Николай Гончаров, директор департамента мониторинга кибербезопасности Security Vision, вместе с аналитиками SOC Лилией Сребницкой и Иваном Костенко выступили на форуме ГосСОПКА с докладом, посвященным организации эффективного взаимодействия между подразделениями информационной безопасности и ИТ. Специалисты на примере собирательных кейсов из практики Центра мониторинга кибербезопасности Security Vision, в интерактивном формате представляя разные стороны подразделений, продемонстрировали, как правильно выстроенные процессы и чёткая коммуникация позволяют минимизировать время реагирования на инциденты.
Первый кейс был посвящен эксплуатации критической уязвимости на публичном сайте компании, которая позволяет злоумышленнику выполнить произвольный вредоносный код на целевом сервере или устройстве без физического доступа к нему. Это одна из опасных угроз для веб-приложений, часто приводящая к полному захвату системы, краже данных и установке вредоносного ПО.
В рамках этого кейса эксперты Security Vision разобрали сценарий эксплуатации уязвимости со стороны злоумышленника, а также реагирование на подозрительные события и сработавшие на них правила корреляции со стороны центра мониторинга кибербезопасности. Помимо этого, были затронуты вопросы важности своевременного поиска известных уязвимостей на подконтрольных внешних ресурсах и сервисах, включая их устранение – в большинстве случаев оно реализуется с помощью установки свежих обновлений. В рамках данного кейса специалисты рассмотрели пример, когда эксплуатируемая уязвимость была известной и закрывалась установкой патча.
Второй кейс был связан с использованием злоумышленниками программ-вымогателей (Ransomware) и прочего вредоносного ПО. Это одна из наиболее распространённых угроз, которая, как правило, заканчивается шифрованием критически важных серверов организации. Своевременное выявление действий подобного ПО и грамотное оперативное реагирование снижает потенциальный вред для организации. Эксперты Security Vision привели пример, в котором вредоносное ПО попало на компьютер сотрудника вместе с пиратским и нелицензионным софтом, скачанным из Интернета. Вредоносная активность запускалась из временного каталога в нерабочее время сотрудников – один из типичных признаков действия такого софта. Специалисты компании привели пример грамотно организованных действий со стороны ИБ- и ИТ-подразделений.
Ключевым фактором успешного реагирования в представленных кейсах стал выстроенный регламент и актуальный реестр ИТ-активов, в котором на каждый сервис и хост назначен ответственный администратор. В карточке сервиса сотрудник Центра мониторинга кибербезопасности может видеть, кто отвечает за узел, и незамедлительно подключает нужного специалиста. Это позволяет сократить время реакции до минимума.
В своём выступлении эксперты Центра мониторинга кибербезопасности Security Vision поделились эффективным алгоритмом действий и обозначили ключевой принцип: комплексное и слаженное взаимодействие всех подразделений.
Выводы по итогам выступления
Из описанных кейсов следует вынести три главных урока:
1. Быстрое выстроенное реагирование и взаимодействие между ИБ, ИТ и бизнесом – залог успешного устранения инцидентов.
2. Необходим постоянный мониторинг, автоматизация и регулярное обновление процедур безопасности для своевременного обнаружения угроз.
3. Требуется усиление контроля за инфраструктурой и тестовой средой во избежание распространения вредоносных программ и появления несанкционированных систем.
«Ключевая задача – не только реагировать на инциденты, но и превентивно устранять уязвимости, проводить обучение команд и укреплять культуру информационной безопасности, – резюмировал Николай Гончаров. – Лучше предупредить угрозу, чем устранять ее последствия».
.png)
.jpg)
.jpg)
.jpg)
.jpg)
