Искусственный интеллект на службе информационной безопасности в компании - Инциденты и источники часть2

Подробности

Создано 13.10.2013 01:12

В простейшем случае причиной значительного объема инцидентов может быть большое количество событий, например, когда какое-либо приложение пытается выйти в Интернет, используя закрытый порт. Межсетевой экран будет честно рапортовать о каждом таком неинтересном событии.

Здесь сложность заключается в том, что межсетевые экраны могут обслуживаться специалистами другого отдела и сотрудники ИБ порой не знают об этой активности до тех пор, пока не начнут получать сообщения о таких инцидентах. Очевидным решением является отключение или перенастройка ненужных функций в приложениях.

Итак, мы рассмотрели основные способы создания правил корреляции и сложности, с которыми можно столкнуться при их разработке. По опыту могу сказать, что в зависимости от количества и типов источников этап подключения и создания правил корреляции событий может занимать от трех месяцев до года. Хотя бывают проекты, где этот процесс затягивается на более продолжительное время.

Кроме того, не стоит забывать и о создании соответствующей инфраструктуры. Например, для эффективной работы системы мониторинга событий информационной безопасности необходимо наличие нескольких операторов, работающих посменно в круглосуточном режиме. Кроме того, должны быть разработаны документы, в соответствии с которыми ведется как мониторинг, так и действия по расследованию инцидентов. Сам процесс расследования должен быть четко отлажен.

Более высокий уровень

После того как все источники событий подключены и основные правила корреляции созданы, следующим логичным этапом развития SOC является использование данной системы для более высокоуровневого определения инцидентов. Далее мы рассмотрим несколько направлений, в которых может развиваться система мониторинга событий безопасности.

Система «Человек-машина»

Я уже достаточно подробно рассмотрел инциденты, связанные с работой ИТ-систем. Однако любому специалисту по безопасности известно, что немало проблем создают непосредственно сотрудники компании. Например, такие инциденты, как утеря токена или пропуска, нахождение посторонних лиц в серверном помещении, незаблокированный компьютер при отсутствии сотрудника, и многое другое представляют существенную долю инцидентов ИБ. Здесь возникает проблема классификации различных событий.

Совмещение таких инцидентов с описанными ранее событиями в ИТ-системах позволит увеличить защищенность корпоративной сети. Например, при появлении в корпоративной сети пользователя, который потерял свой токен, возникает повод для создания записи об инциденте. Автоматическое создание записей позволит и облегчить расследование инцидентов, и предотвратить более серьезные нарушения.

Мошенничества и хищения

Еще одним направлением использования SOC может стать борьба с мошенничеством. Большинство современных бизнес-процессов в большей или меньшей степени используют корпоративные ИТ-системы. Например, учет товаров на складе ведется через складскую систему. Аналогично цены на товары в магазине также хранятся в базе данных. Учет логистики в различных отраслях ведется с использованием программного обеспечения. Про банковские системы дистанционного банковского обслуживания говорить не приходится — они полностью информатизированы.

Во всех этих отраслях есть нечистые на руку сотрудники и внешние нарушители, пытающиеся различными способами извлечь выгоду мошенническими способами. О некоторых из таких способов я писал в статье [2]. С помощью SOC можно разработать правила корреляции, которые будут обнаруживать мошенничества, собирая события с информационных систем и сопоставляя их с соответствующими правилами.

Примерами таких событий могут быть слишком частые изменения стоимости товаров в базе, подозрительные переводы средств со счета в другие страны, переводы в нерабочее время и многое другое. Вообще здесь многое зависит от профиля деятельности каждой конкретной компании. В крупных компаниях имеются соответствующие специалисты по безопасности, которые, как правило, не слишком компетентны в информационных технологиях, но зато хорошо знают мошеннические схемы, применимые в данной сфере. Поэтому сотрудники ИБ могут построить и отладить эффективный набор правил для предотвращения подобных инцидентов.