Вход
Регистрация
up

Стоит ли пренебрегать расследованием инцидентов информационной безопасности

18 июля 2017

Говорят, что на месте преступления всегда остаются улики. Однако в виртуальной среде нет следов на траве или отпечатков пальцев, которые бы явно указывали на злоумышленника, поэтому довольно сложно определить, кто проник в ИТ-систему и что он конкретно сделал. Более того, часто инциденты информационной безопасности происходят от имени пользователей с расширенными правами или вообще сотрудника службы безопасности. Многие компании по-прежнему испытывают трудности во время судебного расследования просто потому, что у них нет структурированных логов и свидетельств произошедшего, которые бы могли стать неопровержимыми доказательствами совершенного преступления.

Обычно специалисты по кибербезопасности начинают исследование с изучения логов, генерируемых сетевыми устройствами.

В любом случае, независимо от причины произошедшей атаки – ошибки, внешней угрозы или инсайдерской активности – если у вас не будет всех важных данных, вы можете упустить из виду существенные детали, а значит, потратите гораздо больше времени и денег на поиск правды. Как же добраться до истинных проблем, которые привели к инциденту информационной безопасности?

Расследование и вызовы

После преступления очень важно не упустить время и провести расследование инцидента информационной безопасности по свежим следам, а не по прошествии нескольких недель или месяцев.

Опрос, проведенный компанией Balabit на конференции RSA, показал, что 44 % компаний регулярно пренебрегают своевременным расследованием ИБ-инцидентов, из них 6 % нарушают дедлайны по проведению расследования или составлению отчетов постоянно, 38 % – время от времени

Обычно специалисты по кибербезопасности начинают исследование с изучения логов, генерируемых сетевыми устройствами и приложениями, пытаясь восстановить картину происходящего. Однако это не совсем удобно, так как в журналах событий скапливается колоссальный объем информации. Велика вероятность, что этот процесс превратится в поиск иголки в стоге сена.

Проблемой может стать не только способ сбора, отображения данных или время расследования. Вы не сможете предъявить данные в качестве доказательства при юридическом расследовании, если их целостность и формат нарушены, а сами журналы логов хранятся в незащищенном от незаконного проникновения месте.

Важная информация, позволяющая восстановить детали инцидента ИБ и раскрыть основную причину проблемы, может пропасть или попросту отсутствовать даже в компаниях, которые правильно организовали сбор и управление логами.

В последнее время организациям сложнее выстроить цепочку доказательств, поскольку хакеры все чаще атакуют аккаунты сотрудников, чтобы получить привилегированный доступ к ИТ-ресурсам. Выбирая в качестве цели системных администраторов и других «суперпользователей» с высокими или неограниченными правами доступа к операционным системам, базам данных и уровням приложений, они могут уничтожать, красть или манипулировать конфиденциальной информацией в финансовых и CRM-системах и других ценных коммерческих данных.

Забудьте о белых пятнах

Низкая скорость реагирования на атаку, объем, качество и целостность информации, полученной при проверке, могут помешать внутренним специалистам или внешним агентствам добраться до причины инцидента или лица, ответственного за него. Чтобы понимать, что на самом деле происходит в ИТ-системе (в том числе определять и вредоносные инциденты), необходим иной подход к мониторингу пользователей и поведенческой аналитике – отслеживать и визуализировать активность в режиме реального времени. Например, если вдруг произошло неожиданное завершение работы, утечка данных или необычные манипуляции с базой данных, все детали и причины события легко отследить через журнал регистрации событий в сети. Такие записи имеют неоценимое значение как для расследований в реальном времени, так и для расследований нарушений post factum, а также для автоматического анализа поведения пользователей – их можно воспроизвести в формате «фильм-хроника» и последовательно отследить все события и действия пользователя.

Компания может столкнуться с хакерской атакой, отказом в обслуживании, мошенничеством или кражей конфиденциальных данных. Надежно защищенные, целостные логи действий пользователя не только обеспечивают важные доказательства в случае юридического разбирательства, но и дают вам уверенность в том, что вы сможете точно определить причину инцидента, даже если она лежит за пределами отслеживаемой области. Используя собираемые логи вместе с поведенческой аналитикой, компании могут значительно уменьшить время расследования, снизить затраты и при этом реагировать на новейшие угрозы в режиме реального времени.

Источник s-director.ru


Нравится

Комментировать