Журнал "Системы Безопасности" № 3‘2020

S E C U R I T Y A N D I T M A N A G E M E N T 29 NTA позволяют обнаружить атаку на ранней ста- дии и оперативно локализовать угрозы. А систе- мы обнаружения (IDS) и предотвращения (IPS) вторжений фиксируют и блокируют несанкцио- нированный доступ в компьютерные системы. Часто используется технология Honeypot ("гор- шочек с медом") – ловушка для злоумышлен- ника. к примеру, на время атаки используются "приманки" для взломщиков на серверах с закрытым доступом к инфраструктуре. Задача "приманки" – поддаться атаке, чтобы изучить стратегию злоумышленника и определить пере- чень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Но если доступ к сети уже захвачен, это еще не гарантия успеха кибератаки. Стоит регулярно проверять инфраструктуру сканером уязвимо- стей. На обнаруженные уязвимости можно поставить патчи. Самые уязвимые места инфра- структуры – угрозы нулевого дня из списка OWASP TOP-10, их защитить не получится. Экс- плуатация большинства из них может привести к удаленному выполнению произвольного кода, повысить привилегии злоумышленника и пере- хватывать сессии. однако существует класс антивирусных программ нового поколения NGEPP (Next-Generation Endpoint Security). прямо во время атаки антивирусное по анали- зирует ее ход и блокирует вредоносные процес- сы. такие программы предоставляют инстру- менты для эффективного восстановления после атаки и профилактики будущих атак, основы- ваясь на методе черных списков. Совершен- ствовать "иммунитет" информационной систе- мы можно также с помощью решений EDR (End- point Detection and Response), которые способ- ны обнаружить, расследовать и быстро отреа- гировать на сложные целевые атаки на конеч- ных устройствах. решения EDR собирают ано- малии для дальнейшего анализа сотрудниками информационной безопасности. Для проверки подозрительного кода из неизвестных источников и обнаружения виру- сов и закладок полезный инструмент – "песоч- ница", которая представляет собой механизм безопасного исполнения программ перед запуском на кИИ. Тонкая настройка инструментов ИБ для нефтегазовой отрасли Чтобы качественно настроить удаленный без- опасный доступ между корпоративной и техно- логической сетью, можно ограничить доступ по IP на межсетевом экране, использовать VPN- туннели и терминальные серверы с локальной авторизацией. Все это лучше делать в комплек- се. Можно также авторизоваться в корпоратив- ном домене (на сервере ActiveDirectory) и про- вести аудит разграничения доступа к компонен- там технологической сети. Стоит проверить настройки межсетевых экранов на наличие открытых нестандартных портов, по которым можно подключиться к технологиче- ской сети, так как злоумышленники получили доступ к ресурсам и смогут самостоятельно менять настройки межсетевых экранов и строить собственные тоннели. На используемых портах между собственной сетью и сетями других ком- паний контроль сетевого трафика лучше орга- низовывать на пограничных маршрутизаторах. Специфическими объектами защиты от угроз ИБ у нефтегазовых компаний являются процес- сы, которые связаны с использованием (АСУ тп) и проприетарного по. Специализирован- ные решения для защиты от атак на серверах АСУ тп используются крайне редко, но зато именно они более действенные и помогают от случайных атак. если такого решения нет, про- водить сигнатурный и поведенческий анализ, а также настраивать политики под нетипичные процессы поможет SIEM-система (Security Infor- mation and Event Management). SIEM помогает организовать централизованный мониторинг информационной безопасности, собирая и комплексно анализируя отчеты от различных систем ИБ. решение довольно доро- гое, но на предприятиях нефтегазовой отрасли его использование более чем оправданно. Глав- ное – иметь в штате специалистов, умеющих тонко настраивать систему и совершенствовать ее работу в соответствии с динамически меняю- щимися "параметрами" компании. Эффективная работа подразделения ИБ ретроспективный подход помогает предупре- дить новые атаки и угрозы. Именно поэтому логика работы антивирусов нового поколе- ния основана на уже "пережитых" атаках. однако проводить оценку рисков ИБ и осу- ществлять мониторинг событий ИБ в режиме реального времени так же важно, как и пере- сматривать ранее случившиеся инциденты. комплексный подход позволяет выявить скрытое присутствие вредоносного по в системе, проследить его путь и спрогнози- ровать дальнейшие действия, даже если с момента проникновения зловреда в сеть прошло много времени. Чем сложнее спроектирована система инфор- мационной безопасности, тем больше следов будут оставлять злоумышленники в сетевом трафике и системных журналах. поэтому ком- плексная работа систем мониторинга защищен- ности и сотрудников информационной без- опасности должна приводить к синергетическо- му эффекту. при этом необходимо постоянно совершенствовать навыки и знания не только сотрудников, но и контрагентов, которые имеют доступ к вашей корпоративной сети. В лучшем случае удастся выстроить проактивную систему информационной безопасности. На сотрудниках информационной безопасности лежит важная миссия – спроектировать логику работы всех систем ИБ с тонкой настройкой и выстроить централизованное управление защитой двух совершенно разных сегментов сети, учитывая необходимость максимально изолировать их друг от друга. n www.secuteck.ru июнь – июль 2020 Cпецпроект ЗАЩИтА крИтИЧеСкИ ВАЖНЫХ оБЪектоВ www.ufa.1cbit.ru С пецифическими объектами защиты от угроз ИБ у нефтегазовых ком- паний являются процессы, которые связаны с использованием (АСУ ТП) и проприетарного ПО. Специализированные решения для защиты от атак на серверах АСУ ТП используются крайне редко, но зато именно они более действенные и помогают от случайных атак Редакция советует В статье описаны риски информационной безопасности для корпоративной и технологической сфер критически важных объектов. Даны рекомендации по построению эффективной системы защиты. DLP-системы, защищающие веб-приложения от нелегитимного трафика, предлагают компании Zecurion, InfoWatch, "СёрчИн- форм" и другие. Ваше мнение и вопросы по статье направляйте на ss @groteck.ru