Разработка сценариев выявления и реагирования на угрозы

Волна атак вымогательским ПО регулярно «проходится» по крупнейшим мировым корпорациям. Тактика вымогателей стандартная: кража конфиденциальных данных и последующий шантаж их раскрытия.

Злоумышленник получает доступ к определенным базам данных и информационным системам и, постепенно продвигаясь горизонтально в инфраструктуре, похищает конфиденциальную информацию со скомпрометированных ресурсов. Надо отметить, что время между компрометацией внутренних систем и непосредственно деструктивной атакой (шифрованием, кражей данных и т.д.) может быть довольно большим. Так, в случае с компанией Gyrodata (крупная международная энергетическая компания со штаб-квартирой в Хьюстоне), которая пострадала от вымогателя весной 2021 года, эксперты ИБ в своем расследовании убедились, что злоумышленники прибегали к периодическому неавторизованному доступу к системам начиная с января 2021 года (за 3 месяца до атаки!) для скачивания данных. Если бы ИБ-служба компании вовремя успела отработать инциденты безопасности, связанные с неавторизованным доступом во внутреннюю инфраструктуру, то масштабной утечки данных можно было бы избежать.

С другой стороны, с учетом скорости развития глобальной информатизации растет и поток событий ИБ, требующих оперативной аналитической обработки, для которой необходимо достаточное количество профессиональных ресурсов – как человеческих, так и информационных.

Поэтому, по данным CISO Benchmark Report 2020, ИБ-эксперты компаний вынуждены смещать внимание в сторону идентификации инцидента, а не активного ему противодействия и восстановления последствий.

Соотношение типов действий с инцидентом по годам: Идентификация инцидента (Identify) Детектирование (Detect) Ответные действия (Respond) Устранение последствий (Recovery)
2019 г. 21% 20% 18% 17%
2020 г. 27% 18% 15% 14%


Другие исследования указывают на системную нехватку экспертного времени при работе с Центрами мониторинга событий:

  • С контролируемых источников лишь 93% событий и оповещений по технологическим причинам попадает в Pipeline SecOps.

  • Из них 44% остаются непроанализированными, зачастую в виду высокого FPR или недостаточного количества соответствующих кадров, их квалификации или качественно проработанной сценарной базы по выявлению и реагированию.

  • Таким образом, лишь 56% из 93% всех событий и оповещений анализируются аналитиками, а меры предпринимаются лишь в половине из проанализированных случаев.

С учетом данной ситуации компаниям необходимо осуществлять качественный выбор наиболее актуальных сценариев реализации угроз и соответствующих тактик / техник / процедур кибератак (далее – TTP), а также соответствующих сценариев их выявления и реагирования.

В условиях дефицита кадров ИБ обеспечить повышение операционной эффективности подразделений ИБ, отвечающих за направление мониторинга безопасности (Security Operations), можно только через регламентирование и максимальную автоматизацию данного процесса за счет разработки сценариев выявления и реагирования на угрозы.

Группа компаний Angara для оптимизации работы Центра мониторинга событий ИБ предлагает услугу «Разработка сценариев выявления и реагирования на угрозы».

«Услуга предлагает автоматизированную атрибуцию актуальных сценариев реализации угроз и соответствующих TTP, вероятностно наиболее подходящих под информационную инфраструктуру и сферу деятельности конкретно вашей компании, с последующей разработкой соответствующих сценариев их выявления, с наполнением внутренней базы знаний ИБ вашей компании и корректировкой существующих настроек аудита контролируемых информационных активов», –  рассказывает Тимур Зиннятуллин, директор Центра киберустойчивости ACRC.

В качестве матриц используются: MITRE ATT&CK®, БДУ ФСТЭК, MITRE SHIELD®. Дополнительно в случае, если полезная нагрузка от применения механизмов противодействия (mitigation) превышает полезную нагрузку от разработки сценариев выявления, выдаются соответствующие рекомендации по реализации компенсирующих мер.

Услуга актуальна для компании всех отраслей экономики, где требуется повышение операционной эффективности ИБ, в частности по направлению мониторинга событий. Эксперты Центра киберустойчивости ACRC разработают подходящие для конкретной ИТ-инфраструктуры и актуальных векторов угроз:

  • необходимые для реализации сценариев параметры и настройки аудита;

  • корреляционные правила для SIEM-систем и бумажные карты реагирования (runbooks);

  • статьи для внутренней базы знаний (xWiki, Confluence и т.д.);

  • автоматизированные карты реагирования (Playbooks) для IRP/SOAR-систем.

Другие публикации

Мошенники начали активно взламывать и массово скупать аккаунты пользователей в маркетплейсах

В российском сегменте интернета в последние несколько месяцев фиксируется существенное увеличение интереса злоумышленников и киберпреступников к учётным записям российских пользователей на различных маркетплейсах

актуально

22.01.2025

Создание систем безопасности: можно ли говорить о готовности КИИ к современным угрозам ИБ?

С 1 января 2025 г. организациям, являющимся субъектами критической информационной инфраструктуры (КИИ) РФ, запрещается использовать средства защиты информации и сервисы по обеспечению информационной безопасности, странами происхождения которых выступают недружественные России иностранные государства либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств.

актуально

20.01.2025

Инструменты и технологии проактивной безопасности в e-Commerce

Цифровая трансформация является неотъемлемой частью любого бизнеса в современном мире, и она требует внедрения технологий проактивной безопасности для защиты данных и предотвращения кибератак. Об использовании передовых инструментов и средств защиты данных рассказывает Денис Бандалетов, руководитель отдела сетевых технологий Angara Security.

04.11.2024

Как сохранить свои данные в безопасности?

Отвечает директор по управлению сервисами Angara Security Павел Покровский.

01.11.2024

Рынок услуг управления уязвимостями в России: контроль поверхности атак

Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций.

30.10.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах