SOCRAT на отдыхе или чем занимается центр мониторинга, пока вся страна отдыхает

Леонид Петров, SOC-аналитик SOCRAT, о киберугрозах о росте хакерской активности и о режиме работы центра мониторинга в праздничные дни

– Леня, привет! Как прошли праздники?
– Привет! Праздники прошли хорошо, 1 числа в 0:00 встретил Новый год, наелся салатов, а уже утром пришел на работу, расследовать инциденты. Ну, а потом была череда «работа-салаты-работа-опять салаты». Как-то так.

– То есть вы работаете в праздники?

– Да, ведь преступники не дремлют и нужно быть всегда на чеку. Поэтому работаем круглосуточно.

– А это стандартная схема работы всех центров мониторинга?

– Да, если центр мониторинга готов к такой схеме. Но также рабочая история – режим 8/5. Он, естественно, менее эффективен, так как работает не на полную мощность. Например, при таком графике полноценная реакция на ночные или выходные инциденты последует ближе к обеду следующего за праздником или выходным днем.

– Почему такая долгая реакция?

– За ночь или выходные накапливается большой поток инцидентов и, когда приходишь утром на работу, тебе его нужно так сказать «разгрести». Не всегда удается быстро проанализировать в ручном режиме, все события, которые пришли за ночь или выходные дни.

– Ок, а расскажи, какие условия необходимо реализовать, чтобы центр мониторинга работал в режиме 24/7?

–  Тут самое главное найти или самим вырастить компетентных специалистов. Минимально количество это 5 человек на полную ставку. Если они никогда не будут болеть, им неведом стресс и недосып, и они забудут о личной жизни. Но если таких нет, то оптимальным решением будет 8-9, чтобы в случае чего всегда была подстраховка.

– А сколько человек в нашем SOCRAT сейчас?

– В нашей команде работает 15 человек.

– О, ну, значит, с любовью будет все хорошо и со стрессом тоже )
   Не скучаете на сменах? Чем занимаетесь на дежурстве?

– Нет, всегда найдется какое-нибудь интересное дело. В дневную смену работаю, а в ночную сплю. Это шутка, конечно.
Если серьезно, то в дневные смены всегда есть инциденты, так что там не заскучаешь. А в ночные смены, когда инцидентов мало, можно заняться прокачкой своих навыков, например.

– Можешь подробнее рассказать? Что прокачиваете? Я знаю, что вы тестируете программы по автоматизации работы? Поделись информацией?

– Мы ленивы, и поэтому стремимся к автоматизации рутинных процессов, чтобы на них уходило как можно меньше времени. В общем, подтягиваем знания по языкам программирования, читаем и изучаем новые методы взлома, сами пытаемся эксплуатировать новые уязвимости и закрывать их, конечно. Киберпреступники ведь тоже не бездействуют, и также постоянно совершенствуются.    

– Ок, мы немного отклонились от темы, вернемся к праздникам. Ты уже сказал, что наш центр работает в круглосуточном режиме, значит в праздники вы работаете в обычном режиме или как-то все же меняете свой график?

– Как бы грустно сейчас это не звучало, но для нас нет праздников, поэтому праздничный день ничем не отличался от обычного. И даже больше, в эти дни нужно повышенное внимание к работе и происходящим инцидентам.

Почему так? Все просто.

В праздничные дни и особенно в новогодние каникулы, когда основное количество людей теряют бдительность и находятся в предпраздничном настроении, хакеры начинают работать активнее. Они ищут способы нарушения работы критически важных сетей и систем, не делают исключений и для атак на домашние устройства пользователей. Так что нам всем необходимо не терять бдительность в эти дни.

– Это правда. В киберпространстве развернулась настоящая война сегодня. Не находишь?

– Да, каждую неделю можно увидеть новости как где-то была совершена кибератака. Но что интересно, часто атаки совершаются не с целью получить выкуп или продать данные, а оказать деструктивное воздействие. В текущих геополитических условиях это особо актуально. Субъектам КИИ необходимо особенно тщательно подходить к вопросам своей безопасности.

Приведу простой пример. Всем может, набил уже оскомину, но тем не менее. За последний год число компьютерных атак на РЖД увеличилось в 20 раз. То же можно сказать и про атаки на банковскую инфраструктуру.

– Преступники в праздничные дни повышают свою активность?

– Да, изучая отчеты о киберпреступлениях и произошедших инцидентах, мы видим, как растает число атак в праздничные и выходные дни. Но и мы не дремлем

В позапрошлом году, в последний рабочий день уходящего года мы зафиксировали масштабную фишинговую рассылку у нашего клиента. Большая часть писем была подделана под банковские документы. Там разные акции, спецпредложения и прочие бонусы клиентам. Но эта история закончилась хорошо, и никто не попался на крючок.

-Ого, а ведь именно в последние дни года финально закрывается вся отчетность в компании. Есть о чем задуматься. А как вы фиксируете рост числа инцидентов?

– Если сильно не вдаваться в подробности, то в этом нам помогает система мониторинга. В нее поступают события, которые проверяются определенными правилами. Если событие попадает под одно из правил, заводится инцидент. А дальше уже специалист изучается данный инцидент, и действует в зависимости от его типа.

Если передается неизвестный файл, проверяем его на вредоносность. Если поступает много неудачных попыток входа (так называемый brute force), то проверяем IP-адреса, чтобы проанализировать, кто и куда «ломится». В конце выносим вердикт – это было ложное срабатывание или нет. В случае выявления положительного инцидента, применяем меры по его защите. Если кратко, то так и работаем.

– Расскажи подробнее, какие это будут меры?

– Все будет зависеть от типа инцидента. Если это заражение вредоносом, то нужно будет его удалить, а также произвести проверку пораженного узла. В случае, если используется уязвимое ПО, то необходимо произвести его обновление, либо предпринять компенсирующие меры, если обновление невозможно.

– То есть, если закрыть быстро уязвимость нельзя, то можно пойти другим путем? Это на самом деле, частый вопрос от клиентов. Особенно сейчас, когда многие вендоры покинули рынок, и как теперь закрывать уязвимости, непонятно.

– Тут может быть несколько путей. Если это новая уязвимость и для нее еще не выпустили патч, то вендор может опубликовать сценарий, как временно закрыть так называемую «дыру», пока не выйдет обновление ПО. Либо можно самим по возможности ограничить доступ к пораженному узлу. И конечно же, тщательно за ним следить.

 – То есть это та самая ситуация про неоспоримую ценность мониторинга инцидентов?

 – Именно.

 – Ок, расскажи, какую-нибудь интересную историю. Слушатели очень любят такой контент. Что интересного случилось в праздники?

 – За эти праздничные дни, сожалению или к счастью, обошлось без интересных историй, как и без происшествий. Но был интересный случай, про который хочется рассказать. Произошел он не в праздники, но от этого не менее интересен. Мы подключили нового клиента к центру мониторинга и в первый же день работы в его инфраструктуре, обнаружили криптомайнер. Конечно же, его быстро удалили, но как давно он там был установлен, остается только гадать.

 – А чем он может быть опасен для безопасности инфраструктуры компании?

– Майнер нагружает вычислительный ресурс устройства, и это может в дальнейшем привести к перегреву компонентов и их преждевременному выходу из строя. Ну, а дальнейшие последствия подсчитайте сами. Как минимум, это затраты на замену оборудования, как максимум, потенциальные риски остановки производства с соответствующими убытками.

 – Да, такие истории наглядно показывают ценность мониторинга для бизнес-процессов компаний. Спасибо, что поделился опытом и интересными историями. Сегодня нам удалось чуть-чуть заглянуть во внутреннюю кухню центра мониторинга.

Подробнее об услугах центра мониторинга SOCRAT читайте в соответствующем разделе сайта. А также подписывайтесь на наш телеграм-канал Мнение Интегратора. В закрепе вы найдете электронные материалы по услуге. На этом завершаем. С вами была команда SOCRAT, всем пока. На этом завершаем. С вами была команда SOCRAT.