Журнал "Information Security/ Информационная безопасность" #2, 2019

ты информации и сетевых журналов, при правильной аналитике и корреля- ции событий, можно очень четко опре- делить актуальные уязвимости для конкретной инфраструктуры и, как следствие, выработать эффективные меры проактивной работы с потенци- альными угрозами. Технологию UEBA мы применяем в качестве поведенче- ской аналитики программного обес- печения для последующей корректной его настройки и исправления ошибок в работе. UEBA помогает ИБ-специа- листам получить минимальный уро- вень ложноположительных срабаты- ваний и уделять должное внимание реакции на реальные угрозы. Лев Палей – Как и любой тренд, если разобрать про- исхождение и эффект более детально, техно- логия идеологически осталась привлекатель- ной. Но вместо развития этого уровня автоматизации при выявлении событий и инцидентов ИБ как самостоятельного продукта наблю- дается использование описанных тех- ник в классах решений Endpoint Detec- tion and Response и SIEM. Таким обра- зом можно косвенно судить о том, что рынок средств защиты адаптировался и нашел нужное место этой технологии. Вопрос про ситуации, я бы переформу- лировал, а именно: когда пора задумы- ваться об UEBA? И тут есть простой и логичный ответ: когда выстроены про- цессы получения данных с источников событий, есть устоявшиеся и проверяе- мые контроли, зрелость SOC и количе- ство накопленных данных позволяет определить место этой технологии среди существующих сервисов ИБ. Сергей Рысин – В данный момент ситуация двоякая. С одной стороны, используемые в усло- виях импортозамещения отечественные решения не так развиты и не обладают всем функционалом. По этой причине приходится постоянно изучать рынок и надеяться на то, что российские аналоги выйдут на один уровень с зару- бежными системами UEBA. С другой стороны, отечественные системы данного класса бывают очень полезны, когда приходиться решать большой пул задач ИБ в условиях ограниченного штата. – Региональные угрозы: миф или реальность? Что вы делаете для их мониторинга, если делаете? Владимир Бенгин – Безусловно, это реаль- ность, и злоумышленни- ки, преследующие ком- мерческие цели, все чаще сегодня работают адресно. Чтобы успешно похищать денежные средства из банков, желательно знать нюансы работы банковской системы страны, а чтобы отключать электриче- ство (как, например, недавно случилось в Венесуэле) – тоже желательно разби- раться в устройстве конкретной системы управления энергообъектами, применяе- мых системах и их слабых местах. Атрибуция хакерских группировок по национальному признаку – не всегда корректный и неточный процесс, так как существует множество способов придать атаке "национальный орнамент" и запутать расследование. Тем не менее часть угроз (как и часть злоумышлен- ников) нередко нацелены на конкретные регионы, и для успешной борьбы с ними нужны региональные экспертные цент- ры, занимающиеся мониторингом, рас- следованиями и накапливающие соот- ветствующую экспертизу. Мы передаем в свои продукты данные о самых акту- альных локальных угрозах, накопленные собственным исследовательским цент- ром (более 250 экспертов) и экспертизу PT Expert Security Center, накопленную во время расследований реальных атак. Дмитрий Кандыбович – В компаниях с распре- деленной региональной сетью большое количе- ство мошенничества происходит именно в регионах. Если в филиалах есть деньги, то находятся люди, которые хотят от этого куска откусить. Много примеров в страховых компаниях, которые стал- киваются с самодеятельностью филиа- лов. Чаще всего в этом замешаны про- фессионалы, которые хорошо знают законы, систему, находят в ней дыры и хотят ими пользоваться. Елена Нагорная – В нашем случае региональные угрозы информационной без- опасности – это не миф, а самая настоя- щая реальность. Орга- низация ведет интен- сивную внешнеэкономическую дея- тельность, а за пределами Российской Федерации находится много активных офисов со своей инфраструктурой и не только, поэтому мы уделяем боль- шое внимание аналитике угроз ИБ с привязкой к конкретному региону. Большую роль в данном случае играет экономическая и политическая обста- новка. Сергей Рысин – В современных реа- лиях региональные, вернее сказать геопо- литические задачи стоят очень остро: в большей степени это касается защиты гос- сектора в связи с проявляемым запад- ными странами интересом к внутрен- ним делам нашей страны. В этой связи вполне можно ожидать учаще- ния фишинговых рассылок и исполь- зования механизмов социальной инженерии, это касается и частного сектора, конечно. Но с отслеживанием данных угроз достаточно успешно справляются отечественные системы мониторинга инфраструктуры и собы- тий в сети Интернет. И здесь акцент, скорее, стоит сделать на другой про- блеме: к сожалению, не все руково- дители компаний в России в полной мере осознают тот факт, что подраз- деления ИБ являются не обузой, а про- стой необходимостью, позволяющей обеспечивать непрерывность бизнеса и избегать ненужных потерь, в том числе с учетом растущих угроз извне. И вот с этой особенностью нашего менталитета, безусловно, нужно рабо- тать, проводить широкую разъясни- тельную работу. • 27 SIEM www.itsec.ru