Николай Гончаров, руководитель департамента мониторинга кибербезопасности Security Vision, совместно с аналитиками SOC Лилией Сребницкой и Иваном Костенко, представили на форуме ГосСОПКА доклад, посвящённый организации продуктивного взаимодействия между отделами информационной безопасности и ИТ. Специалисты на примере обобщённых сценариев из практики Центра мониторинга кибербезопасности Security Vision, в интерактивном формате демонстрируя разные точки зрения подразделений, показали, как грамотно выстроенные процессы и чёткая коммуникация помогают сократить время реагирования на инциденты.
Первый сценарий был посвящён эксплуатации критической уязвимости на публичном сайте компании, дающей злоумышленнику возможность выполнить произвольный вредоносный код на целевом сервере или устройстве без физического доступа к нему. Это одна из опасных угроз для веб-приложений, нередко приводящая к полному захвату системы, хищению данных и установке вредоносного ПО.
В рамках этого сценария эксперты Security Vision разобрали порядок действий злоумышленника при эксплуатации уязвимости, а также реакции на подозрительные события и сработавшие на них корреляционные правила со стороны центра мониторинга кибербезопасности. Кроме того, были затронуты вопросы важности своевременного поиска известных уязвимостей на подконтрольных внешних ресурсах и сервисах, включая их устранение – в большинстве случаев это делается путём установки свежих обновлений. В данном сценарии специалисты рассмотрели пример, когда эксплуатируемая уязвимость была известной и закрывалась установкой патча.
Второй сценарий был связан с использованием злоумышленниками программ-вымогателей (Ransomware) и других вредоносных программ. Это одна из наиболее распространённых угроз, которая, как правило, заканчивается шифрованием критически важных серверов организации. Своевременное выявление действий такого ПО и грамотное оперативное реагирование снижают потенциальный ущерб для организации. Эксперты Security Vision привели пример, в котором вредоносное ПО попало на компьютер сотрудника вместе с пиратским и нелицензионным софтом, скачанным из Интернета. Вредоносная активность запускалась из временного каталога в нерабочее время – один из типичных признаков работы такого ПО. Специалисты компании продемонстрировали пример грамотно организованных действий со стороны ИБ- и ИТ-отделов.
Ключевым фактором успешного реагирования в представленных сценариях стал выстроенный регламент и актуальный реестр ИТ-активов, в котором на каждый сервис и хост назначен ответственный администратор. В карточке сервиса сотрудник Центра мониторинга кибербезопасности может увидеть, кто отвечает за узел, и немедленно подключает нужного специалиста. Это позволяет свести время реакции к минимуму.
В рамках своего доклада специалисты Центра мониторинга кибербезопасности Security Vision представили эффективную последовательность шагов и выделили основной принцип: скоординированная и согласованная работа всех отделов.
Ключевые итоги выступления
Из рассмотренных примеров можно выделить три основных урока:
«Главная цель — не просто оперативно отвечать на инциденты, а заранее ликвидировать уязвимости, организовывать обучение персонала и усиливать культуру информационной защиты, — подытожил Николай Гончаров. — Предотвратить угрозу всегда эффективнее, чем бороться с её последствиями».
