Разработка сценариев выявления и реагирования на угрозы

Волна атак вымогательским ПО регулярно «проходится» по крупнейшим мировым корпорациям. Тактика вымогателей стандартная: кража конфиденциальных данных и последующий шантаж их раскрытия.

Злоумышленник получает доступ к определенным базам данных и информационным системам и, постепенно продвигаясь горизонтально в инфраструктуре, похищает конфиденциальную информацию со скомпрометированных ресурсов. Надо отметить, что время между компрометацией внутренних систем и непосредственно деструктивной атакой (шифрованием, кражей данных и т.д.) может быть довольно большим. Так, в случае с компанией Gyrodata (крупная международная энергетическая компания со штаб-квартирой в Хьюстоне), которая пострадала от вымогателя весной 2021 года, эксперты ИБ в своем расследовании убедились, что злоумышленники прибегали к периодическому неавторизованному доступу к системам начиная с января 2021 года (за 3 месяца до атаки!) для скачивания данных. Если бы ИБ-служба компании вовремя успела отработать инциденты безопасности, связанные с неавторизованным доступом во внутреннюю инфраструктуру, то масштабной утечки данных можно было бы избежать.

С другой стороны, с учетом скорости развития глобальной информатизации растет и поток событий ИБ, требующих оперативной аналитической обработки, для которой необходимо достаточное количество профессиональных ресурсов – как человеческих, так и информационных.

Поэтому, по данным CISO Benchmark Report 2020, ИБ-эксперты компаний вынуждены смещать внимание в сторону идентификации инцидента, а не активного ему противодействия и восстановления последствий.

Соотношение типов действий с инцидентом по годам: Идентификация инцидента (Identify) Детектирование (Detect) Ответные действия (Respond) Устранение последствий (Recovery)
2019 г. 21% 20% 18% 17%
2020 г. 27% 18% 15% 14%


Другие исследования указывают на системную нехватку экспертного времени при работе с Центрами мониторинга событий:

  • С контролируемых источников лишь 93% событий и оповещений по технологическим причинам попадает в Pipeline SecOps.

  • Из них 44% остаются непроанализированными, зачастую в виду высокого FPR или недостаточного количества соответствующих кадров, их квалификации или качественно проработанной сценарной базы по выявлению и реагированию.

  • Таким образом, лишь 56% из 93% всех событий и оповещений анализируются аналитиками, а меры предпринимаются лишь в половине из проанализированных случаев.

С учетом данной ситуации компаниям необходимо осуществлять качественный выбор наиболее актуальных сценариев реализации угроз и соответствующих тактик / техник / процедур кибератак (далее – TTP), а также соответствующих сценариев их выявления и реагирования.

В условиях дефицита кадров ИБ обеспечить повышение операционной эффективности подразделений ИБ, отвечающих за направление мониторинга безопасности (Security Operations), можно только через регламентирование и максимальную автоматизацию данного процесса за счет разработки сценариев выявления и реагирования на угрозы.

Группа компаний Angara для оптимизации работы Центра мониторинга событий ИБ предлагает услугу «Разработка сценариев выявления и реагирования на угрозы».

«Услуга предлагает автоматизированную атрибуцию актуальных сценариев реализации угроз и соответствующих TTP, вероятностно наиболее подходящих под информационную инфраструктуру и сферу деятельности конкретно вашей компании, с последующей разработкой соответствующих сценариев их выявления, с наполнением внутренней базы знаний ИБ вашей компании и корректировкой существующих настроек аудита контролируемых информационных активов», –  рассказывает Тимур Зиннятуллин, директор Центра киберустойчивости ACRC.

В качестве матриц используются: MITRE ATT&CK®, БДУ ФСТЭК, MITRE SHIELD®. Дополнительно в случае, если полезная нагрузка от применения механизмов противодействия (mitigation) превышает полезную нагрузку от разработки сценариев выявления, выдаются соответствующие рекомендации по реализации компенсирующих мер.

Услуга актуальна для компании всех отраслей экономики, где требуется повышение операционной эффективности ИБ, в частности по направлению мониторинга событий. Эксперты Центра киберустойчивости ACRC разработают подходящие для конкретной ИТ-инфраструктуры и актуальных векторов угроз:

  • необходимые для реализации сценариев параметры и настройки аудита;

  • корреляционные правила для SIEM-систем и бумажные карты реагирования (runbooks);

  • статьи для внутренней базы знаний (xWiki, Confluence и т.д.);

  • автоматизированные карты реагирования (Playbooks) для IRP/SOAR-систем.

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах