Журнал "Information Security/ Информационная безопасность" #1, 2019

12 • УПРАВЛЕНИЕ Таблица 2. Перечень инцидентов ИБ, для выявления которых в СМСИБ настраиваются правила корреляции собираемых событий безопасности Тип инцидента Cценарии выявления инцидентов Польза Вредоносное программное обеспечение (ПО) (включая APT и бот-агент) Массовое заражение узлов сети одним вирусом Несколько вирусов на одном узле сети Ошибка удаления вируса на узле Подключения узла к ботнет-сети Обнаружение сетевых червей Обнаружение признаков вредоносного ПО (запуск ПО, процесса или последовательности процессов) Обнаружение запрещенного ПО (обнаружение процесса из списка запрещенных, например торренты, скайп, майнинг и т.п.) Применение данной политики позволяет в режиме реального времени минимизировать риски проникновения в информационную инфраструктуру вредоносного ПО, оперативно отслеживать и оповещать о вирусной активности, проводить корреляцию между событиями активности различного вредоносного ПО Несанкциони- рованный доступ Попытка входа в ОС под технологической учетной записью Изменение критичных параметров системы (остановка критичных служб и приложений, очистка системных журналов) Повышение привилегий пользователя Изменение ключевых групповых политик, изменение состава привилегированных групп, создание/удаление учетных записей Работа пользователя в ночное время, в выходной или праздничный день во внутренней сети компании Большое количество блокировок пользователей в системе Попытка несанкционированного доступа к информационным ресурсам Использование утилит удаленного управления (TeamViewer и пр.) Подключение к узлу периметра по административным портам с внешнего узла Применение данной политики позволяет оперативно отслеживать изменения в инфраструктуре, свидетельствующие о нелегитимной активности пользователей или вредоносного ПО. Дает возможность принимать решение об оперативной локализации учетных записей или узлов ЛВС, выполняющих вредоносную активность Эксплуатация уязвимости Обнаружение вредоносного ПО Подключение к ИС с нетипичного узла Подключение к ИС по нетипичным портам Применение данной политики позволяет оперативно отслеживать различную аномальную активность. Дает возможность анализировать нетипичное поведение сервисов и служб, дает дополнительную информацию для проведения расследований инцидентов ИБ DoS/DDoS Всплеск входящего сетевого трафика (DoS-атака на сетевой узел) Недоступность сервиса, узла или канала связи Всплеск нагрузки на сетевое оборудование, критические ошибки в работе сетевого оборудования Применение данной политики позволяет оперативно отслеживать развитие ситуации, предшествующей отказу в обслуживании узлов и сервисов. Дает информацию для принятия решения о необходимости упреждающего воздействия, например переключения трафика, блокирования нежелательных адресов Перебор паролей Подбор пароля пользователя с последующим успешным входом Подбор учетной записи Большое количество блокировок пользователей в системе Применение данной политики позволяет оперативно отслеживать атаки на учетные данные пользователей, в том числе и с использованием "медленных переборов", когда учетные записи не блокируются. Дает возможность оперативно выявлять узлы и источники вредоносной активности Центр управления бот-сети Подключения к вредоносным ресурсам в сети Интернет (ботнет сети) Обнаружение аномального исходящего трафика Применение данной политики позволяет оперативно отслеживать попытки обращения к вредоносным ресурсам, находящимся не в ЛВС. Оперативное отслеживание попыток нелимитного подключения к вредоносным ресурсам позволяет получить информацию о зараженном узле сети и оперативно его локализовать Фишинг (мошенничество) Подключение к фишинг-ресурсам Нелегитимное подключение носителей информации и мобильных устройств Вредоносный ресурс Подключения систем к IP-адресам и доменам из черного списка Сканирование ресурсов Сканирование портов на узле из сети Интернет Поиск из Интернета открытого порта на узлах сети Сканирование портов из внутренней сети Поиск из внутренней сети открытого порта на узлах Поиск открытых сетевых файловых ресурсов Большое количество блокировок сетевого взаимодействия для узла сети Применение данной политики позволяет оперативно выявлять средства поиска уязвимостей в сети ЛВС, что свидетельствует о попытках развития атаки на узлы ЛВС. Данная информация позволяет локализовать источник атаки Спам Получение на почтовый ящик большого объема писем, отмеченных как спам Отправка большого количества писем на внутренние или внешние почтовые адреса Возможная рассылка вредоносного ПО (аномальная активность в почте) Применение данной политики позволяет оперативно выявлять попытки доставки вредоносного ПО. Дает возможность предотвращать или минимизировать массовые эпидемии (заражения)

RkJQdWJsaXNoZXIy Mzk4NzYw