связан с сетевым магазином, который попросил помочь уже после совершения атаки. К сожалению, инцидент был замечен слишком поздно после “шумихи”, однако это не отменяет необходимости проведения расследования и выявления узких мест, которые нужно будет закрывать для избежания рецедива. В процессе распаковки цепочки атаки выяснилось, что она началась через уязвимости веб-приложения. Более того SIEM система показала элементы фрода (сомнительную активность клиентов) за счет кастомизации и анализа паттернов покупок, что позволяет выявлять аномальные транзакции. Все это помогло компании предотвратить прямые финансовые потери, а также защитить своих клиентов от мошеннических действий через манипуляции с данными, обрабатываемыми веб-приложениями.
• Крупная технологическая компания использует SIEM систему в связке с DLP для обнаружения и предотвращения утечек конфиденциальных данных. С помощью SIEM системы компания контролирует доступ к чувствительной информации, сравнивает паттерны передачи данных по сети и выявляет угрозы безопасности. Это помогает компании защитить свою интеллектуальную собственность, сохранить репутацию на рынке и не дать конкурентам украсть секреты производства и повлиять на свою операционную устойчивость.

Как выбрать SIEM систему? Существует много факторов, на которые стоит опираться при выборе. Ключевые факторы выбора:

• Интеграция: SIEM системы должны обеспечивать сбор, корреляцию и анализ событий безопасности из разных источников: включая сетевые события, события с узлов, данные аутентификации, изменения в конфигурациях и т. д. Важно учесть, какие типы событий поддерживает система - это будет влиять на уровень детализации, которая она обеспечивает, и на возможность покрытия всей инфраструктуры предприятия.
• Масштабируемость: SIEM система должна быть способна масштабироваться вместе с ростом потребностей компании в мониторинге и анализе событий безопасности. Насколько она требовательна к вычислительным ресурсам, обеспечивает ли поддержку достаточного количества правил обработки событий и увеличения потока событий для обработки.
• Функциональные возможности: SIEM системе необходимо не только сравнивать и обрабатывать события безопасности и выявлять аномалии, но и обеспечивать возможности создания собственных правил, статистического анализа, ведения динамических списков для расширения возможностей корреляции (например, подозрительные хосты или списки пользователей удаленного доступа), поддержка разных каналов оповещения администраторов, встроенные (или внешние инструменты) работы с инцидентами, а также автоматизация реагирования на них.
• Кроме этого критерием выбора (особенно для субъектов КИИ) может быть наличие у системы сертификата ФСТЭК и готовая интеграция с ГосСОПКА.

Гладиаторы ИБ уже давно являются партнерами СерчИнформ, и в марте мы заключили стратегическое сотрудничество по предупреждению и реагированию на ИБ-инциденты на базе продукта «СерчИнформ SIEM». Все это, чтобы обеспечивать надежность и устойчивость работы наших клиентов за счет укрепления информационной безопасности их ИТ-инфраструктур. Мы не управляем тем, что не видим. А SIEM это может исправить!