Противодействие киберугрозам: сила командной игры

Илья Егоркин, руководитель специальных проектов компании Positive Technologies

Для борьбы с современными киберугрозами уже недостаточно классических средств защиты и выстроенных процессов. Их необходимо дополнять новейшими инструментами контроля над безопасностью, постоянного оперативного обмена информацией об угрозах и индикаторах компрометации, об актуальных методиках и технологиях проведения атак.

Что такое современные киберугрозы? Ответ на этот вопрос, с одной стороны, очень прост, а с другой ─ весьма сложен, ведь для двух даже очень похожих организаций нельзя составить единый исчерпывающий перечень угроз. Кроме того, нужно принимать во внимание чрезвычайную изменчивость современного мира и ландшафта киберпространства. Однако можно выделить ряд наиболее распространенных и востребованных хакерами векторов атак, сопоставить эти данные с особенностями конкретной информационной инфраструктуры, ее недостатками и уязвимостями, а затем сформировать собственную практическую модель угроз.

Под неусыпным контролем

Работа центров мониторинга ИБ должна основываться на практической модели угроз и необходимости обеспечения непрерывного функционирования процессов и информационных систем, наиболее важных для бизнеса. В общем виде задачи SOC можно разделить на четыре ключевые группы:

  • превентивная подготовка к выявлению и блокированию атак и инцидентов;
  • обнаружение атак и инцидентов, реагирование на них;
  • устранение последствий атак и инцидентов, минимизация рисков их повторения;
  • анализ и взаимодействие.

Особое внимание следует уделить функциям, которые должны автоматизироваться современными SOC-технологиями и без которых невозможно противостоять современным киберугрозам. Среди них – анализ журналов событий, контроль над сетевым трафиком и конечными устройствами.

Анализ журналов событий─ это настройка правильного режима хранения и ротации журналов событий средств защиты информации, операционных систем и прикладного программного обеспечения, централизованный сбор событий, их хранение и всесторонний анализ. Все это позволяет понимать текущую ситуацию в собственной инфраструктуре и выяснять, что, где и когда в ней происходит. Если журналы событий хранятся продолжительное время и технологии обеспечивают ретроспективный анализ накопленных данных, то появляется и возможность узнать, не происходило ли что-то подобное ранее.

Определять распространение атаки и ее особенности только по журналам и оповещениям средств защиты информации – дело достаточно трудоемкое, поскольку зачастую этой информации бывает недостаточно. На помощь приходят технологии анализа сетевого трафика ─ настоящая “золотая жила” для специалистов по расследованию инцидентов. Анализ трафика позволяет определить всю цепочку событий, которая привела к реализации угрозы, отследить распространение атаки и понять, какие узлы и сегменты сети участвовали в инциденте. Кроме того, такой анализ дает возможность восстановить хронологию событий, получить образцы используемого злоумышленниками вредоносного кода, полезной нагрузки и прочие артефакты.

Наконец, контроль над конечными устройствами (использование различных технологий для мониторинга атак на уровне узла) обеспечивает дополнительный и очень важный источник информации. Он позволяет в деталях определять действия злоумышленника на конкретных узлах и выявлять векторы распространения атак.

Для перечисленных функций критически важным является наличие актуальной информации об угрозах, индикаторов компрометации, в том числе сигнатур, репутационных баз, данных об атаках, техниках и тактиках их проведения, многих других данных, которые могут быть использованы средствами автоматизации. Без всего этого инструменты работают неэффективно. Изменить ситуацию позволяют покупка индикаторов компрометации, получение информации из неструктурированных и зачастую слабо применимых к конкретной организации аналитических отчетов, взаимодействие между участниками профессионального сообщества, деятельность CERT/CSIRT. Необходимо проанализировать собранную информацию и выделить из нее данные, действительно значимые для конкретной организации. Сейчас в России эти функции начинают выполнять главный центр ГосСОПКА и FinCERT.

Кибербезопасность на основе доверия

Отдельного внимания заслуживает проблематика обмена информацией. В свое время на международных конференциях часто обсуждались вопросы, связанные с технологиями обмена индикаторами компрометации и доверием к ним. В большинстве случаев польза от обмена данными подтверждалась представителями национальных CERT. Обмен опытом крайне важен, и его результаты могут быть вполне осязаемыми ─ это контрольные суммы вредоносных файлов и пути их размещения в системе, различные сигнатуры, правила корреляции, черные и серые списки вредоносных узлов, центров управления бот-сетями, примеры фишинговых писем и многое другое.

Сейчас регуляторы переходят от старой модели предоставления периодических отчетов к двустороннему обмену информацией об угрозах, атаках, инцидентах, индикаторах компрометации и к формированию адресных рекомендаций. Это обусловлено тем, что для борьбы с современными угрозами исключительно актуальным является повышение уровня осведомленности, использование результатов коллективного труда, применение полученных знаний и технических данных для настройки ИТ- и ИБ-инфраструктуры, способной противодействовать квалифицированным злоумышленникам. Ярким примером является переход ИТ-индустрии от индивидуальной разработки к комплексированию разных инструментов и генерации контента всеми участниками системы.

Конечно, кое-кто еще пытается в одиночку решать проблемы ИБ, сталкиваясь с нехваткой бюджета, технологий, экспертизы и опыта. Но изменения последних пяти лет подталкивают нас к кооперации, применению лучших мировых и российских практик для обеспечения безопасного функционирования сложных информационных систем. Для того чтобы упорядочить свои усилия, можно прибегать к поэтапному подходу, используя уже имеющиеся инструменты защиты и дополняя их необходимыми SOC-технологиями в рамках трех уровней зрелости. На первом из них усилия концентрируются на контроле над внешним периметром организации, на втором решается задача контроля над всей информационной инфраструктурой, а уж затем осуществляется переход к выявлению сложных целенаправленных атак.

При этом с помощью ЭСКАЛ можно оперативно и без психологического напряжения для сотрудников определять соответствие их характеров и склонностей функциональным требованиям. Сотрудникам можно и нужно находить такие рабочие места, на которых их способности будут максимально соответствовать этапам цикла Деминга конкретных бизнес-процессов. Соответствие можно определять по каждому из пунктов Деминга, облегчая службе управления персоналом формирование кадрового резерва.

Cегодня сложилась уникальная для отрасли ситуация: инициативы регулятора совпадают как с лучшими мировыми практиками, так и с интересами специалистов по ИБ, нацеленных на практические результаты. Готовящиеся рекомендации регулятора содержат перечень тех функций, реализация которых позволит эффективно решить задачи коммерческих SOC и центров ГосСОПКА, организовать взаимовыгодное сотрудничество и информационный обмен между государственными структурами и профессиональным сообществом.

Тэги: 

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.