Журнал "Information Security/ Информационная безопасность" #6, 2018

гирование на них, а также что сегодня может посодействовать тем компаниям, которые обязаны следовать требованиям и рекомендациям внешних регуляторов? Цель данной статьи – помочь органи- зациям получить ответы на поставленные выше вопросы, а также консолидировать информацию о том, что сегодня необхо- димо учитывать при выборе инструментов для защиты от сложных угроз. Далее приведу детальное описание, как компа- нии за счет автоматизации, централиза- ции, наглядности и удобства эксплуатации могут оптимизировать свои трудозатраты на процесс противодействия сложным угрозам, а также в случаях накладывае- мых обязательств следовать требованиям и рекомендациям регуляторов. Автоматическая блокировка превентивными технологиями максимального числа возможных угроз Наличие решений на уровне сети и конечных точек по блокировке угроз помогает организациям без привлечения специалистов отсеять в автоматическом режиме большое количество мелких, нерелевантных сложным атакам инци- дентов и тем самым повысить эффектив- ность выявления угроз уровня APT. Повышение уровня автоматизации и удобство эксплуатации Увеличение общего числа качественно обработанных инцидентов и повышение уровня вовлеченности существующих спе- циалистов ИБ в процесс противодействия сложным угрозам возможно обеспечить за счет: l максимальной автоматизации опера- ций, связанных с процессами обнаруже- ния, расследования и реагирования на инцидент; l предоставления ИБ-специалисту еди- ного удобного инструмента с интуитивно понятным интерфейсом для мониторинга и анализа автоматически выявленных угроз, IoC-поиска, формирования ручных запросов, основанных на предположениях в рамках проактивного поиска угроз, а также различных централизованных дей- ствий по реагированию, необходимых на этапах расследования инцидентов и ней- трализации угроз. Автоматический сбор и централизованное хранение данных Автоматический сбор, запись и хране- ние телеметрии позволит сотрудникам ИБ оперативно получать доступ к ретро- спективным данным, необходимым при расследованиях, что особенно актуально в случаях недоступности скомпромети- рованных рабочих станций или при шиф- ровании данных злоумышленниками. Централизованное хранение данных и вердиктов будет способствовать свое- временному предоставлению информа- ции об обнаруженных угрозах службе реагирования, а также регулирующим органам в соответствии с требованиями российского законодательства по обес- печению безопасности критической информационной инфраструктуры (КИИ). Быстрый поиск индикаторов компрометации (IoC) Возможность загрузки индикаторов компрометации в формате Open IoC, полученных от ФинЦЕРТ и других источ- ников данных об угрозах, и настройка автоматических сценариев IoC-проверки упрощает работу специалистов службы ИБ по выявлению индикаторов компро- метации на инфраструктуре организации, значительно сокращает трудозатраты и позволяет следовать предоставленным рекомендациям. Сканирование инфра- структуры рабочих мест в режиме реаль- ного времени или по расписанию, а также пересканирование базы ретроспективных данных существенно повышают эффек- тивность и скорость расследования и принятия оперативных мер реагирования на инциденты. Отображение полной картины инцидента в виде дерева событий Поддержка встроенной автоматической корреляции разрозненных событий и воз- можность визуализации сформированной общей картины инцидента способствуют формированию максимально полного представления обо всех этапах сплани- рованной злоумышленниками атаки. Это позволяет проводить детальную оценку киберугроз и оперативно реагировать на них при значительной экономии трудо- затрат специалистов службы ИБ. Автоматическое взаимодействие с глобальной аналитикой киберугроз Поддержка доступа к глобальной систе- ме сбора сведений об угрозах позволяет оперативно получать данные о новых угрозах и актуальных тенденциях в сфере киберпреступности. Возможность сопо- ставления в автоматическом режиме результатов внутренних расследований с глобальными репутационными данными значительно ускоряет процесс расследо- вания инцидентов службой ИБ и позво- ляет своевременно принимать необходи- мые меры для успешного отражения атак. Проактивый поиск угроз (Threat Hunting) Инструмент для самостоятельного про- активного поиска угроз (Threat Hunting) позволяет специалисту службы ИБ состав- лять сложные запросы на поиск нетипич- ного поведения, подозрительных актив- ностей или иных признаков вредоносных действий с учетом особенностей и спе- цифики защищаемой инфраструктуры, что значительно повышает вероятность раннего обнаружения действий кибер- преступников. Централизованный подход к реагированию на инциденты Централизованная постановка задач по реагированию из единой Web-консоли дает возможность службе ИБ сократить время реагирования с часов до минут. Поддержка широкого спектра действий на всех этапах работы с инцидентом (помещения файла в карантин, изолирования хоста, удаления вредоносного объекта, иных необходимых действий на рабочих станциях и серверах, восстановительных мер и пр.) позволяет специалисту службы ИБ уменьшить коли- чество рутинных операций и избежать простоев рабочих мест за счет оператив- ного устранения последствий атак, без привлечения ИТ-специалистов и иных дополнительных ресурсов. Вывод Резюмируя, отмечу, что современная стратегия защиты от сложных угроз и целенаправленных атак должна не только уменьшать риски информационной без- опасности, но и оптимизировать затраты на выстраивание процесса расследования и реагирования на инциденты. В данной статье я подробно описала, как этого можно достичь за счет унификации про- цессов, сокращения количества ручных задач и увеличения производительности имеющихся в ИБ-департаменте ресурсов. Все вышеупомянутые функциональные возможности и сценарии будут наиболее эффективны и менее трудозатраты, если станут внедряться организациями в рамках одного решения или тесно взаимосвязан- ных продуктов. Это позволит исключить нехватку интеграционных возможностей между решениями разных производите- лей, необходимость использования раз- розненных интерфейсов, сопоставления получаемой от решений информации и т.п. Предлагаемый в статье подход проти- водействия современным угрозам и кибер- атакам даст возможность организациям в условиях дефицита кадров справиться с задачами по обеспечению передовой защиты от сложных угроз и следовать требованиям внешних регуляторов. l • 37 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru