Эффект мониторинга

Киберреалии 2024 года таковы, что для компрометации информационного ресурса злоумышленнику не требуется высоких профессиональных навыков. Готовые эксплойты легко можно найти в открытом доступе. Поэтому без подключения к центру мониторинга и выявления инцидентов безопасности можно «запросто пропустить» попытки компрометации инфраструктуры. И как следствие, проникновения злоумышленника внутрь.

О каких же эффектах идет речь? 

• Своевременное выявление незакрытых уязвимостей

• Выявление следов компрометации

• Непрерывный контроль за всеми происходящими событиями в инфраструктуре

• Выполнение законодательных требований

Эффект мониторинга. Выявление уязвимостей

Периодические мероприятия, такие как инвентаризация, анализ уязвимостей и тестирование на проникновение (пентест) – одно из направлений работы всех центров мониторинга.

Многолетний опыт показывает, что на практике не встречаются случаи, когда в инфраструктуре организации нет ни одной уязвимости. Чаще всего там целый зоопарк, и с этим необходимо что-то делать. Потому что эксплуатация незакрытых уязвимостей – один из самых частых случаев взлома на сегодня.

Эффект мониторинга. Выявление следов компрометации

В нашей практике был интересный случай. Мы завели пилотный проект в организацию в режиме 8/5. Это усеченный вариант мониторинга, отлично подходящий для пилота.

В первые же часы мониторинга мы выявили следы компрометации. Оказалось, что злоумышленник уже давно имел доступ к инфраструктуре, но работы по целям еще не начал. Возможно, готовился к атаке.

Данный кейс наглядно показывает, что лучше мониторить хотя бы в ограниченном режиме, чем не мониторить совсем.

Эффект мониторинга. Непрерывный контроль за событиями безопасности

Непрерывный мониторинг, наверное, не нуждается в объяснении его необходимости.

Расскажу показательную историю. Аналитики нашего центра SOCRAT выявили ошибку конфигурации на Zabbix. В процессе выяснилось, что при внедрении этой системы у клиента web-интерфейс оказался доступен всем пользователям сети Интернет. И, естественно, в какой-то момент началась атака – попытки эксплуатации актуальной для данной версии Zabbix уязвимости.

Обнаружив попытки взлома, аналитики передали рекомендации перевести Zabbix за межсетевой экран. По итогу реагирования атака прекратилась.

Эффект мониторинга. Выполнение требований

На сегодня процесс мониторинга и реагирования регламентирован законодательством. Отсылки к необходимости выявлять инциденты и осуществлять реагирование на них можно найти в 187-ФЗ, 239 Приказе, 17 Приказе и др.

Кроме того, необходимо в определенные законодательством сроки направлять информацию по инцидентам в ГосСОПКА. Делать это можно самостоятельно, или с помощью центра мониторинга, подключением к которому можно закрыть все требования единым решением.