Журнал "Information Security/ Информационная безопасность" #5, 2024

Причины загруженности аналитиков SOC Рост нагрузки на спе- циалистов объясняется двумя причинами: l постоянно увеличива- ется число угроз, на которые необходимо реагировать; l количество событий безопасности в системе напрямую связано с цифровизацией, внед- рением новых техноло- гий, масштабированием сетей и усложнением средств защиты. Согласно данным Swimlane 1 , команды SOC в среднем получают 4484 оповещения от средств защиты еже- дневно и тратят около трех часов на ручную сортировку. 78% специа- листов более 10 минут обрабатывают каждое сообщение. Разберем подробнее, с чем еже- дневно сталкиваются аналитики SOC, а также, из чего складывается их нагрузка. Ландшафт угроз Чтобы получить объективные данные, необходимо обратиться к исследованиям современных угроз, проанализировать пове- дение киберпреступников, инструментарий хакерских группировок и примеры успеш- ных атак. Как показывает исследование Positive Technologies 2 , наиболее распространенный метод атак – использование вредоносного программного обеспечения (ВПО). Киберпреступники при- меняли его в 60% успешных нападений, а их основными целями были конечные устрой- ства сотрудников, компьютеры и серверы организаций, а также виртуальные рабочие места. Среди популярных семейств ВПО, чаще всего применяемых хакерами, – шифровальщики (57%), трояны удаленного досту- па, они же RAT (23%), шпион- ское ПО и инфостилеры (21%), загрузчики и дропперы (12%), вайперы (2%). Если ранее вай- перы в основном использова- лись идеологически мотивиро- ванными преступниками – хактивистами, то в последнее время этот вид ВПО стал инструментом атак на КИИ. Наиболее распространенные способы, которыми преступники доставляют ВПО в систему, – фишинг, зараженные внешние носители, например загрузчики, эксплуатация уязвимостей и тщательно спланированные APT-атаки. Для атак на россий- ские предприятия и организа- ции злоумышленники ищут уязвимости в отечественных ОС на базе Linux и портируют ВПО на Go, Rust, Nim и другие языки программирования. Чтобы бороться с киберпре- ступниками, уже недостаточно просто удалять вредоносные объекты по известным сигнату- рам и индикаторам компроме- тации (IoC). Злоумышленники совершенствуют свои методы, тщательно изучают инфраструк- туру организаций, обходят тра- диционные средства защиты и стараются заметать следы. Поэтому важно анализировать техники хакеров и обнаружи- вать цепочки подозрительных действий, которые могут сви- детельствовать об атаке. Методы злоумышленников Статистика показывает, что самый распространенный сце- нарий в атаках на организации, – рассылка фишинговых писем с вредоносными вложениями. Именно так доставлялись вре- доносы в 74% случаев. После доставки ВПО зло- умышленники обычно стараются скрыть свое присутствие в систе- ме. Как правило, хакеры не начи- нают сразу шифровать данные, выводить узлы сети из строя, переводить деньги на свои счета 14 • СПЕЦПРОЕКТ Как технологии EDR помогают SOC: теория и практика бнаружение атак и повышение скорости реагирования на инциденты – основная задача команды по обеспечению информационной безопасности. В последнее время многие организации столкнулись с тем, что центры реагирования на киберугрозы (SOC) слишком загружены и не всегда успевают оперативно обрабатывать оповещения. Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков. О Юрий Бережной, руководитель направления по развитию защиты конечных устройств, Positive Technologies Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов, Positive Technologies Александр Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры, Positive Technologies Фото: Positive Technologies Фото: Positive Technologies Фото: Positive Technologies 1 https://swimlane.com/blog/top-soc-analyst-challenges/ 2 https://www.ptsecurity.com/ru-ru/research/analytics/malware-behavior-and-distribution-channels/