Киберреалии 2024 года таковы, что для компрометации информационного ресурса злоумышленнику не требуется высоких профессиональных навыков. Готовые эксплойты легко можно найти в открытом доступе. Поэтому без подключения к центру мониторинга и выявления инцидентов безопасности можно «запросто пропустить» попытки компрометации инфраструктуры. И как следствие, проникновения злоумышленника внутрь.
Своевременное выявление незакрытых уязвимостей
Выявление следов компрометации
Непрерывный контроль за всеми происходящими событиями в инфраструктуре
Выполнение законодательных требований
Периодические мероприятия, такие как инвентаризация, анализ уязвимостей и тестирование на проникновение (пентест) – одно из направлений работы всех центров мониторинга.
Многолетний опыт показывает, что на практике не встречаются случаи, когда в инфраструктуре организации нет ни одной уязвимости. Чаще всего там целый зоопарк, и с этим необходимо что-то делать. Потому что эксплуатация незакрытых уязвимостей – один из самых частых случаев взлома на сегодня.
В нашей практике был интересный случай. Мы завели пилотный проект в организацию в режиме 8/5. Это усеченный вариант мониторинга, отлично подходящий для пилота.
В первые же часы мониторинга мы выявили следы компрометации. Оказалось, что злоумышленник уже давно имел доступ к инфраструктуре, но работы по целям еще не начал. Возможно, готовился к атаке.
Данный кейс наглядно показывает, что лучше мониторить хотя бы в ограниченном режиме, чем не мониторить совсем.
Непрерывный мониторинг, наверное, не нуждается в объяснении его необходимости.
Расскажу показательную историю. Аналитики нашего центра SOCRAT выявили ошибку конфигурации на Zabbix. В процессе выяснилось, что при внедрении этой системы у клиента web-интерфейс оказался доступен всем пользователям сети Интернет. И, естественно, в какой-то момент началась атака – попытки эксплуатации актуальной для данной версии Zabbix уязвимости.
Обнаружив попытки взлома, аналитики передали рекомендации перевести Zabbix за межсетевой экран. По итогу реагирования атака прекратилась.
На сегодня процесс мониторинга и реагирования регламентирован законодательством. Отсылки к необходимости выявлять инциденты и осуществлять реагирование на них можно найти в 187-ФЗ, 239 Приказе, 17 Приказе и др.
Кроме того, необходимо в определенные законодательством сроки направлять информацию по инцидентам в ГосСОПКА. Делать это можно самостоятельно, или с помощью центра мониторинга, подключением к которому можно закрыть все требования единым решением.