В простейшем случае причиной значительного объема инцидентов может быть большое количество событий, например, когда какое-либо приложение пытается выйти в Интернет, используя закрытый порт. Межсетевой экран будет честно рапортовать о каждом таком неинтересном событии.
Здесь сложность заключается в том, что межсетевые экраны могут обслуживаться специалистами другого отдела и сотрудники ИБ порой не знают об этой активности до тех пор, пока не начнут получать сообщения о таких инцидентах. Очевидным решением является отключение или перенастройка ненужных функций в приложениях.
Итак, мы рассмотрели основные способы создания правил корреляции и сложности, с которыми можно столкнуться при их разработке. По опыту могу сказать, что в зависимости от количества и типов источников этап подключения и создания правил корреляции событий может занимать от трех месяцев до года. Хотя бывают проекты, где этот процесс затягивается на более продолжительное время.
Кроме того, не стоит забывать и о создании соответствующей инфраструктуры. Например, для эффективной работы системы мониторинга событий информационной безопасности необходимо наличие нескольких операторов, работающих посменно в круглосуточном режиме. Кроме того, должны быть разработаны документы, в соответствии с которыми ведется как мониторинг, так и действия по расследованию инцидентов. Сам процесс расследования должен быть четко отлажен.
Более высокий уровень
После того как все источники событий подключены и основные правила корреляции созданы, следующим логичным этапом развития SOC является использование данной системы для более высокоуровневого определения инцидентов. Далее мы рассмотрим несколько направлений, в которых может развиваться система мониторинга событий безопасности.
Система «Человек-машина»
Я уже достаточно подробно рассмотрел инциденты, связанные с работой ИТ-систем. Однако любому специалисту по безопасности известно, что немало проблем создают непосредственно сотрудники компании. Например, такие инциденты, как утеря токена или пропуска, нахождение посторонних лиц в серверном помещении, незаблокированный компьютер при отсутствии сотрудника, и многое другое представляют существенную долю инцидентов ИБ. Здесь возникает проблема классификации различных событий.
Совмещение таких инцидентов с описанными ранее событиями в ИТ-системах позволит увеличить защищенность корпоративной сети. Например, при появлении в корпоративной сети пользователя, который потерял свой токен, возникает повод для создания записи об инциденте. Автоматическое создание записей позволит и облегчить расследование инцидентов, и предотвратить более серьезные нарушения.
Мошенничества и хищения
Еще одним направлением использования SOC может стать борьба с мошенничеством. Большинство современных бизнес-процессов в большей или меньшей степени используют корпоративные ИТ-системы. Например, учет товаров на складе ведется через складскую систему. Аналогично цены на товары в магазине также хранятся в базе данных. Учет логистики в различных отраслях ведется с использованием программного обеспечения. Про банковские системы дистанционного банковского обслуживания говорить не приходится — они полностью информатизированы.
Во всех этих отраслях есть нечистые на руку сотрудники и внешние нарушители, пытающиеся различными способами извлечь выгоду мошенническими способами. О некоторых из таких способов я писал в статье [2]. С помощью SOC можно разработать правила корреляции, которые будут обнаруживать мошенничества, собирая события с информационных систем и сопоставляя их с соответствующими правилами.
Примерами таких событий могут быть слишком частые изменения стоимости товаров в базе, подозрительные переводы средств со счета в другие страны, переводы в нерабочее время и многое другое. Вообще здесь многое зависит от профиля деятельности каждой конкретной компании. В крупных компаниях имеются соответствующие специалисты по безопасности, которые, как правило, не слишком компетентны в информационных технологиях, но зато хорошо знают мошеннические схемы, применимые в данной сфере. Поэтому сотрудники ИБ могут построить и отладить эффективный набор правил для предотвращения подобных инцидентов.
PCI-E 2.0, ядро - 810 МГц, память - 2048 Мб GDDR3 1000 МГц, 128 бит, VGA (D-Sub), DVI, HDMI, OEM
10-09-2013
На днях производитель Logitech объявил о выпуске первых продуктов, предназначенных для Samsung Galaxy Tab 3. В составе новой коллекции можно...
10-09-2013
Производитель Lenovo в очередной раз планирует порадовать своих почитателей любопытной новинкой. На этот раз на суд публики будет представлен новый...
Курсы Валют | Дата | ЦБ |
Нал.USD |
27.01 | 81,8394 |
Нал.EUR |
27.01 | 88,8858 |
Нал.UAH |
27.01 | 32,9003 |