– Леня, привет! Как прошли праздники?
– Привет! Праздники прошли хорошо, 1 числа в 0:00 встретил Новый год, наелся салатов, а уже утром пришел на работу, расследовать инциденты. Ну, а потом была череда «работа-салаты-работа-опять салаты». Как-то так.
– То есть вы работаете в праздники?
– Да, ведь преступники не дремлют и нужно быть всегда на чеку. Поэтому работаем круглосуточно.
– А это стандартная схема работы всех центров мониторинга?
– Да, если центр мониторинга готов к такой схеме. Но также рабочая история – режим 8/5. Он, естественно, менее эффективен, так как работает не на полную мощность. Например, при таком графике полноценная реакция на ночные или выходные инциденты последует ближе к обеду следующего за праздником или выходным днем.
– Почему такая долгая реакция?
– За ночь или выходные накапливается большой поток инцидентов и, когда приходишь утром на работу, тебе его нужно так сказать «разгрести». Не всегда удается быстро проанализировать в ручном режиме, все события, которые пришли за ночь или выходные дни.
– Ок, а расскажи, какие условия необходимо реализовать, чтобы центр мониторинга работал в режиме 24/7?
– Тут самое главное найти или самим вырастить компетентных специалистов. Минимально количество это 5 человек на полную ставку. Если они никогда не будут болеть, им неведом стресс и недосып, и они забудут о личной жизни. Но если таких нет, то оптимальным решением будет 8-9, чтобы в случае чего всегда была подстраховка.
– А сколько человек в нашем SOCRAT сейчас?
– В нашей команде работает 15 человек.
– О, ну, значит, с любовью будет все хорошо и со стрессом тоже )
Не скучаете на сменах? Чем занимаетесь на дежурстве?
– Нет, всегда найдется какое-нибудь интересное дело. В дневную смену работаю, а в ночную сплю. Это шутка, конечно.
Если серьезно, то в дневные смены всегда есть инциденты, так что там не заскучаешь. А в ночные смены, когда инцидентов мало, можно заняться прокачкой своих навыков, например.
– Можешь подробнее рассказать? Что прокачиваете? Я знаю, что вы тестируете программы по автоматизации работы? Поделись информацией?
– Мы ленивы, и поэтому стремимся к автоматизации рутинных процессов, чтобы на них уходило как можно меньше времени. В общем, подтягиваем знания по языкам программирования, читаем и изучаем новые методы взлома, сами пытаемся эксплуатировать новые уязвимости и закрывать их, конечно. Киберпреступники ведь тоже не бездействуют, и также постоянно совершенствуются.
– Ок, мы немного отклонились от темы, вернемся к праздникам. Ты уже сказал, что наш центр работает в круглосуточном режиме, значит в праздники вы работаете в обычном режиме или как-то все же меняете свой график?
– Как бы грустно сейчас это не звучало, но для нас нет праздников, поэтому праздничный день ничем не отличался от обычного. И даже больше, в эти дни нужно повышенное внимание к работе и происходящим инцидентам.
Почему так? Все просто.
В праздничные дни и особенно в новогодние каникулы, когда основное количество людей теряют бдительность и находятся в предпраздничном настроении, хакеры начинают работать активнее. Они ищут способы нарушения работы критически важных сетей и систем, не делают исключений и для атак на домашние устройства пользователей. Так что нам всем необходимо не терять бдительность в эти дни.
– Это правда. В киберпространстве развернулась настоящая война сегодня. Не находишь?
– Да, каждую неделю можно увидеть новости как где-то была совершена кибератака. Но что интересно, часто атаки совершаются не с целью получить выкуп или продать данные, а оказать деструктивное воздействие. В текущих геополитических условиях это особо актуально. Субъектам КИИ необходимо особенно тщательно подходить к вопросам своей безопасности.
Приведу простой пример. Всем может, набил уже оскомину, но тем не менее. За последний год число компьютерных атак на РЖД увеличилось в 20 раз. То же можно сказать и про атаки на банковскую инфраструктуру.
– Преступники в праздничные дни повышают свою активность?
– Да, изучая отчеты о киберпреступлениях и произошедших инцидентах, мы видим, как растает число атак в праздничные и выходные дни. Но и мы не дремлем
В позапрошлом году, в последний рабочий день уходящего года мы зафиксировали масштабную фишинговую рассылку у нашего клиента. Большая часть писем была подделана под банковские документы. Там разные акции, спецпредложения и прочие бонусы клиентам. Но эта история закончилась хорошо, и никто не попался на крючок.
-Ого, а ведь именно в последние дни года финально закрывается вся отчетность в компании. Есть о чем задуматься. А как вы фиксируете рост числа инцидентов?– Если сильно не вдаваться в подробности, то в этом нам помогает система мониторинга. В нее поступают события, которые проверяются определенными правилами. Если событие попадает под одно из правил, заводится инцидент. А дальше уже специалист изучается данный инцидент, и действует в зависимости от его типа.
Если передается неизвестный файл, проверяем его на вредоносность. Если поступает много неудачных попыток входа (так называемый brute force), то проверяем IP-адреса, чтобы проанализировать, кто и куда «ломится». В конце выносим вердикт – это было ложное срабатывание или нет. В случае выявления положительного инцидента, применяем меры по его защите. Если кратко, то так и работаем.
– Расскажи подробнее, какие это будут меры?
– Все будет зависеть от типа инцидента. Если это заражение вредоносом, то нужно будет его удалить, а также произвести проверку пораженного узла. В случае, если используется уязвимое ПО, то необходимо произвести его обновление, либо предпринять компенсирующие меры, если обновление невозможно.
– То есть, если закрыть быстро уязвимость нельзя, то можно пойти другим путем? Это на самом деле, частый вопрос от клиентов. Особенно сейчас, когда многие вендоры покинули рынок, и как теперь закрывать уязвимости, непонятно.– Тут может быть несколько путей. Если это новая уязвимость и для нее еще не выпустили патч, то вендор может опубликовать сценарий, как временно закрыть так называемую «дыру», пока не выйдет обновление ПО. Либо можно самим по возможности ограничить доступ к пораженному узлу. И конечно же, тщательно за ним следить.
– То есть это та самая ситуация про неоспоримую ценность мониторинга инцидентов?
– Именно.
– Ок, расскажи, какую-нибудь интересную историю. Слушатели очень любят такой контент. Что интересного случилось в праздники?
– За эти праздничные дни, сожалению или к счастью, обошлось без интересных историй, как и без происшествий. Но был интересный случай, про который хочется рассказать. Произошел он не в праздники, но от этого не менее интересен. Мы подключили нового клиента к центру мониторинга и в первый же день работы в его инфраструктуре, обнаружили криптомайнер. Конечно же, его быстро удалили, но как давно он там был установлен, остается только гадать.
– А чем он может быть опасен для безопасности инфраструктуры компании?
– Майнер нагружает вычислительный ресурс устройства, и это может в дальнейшем привести к перегреву компонентов и их преждевременному выходу из строя. Ну, а дальнейшие последствия подсчитайте сами. Как минимум, это затраты на замену оборудования, как максимум, потенциальные риски остановки производства с соответствующими убытками.
– Да, такие истории наглядно показывают ценность мониторинга для бизнес-процессов компаний. Спасибо, что поделился опытом и интересными историями. Сегодня нам удалось чуть-чуть заглянуть во внутреннюю кухню центра мониторинга.
Подробнее об услугах центра мониторинга SOCRAT читайте в соответствующем разделе сайта. А также подписывайтесь на наш телеграм-канал Мнение Интегратора. В закрепе вы найдете электронные материалы по услуге. На этом завершаем. С вами была команда SOCRAT, всем пока.
