Monitorowanie zdarzeń związanych z bezpieczeństwem: jak szybka reakcja na incydenty pomaga pokonać cyberataki

Dlaczego prewencyjne narzędzia bezpieczeństwa nie wystarczają do ochrony firmy 

Wyobraźmy sobie to dalej

na komputerze menedżera HR rozpoczyna się użytkowniksprawdź, jakie uprawnienia ma konto bieżące, połącz się za pomocą legalnych narzędzi do zdalnej kontroli w Internecie i wykonaj inne czynności nietypowe dla pracownika działu HR. 

Środki zapobiegające bezpieczeństwu cybernetycznemu -programy antywirusowe, firewalle, systemy wykrywania włamań – w tej sytuacji przy standardowych ustawieniach nie będą blokować takich działań. Szukają charakterystycznych oznak cyberataków, takich jak próby nawiązania połączenia sieciowego ze znanym złośliwym zasobem, pobranie złośliwego pliku lub uruchomienie narzędzi śledzących na komputerze. A żądanie praw do konta lub zdalne łączenie się z siecią przy użyciu standardowych programów to działania w pełni uzasadnione dla większości firm. 

Jednak specjalista ds. bezpieczeństwa zrozumie, jak to zrobićwydarzenia mogą się dalej rozwijać. Jeśli atakujący przedostanie się do komputera menedżera HR, będzie mógł w każdej chwili otworzyć zdalne połączenie z tą stacją roboczą i wprowadzić złośliwe oprogramowanie, a informacje o kontach pomogą mu w przygotowaniu ataku. 

Aby wyeliminować potencjalne włamania, należy monitorować i kontrolować tego typu działania. To właśnie jest głównym zadaniem monitorowania cyberbezpieczeństwa.   

Czym jest skuteczny monitoring cyberbezpieczeństwa 

Bez monitorowania zagrożeń firma prawdopodobnie to zrobiO włamaniu dowiaduje się po fakcie, kiedy nie da się go nie zauważyć, np. podczas szyfrowania danych na serwerach i stacjach roboczych. Z kolei proaktywne podejście pozwala na szybką identyfikację nielegalnych działań poprzez scentralizowane gromadzenie, systematyzację i analizę zdarzeń związanych z bezpieczeństwem. Może to działać na różne sposoby. 

Niektóre organizacje je zapewniająspecjalista monitorujący alerty - powiadomienia z narzędzi bezpieczeństwa, np. antywirusa, o podejrzanej aktywności. W pewnym stopniu jest to także monitoring, jednak nie może on zapewnić realnej ochrony: ekspert będzie kontrolował jedynie niewielką część infrastruktury.  

Bardziej zaawansowana opcja - i wiele z nichfirmom wdrożenie systemu SIEM (system zarządzania zdarzeniami związanymi z bezpieczeństwem). Będzie zbierać dane z różnych części infrastruktury, tworzyć łańcuchy zdarzeń i śledzić alarmy. Niestety to też może nie wystarczyć, bo samo znalezienie problemu nie wystarczy.

System SIEM będzie zbierał dane z różnych części infrastruktury, tworzył łańcuchy zdarzeń i monitorował sygnały alarmowe

Do dojrzałego podejścia do cyberbezpieczeństwa i pełnej ochrony potrzebne są także: 

  1. Być w stanie przewidzieć z wyprzedzeniem, jakie zdarzenia mogą spotkać firmę. 
  2. Jeśli doszło do zdarzenia, przeanalizuj, co dokładnie się wydarzyło. 
  3. Prawidłowo zareaguj na incydent. 
  4. Pracuj nad błędami, aby sytuacja nie powtórzyła się w przyszłości. 

Takie procesy będą wymagały zintegrowania monitorowania zdarzeń związanych z bezpieczeństwem z proaktywną analizą zagrożeń i reakcją na incydenty. 

Bardziej skuteczne jest zrobienie tego w ramach specjalnegoPion, który nazywany jest: centrum monitorowania i reagowania na zagrożenia cybernetyczne (centrum operacji bezpieczeństwa, SOC). Może pracować zarówno na własnych zasobach firmy, jak i przy zaangażowaniu zewnętrznego zespołu. 

SOC łączy technologię, ludzi i procesy cyberbezpieczeństwa — kombinację zapewniającą optymalną ochronę w miarę jak ataki stają się coraz bardziej wyrafinowane. 

Następnie powiemy Ci, jak działa SOC i jak uzyskać z niego maksymalne wyniki.  

Jak SOC sprawia, że ​​monitorowanie incydentów jest bardziej wydajne 

Przed wdrożeniem monitoringu firma potrzebujezadbaj o zapobiegawcze środki ochrony, które pomogą uchronić się przed powszechnymi atakami. Ten etap pracy można określić jako profilaktykę. Wdrożone narzędzia bezpieczeństwa informacji (ISIS) będą w stanie automatycznie blokować znane ataki, jednak wielu atakujących już dawno nauczyło się je omijać. Aby stawić czoła „niewidzialnym” zagrożeniom, firma potrzebuje innych środków, w szczególności systemów monitorowania. 

Zasadniczo etap zapobiegania nie jest bezpośrednio uwzględniony w procesie monitorowania zagrożeń, ale jest jego ważnym wstępem. 

Jak wspomnieliśmy powyżej, większość firm buduje monitoring cyberbezpieczeństwa w oparciu o systemy SIEM. W takim przypadku proces można podzielić na następujące etapy: 

1. W sieci instalowane są systemy informacji o bezpieczeństwie: programy antywirusowe, zapory ogniowe, skanery bezpieczeństwa sieci i inne systemy, których głównym celem jest automatyczne wyszukiwanie oznak włamań.  

2.   Zdarzenia bezpieczeństwa zbierane są z tych systemów bezpieczeństwa informacji, a także z urządzeń końcowych, sprzętu sieciowego, aplikacji i innych źródeł - pasywnie lub z instalacją programów agentowych. Zdarzenia trafiają do systemu SIEM, gdzie stosowane są do nich reguły korelacji. Na podstawie wyników tej analizy można zidentyfikować działania potencjalnie niebezpieczne.  

Ten etap prac można określić jako wykrywanie i jest on już uwzględniony w procesie monitorowania zagrożeń. 

3.   Sygnały alarmowe wykryte przez reguły są analizowane przez zespół specjalistów. Jeśli zagrożenie się potwierdzi, inicjują reakcję. W jego ramach można zastosować specjalizowane systemy klasy IRP/SOAR(i), które uruchamiają (na polecenie analityka lub automatycznie w oparciu o wcześniej skonfigurowane reguły) scenariusze reakcji dla zidentyfikowanego rodzaju incydentu – playbooki.  

Ten etap pracy można określić jako odpowiedź. 

(i) Platforma reagowania na incydenty/bezpieczeństwoOrchestration, Automation and Response to klasa oprogramowania do koordynowania i zarządzania systemami bezpieczeństwa. Rozwiązania te pozwalają zbierać dane o zdarzeniach związanych z bezpieczeństwem z różnych źródeł, przetwarzać je i automatyzować typowe scenariusze reakcji. 

SOC rozszerza cykl o dwa kolejne etapy:ciągła identyfikacja słabych punktów (przewidywanie) i wyciąganie wniosków na przyszłość (wyciągnięte wnioski). Ważne jest, aby na bieżąco identyfikować podatności, aby w odpowiednim czasie je zamykać i zmniejszać prawdopodobieństwo wykorzystania ich przez cyberprzestępców. Kiedy firma reaguje na incydent, może określić, jakim zdarzeniom można było zapobiec na etapie zapobiegania, i wyciągnąć wnioski, aby uzupełnić swoje polityki reagowania. Podsumowując, pozwala nam to sformułować najbardziej kompletne podejście do ochrony.  

Jak najlepiej wykorzystać monitoring 

Oprócz standardowych incydentów związanych z cyberbezpieczeństwem,W firmie mogą wystąpić także inne zdarzenia, które mogą zakłócić ciągłość procesów biznesowych. Ważne jest także identyfikowanie takich incydentów w SOC, co oznacza, że ​​należy je monitorować. 

Weźmy jako przykład lokalną oczyszczalnię ścieków.Atak na zautomatyzowany system kontroli procesu (APCS), błąd operatora lub nieuregulowane polecenie może spowodować uwolnienie nieoczyszczonych ścieków. Rezultatem jest katastrofa ekologiczna, ogromne kary, a nawet sprawy karne przeciwko odpowiedzialnym. Aby zmniejszyć szkody powstałe w wyniku zdarzenia, możesz monitorować działanie czujnika zaworu przez całą dobę: jeśli zostanie on otwarty, na przykład podczas nieaktywnego trybu czyszczenia, inżynierowie mogą natychmiast podjąć działania. SOC jest do tego odpowiednią bazą technologiczną, jeśli przygotujesz zasady korelacji zdarzeń w SIEM i napiszesz playbooki. 

Jak identyfikować takie wydarzenia i wzbogacać je temataminajlepszy obraz do monitorowania? Zalecamy przeprowadzenie analizy wpływu na biznes (BIA). Da realne wyobrażenie o ryzyku związanym z różnymi incydentami i pomoże Ci znaleźć czynniki ryzyka – także poza cyberbezpieczeństwem. 

Na każdym etapie (przewidywanie, zapobieganie,wykrywanie, reakcja, wyciągnięte wnioski) ta analiza pozwoli Ci zoptymalizować procesy, ustalić priorytety zagrożeń, stworzyć logikę identyfikowania różnych ataków i zapobiegania im oraz opracować skuteczne środki reagowania w celu zminimalizowania możliwych szkód. 

Jeśli tak, możesz samodzielnie przeprowadzić BIAFirma posiada doświadczony zespół ekspertów, którzy rozumieją procesy zarządzania ciągłością działania i są zorientowani na standardy. Jeżeli w kadrze nie ma takich specjalistów, można do prac zaangażować ekspertów zewnętrznych. 

Czy każda firma potrzebuje SOC 

Odpowiedź zależy od zagrożeń, które staną się jasnena podstawie wyników BIA. Jednocześnie należy wziąć pod uwagę szkody nie tylko w infrastrukturze IT: ciągłość procesów biznesowych może zostać zakłócona np. przez awarie usług zewnętrznych, które również warto zidentyfikować w SOC. 

Sądząc po wynikach analizy, po jednej stronie skali znajdą sięz jednej strony koszty wdrożenia własnego lub podłączenia zewnętrznego SOC, a z drugiej strony szkody wynikające z opóźnionej reakcji na zdarzenia związane z bezpieczeństwem. Kierownictwo będzie mogło podejmować decyzje na podstawie oceny konkretnych scenariuszy. Jeśli okaże się, że straty wynikające z jakichkolwiek incydentów są dla firmy nie do przyjęcia, a SOC nie spowoduje nadmiernego obciążenia budżetu, warto wydać pieniądze na wyeliminowanie tych krytycznych strat. 

Może być też odwrotnie:potencjalne straty biznesowe nie uzasadnią wydatku SOC. Następnie firma może monitorować poszczególne kluczowe zdarzenia i budować procedury reagowania na najbardziej niebezpieczne scenariusze. 

SOC: in-house czy outsourcing? 

Kiedy firma zdecyduje, że naprawdę potrzebuje SOC, pozostaje zdecydować, czy będzie działać w oparciu o własne zasoby, czy też będzie musiała skontaktować się z organizacją ekspercką. 

Poniższe pytania pomogą Ci podjąć tę decyzję.  

  1. Czy potrafisz samodzielnie ocenić krytyczność systemów pod kątem monitoringu? 

Firmy uważają, że im cenniejsze są informacje przechowywane i przetwarzane w systemie, tym ważniejszy jest system i tym ważniejsze jest jego monitorowanie. Jednak to podejście nie zawsze będzie prawidłowe. 

Jeśli cyberprzestępcy uda im się do nich dotrzećsystemów krytycznych i na przykład umieszczając bazę danych w sieci, jest już za późno na ochronę informacji – zostały one już naruszone. Jednak w drodze do celu atakujący musi uzyskać dostęp do infrastruktury, przeprowadzić rekonesans, utworzyć konto z maksymalnymi uprawnieniami i tak dalej. Zadaniem firmy jest jak najwcześniejsze wykrycie nielegalnych działań i zareagowanie, nie czekając, aż atakujący uzyska dostęp do krytycznych zasobów. Dlatego monitorowaniem powinno objąć nie tylko takie aktywa, ale także wszystkie punkty, które minie atakujący. Mogą to być serwery pocztowe, stacje robocze użytkowników, drugorzędne systemy informacyjne. Są to wszystkie elementy infrastruktury, które zazwyczaj nie są uważane za krytyczne. 

Aby utworzyć skuteczny niestandardowy SOC,firma potrzebuje specjalistów, którzy potrafią poprawnie uszeregować systemy według ważności. Jeśli organizacja nie posiada takich pracowników, pomogą jej zewnętrzni eksperci. 

2.Czy musisz przestrzegać wymogów prawnych dotyczących zgłaszania incydentów organom regulacyjnym? 

Tematy krytycznych informacjiinfrastruktura (KII) musi przekazywać informacje o incydentach do państwowego systemu wykrywania, zapobiegania i eliminowania skutków ataków komputerowych (GosSOPKA). W tym celu konieczne jest zbudowanie interakcji z regulatorem, opracowanie regulaminów, dokonanie integracji, ustanowienie zautomatyzowanego przekazywania informacji o incydentach itp. 

Możesz to wszystko zrobić sam.Jeżeli firma nie ma możliwości przeznaczyć na takie prace własnych środków, istnieje możliwość powierzenia tych zadań zewnętrznemu SOC, który ma status centrum korporacyjnego Państwowej Organizacji Socjologicznej.  

3.Jak szybko musisz rozpocząć monitorowanie? 

Aby zbudować i uruchomić swójUkończenie SOC może zająć firmie kilka lat. SOC musi osiągnąć pewien poziom dojrzałości, aby naprawdę zacząć identyfikować zdarzenia, które przeoczyły standardowe zabezpieczenia zapobiegawcze. Pogłębianie eksperckiej bazy reguł identyfikujących podejrzane zdarzenia, ciągła ich aktualizacja, budowanie procesów, przygotowywanie playbooków – to wszystko wymaga dużo czasu i zasobów. Na przykład od ponad czterech lat opracowujemy 1300 reguł (stan na styczeń 2023 r.) w naszej bazie danych SOC. Jednocześnie możesz uruchomić zewnętrzne SOC w ciągu kilku tygodni. 

4.Jaka szybkość reakcji na incydent jest dla Ciebie krytyczna? 

Analiza wpływu na działalność biznesową pokaże, któreReagując na incydent, należy przestrzegać granic. Może się okazać, że godzinna awaria nie będzie miała żadnego wpływu na biznes, po dwóch godzinach zaczną się problemy w procesach, a dwa dni przestoju grożą poważnymi szkodami finansowymi i reputacyjnymi. Wszystko to należy wziąć pod uwagę w podręcznikach, z których procedura odpowiedzi będzie jasna. Na niektóre zdarzenia należy zareagować w ciągu kilku minut, także w nocy. Dlatego SOC musi działać przez całą dobę, a jeśli potrzebni będą wyspecjalizowani eksperci, trzeba będzie ich jak najszybciej podłączyć.  

Posiadanie własnego SOC działającego 24 godziny na dobę, 7 dni w tygodniu, to wielka sprawawydatki. Główną część kosztów stanowić będzie personel – trzeba znaleźć ludzi i przystosować ich do pracy w firmie. Zewnętrzny SOC posiada już doświadczonych specjalistów, którzy na co dzień 24/7 zajmują się incydentami z firm z różnych branż. 

5.Czy jesteś gotowy ponieść duże jednorazowe koszty? 

Problemy budżetowe podczas tworzenia SOC w domu lub zoutsourcing ustalany jest indywidualnie, nie ma jednoznacznej odpowiedzi, która opcja będzie tańsza. Wszystko zależy od ilości i kwalifikacji personelu, zastosowanych rozwiązań technicznych i usług oraz innych narzędzi.  

Warto wziąć pod uwagę, że własnei zewnętrzne SOC odnoszą się do różnych pozycji budżetu. W pierwszym przypadku mówimy o inwestycjach kapitałowych: sprzęt, oprogramowanie, licencje, lokal, meble. W drugim koszty operacyjne będą. 

W związku z tym, aby stworzyć własny SOC, będziesz potrzebować dużych inwestycji początkowych, ale nie w przypadku outsourcingu. 

6.Czy masz wykwalifikowanych pracowników? 

W SOC musisz najpierw wybrać numerwysoko wykwalifikowani specjaliści, którzy muszą stale zdobywać doświadczenie. Jednocześnie rozwiązanie problemu kadrowego nie jest dziś łatwe. Na całym świecie brakuje kilku milionów wyspecjalizowanych pracowników, w Rosji jest to liczba bliska tysiącom osób. Stworzenie zespołu składającego się z personelu może zająć miesiące, ale zewnętrzny SOC już go posiada. Ponadto planując koszty własnego centrum monitorowania należy wziąć pod uwagę nie tylko wynagrodzenia ekspertów, ale także koszty szkoleń zawodowych, certyfikacji i szkoleń zaawansowanych. 

Zreasumowanie 

Bez monitorowania incydentów nie da się mówić o cyberbezpieczeństwie – nie da się uchronić przed zagrożeniami, których nie widać. Być może jednak jeszcze gorzej jest wydawać pieniądze i nie osiągać rezultatów. 

Zacznij od analizy wpływu zdarzeń na biznes,aby określić, który monitoring da oczekiwany rezultat. Stale aktualizuj listę zdarzeń bezpieczeństwa, które mają wpływ na zrównoważony rozwój firmy. Poprawi to ogólną jakość monitoringu i znacząco podniesie poziom dojrzałości cybernetycznej w Twojej organizacji. 

Czytaj więcej:

Naukowcy odkryli naturę dziwnych sygnałów radiowych z planety podobnej do Ziemi

Eksperci przewidzieli, ilu ludzi będzie żyło na Ziemi do 2100 roku

Nowy typ czarnej dziury znaleziony w „kosmicznym podwórku” Ziemi