Гладиаторы - меню
Гладиаторы - меню

Почему кибер атаки на бизнес проходят незамеченными или как можно оперативно выявить нарушителя безопасности

Существует множество средств защиты информации, различных систем и инструментов для обеспечения безопасности. Мы придерживаемся позиции, что внедрять все и сразу - нерабочий и неэффективный подход. И всегда начинаем свою работу с полноценного аудита, где выявляем слабые места информационных систем и предлагаем варианты решения проблемы. Подробнее о нашей модели работы вы можете почитать в статье “Хватит внедрять “техничку” для безопасности - настрой бизнес-процессы!”.


Но знать об этих инструментах и понимать, что может вам помочь и в какой ситуации, необходимо и предпринимателям, и специалистам ИБ. Мы уже рассказывали о том, как противостоять утечкам данных с помощью DLP систем. Обязательно ознакомьтесь и с этим инструментам, даже если вы еще не сталкивались с утечками. От этого не застрахована ни одна компания.


Но предположим, что компания:

  • разработала модель угроз,
  • построила эшелонированную систему безопасности, включающую как базовые, так и продвинутые средства защиты,
  • внедрила процессы управления изменениями

Насколько она в безопасности и как убедиться, что атаки не пройдут незамеченными? В этой статье мы поговорим о том, с помощью чего можно оперативно реагировать на подозрительное поведение как в сети, так на серверах, и на рабочих станциях.

Важный этап в создании системы защиты - это внедрение полноценного мониторинга и анализа событий информационной безопасности (идеально в режиме реального времени). Для решения этой задачи используются SIEM (Security Information and Event Management) системы, позволяющие собирать, анализировать и сопоставлять между собой (искать корреляции) данные о событиях безопасности для выявления инцидентов и предотвращения угроз. Следующий шаг - это еще и система автоматического реагирования (класс инструментов защиты под названием SOAR), но далее мы приведем примеры, где SIEM системы позволили избежать серьезных атак, и рассмотрим ключевые факторы, которые следует учесть при выборе SIEM системы.

  • Одна из крупных финансовых компаний столкнулась с проблемой кражей данных, но не могла понять, где угроза. Благодаря “докрутке” системы мониторинга специалисты ИБ-департамента с помощью SIEM построили цепочки и обнаружили подозрительные действия: несанкционированный доступ к конфиденциальной информации и передачу ее во внешний контур. При этом при раскладке событий по линии времени (time line) также были замечены попытки использования уязвимостей базы данных. В цепочке событий был задействован один из сотрудников. Это реальный человек, которые первоначально не имел доступа к этим данным. Фишка в том, что сама учетная запись (и компьютер) сотрудника оказалась скомпрометирована. Через его аккаунт злоумышленники пытались получить доступ к базам данных с конфиденциальной информацией. Благодаря оперативно выполненному расследованию и реагированию со стороны группы мониторинга удалось избежать крупного инцидента и масштабной громкой утечке. Ура SIEM системе!
  • Другой пример связан с сетевым магазином, который попросил помочь уже после совершения атаки. К сожалению, инцидент был замечен слишком поздно после “шумихи”, однако это не отменяет необходимости проведения расследования и выявления узких мест, которые нужно будет закрывать для избежания рецедива. В процессе распаковки цепочки атаки выяснилось, что она началась через уязвимости веб-приложения. Более того SIEM система показала элементы фрода (сомнительную активность клиентов) за счет кастомизации и анализа паттернов покупок, что позволяет выявлять аномальные транзакции. Все это помогло компании предотвратить прямые финансовые потери, а также защитить своих клиентов от мошеннических действий через манипуляции с данными, обрабатываемыми веб-приложениями.
  • Крупная технологическая компания использует SIEM систему в связке с DLP для обнаружения и предотвращения утечек конфиденциальных данных. С помощью SIEM системы компания контролирует доступ к чувствительной информации, сравнивает паттерны передачи данных по сети и выявляет угрозы безопасности. Это помогает компании защитить свою интеллектуальную собственность, сохранить репутацию на рынке и не дать конкурентам украсть секреты производства и повлиять на свою операционную устойчивость.

Как выбрать SIEM систему? Существует много факторов, на которые стоит опираться при выборе. Ключевые факторы выбора:

  • Интеграция: SIEM системы должны обеспечивать сбор, корреляцию и анализ событий безопасности из разных источников: включая сетевые события, события с узлов, данные аутентификации, изменения в конфигурациях и т. д. Важно учесть, какие типы событий поддерживает система - это будет влиять на уровень детализации, которая она обеспечивает, и на возможность покрытия всей инфраструктуры предприятия.
  • Масштабируемость: SIEM система должна быть способна масштабироваться вместе с ростом потребностей компании в мониторинге и анализе событий безопасности. Насколько она требовательна к вычислительным ресурсам, обеспечивает ли поддержку достаточного количества правил обработки событий и увеличения потока событий для обработки.
  • Функциональные возможности: SIEM системе необходимо не только сравнивать и обрабатывать события безопасности и выявлять аномалии, но и обеспечивать возможности создания собственных правил, статистического анализа, ведения динамических списков для расширения возможностей корреляции (например, подозрительные хосты или списки пользователей удаленного доступа), поддержка разных каналов оповещения администраторов, встроенные (или внешние инструменты) работы с инцидентами, а также автоматизация реагирования на них.
  • Кроме этого критерием выбора (особенно для субъектов КИИ) может быть наличие у системы сертификата ФСТЭК и готовая интеграция с ГосСОПКА.

Гладиаторы ИБ уже давно являются партнерами СерчИнформ, и в марте мы заключили стратегическое сотрудничество по предупреждению и реагированию на ИБ-инциденты на базе продукта «СерчИнформ SIEM». Все это, чтобы обеспечивать надежность и устойчивость работы наших клиентов за счет укрепления информационной безопасности их ИТ-инфраструктур. Мы не управляем тем, что не видим. А SIEM это может исправить!

Есть вопросы или запрос на проект по безопасности?

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности