Чи варто нехтувати розслідуванням інцидентів інформаційної безпеки?

Кажуть, що на місці злочину завжди залишаються докази. Однак у віртуальному середовищі немає слідів на траві або відбитків пальців, які б явно вказували на зловмисника, тому досить складно визначити, хто проник в ІТ-систему і що він конкретно зробив. Більш того, часто інциденти інформаційної безпеки походять від імені користувачів з розширеними правами або взагалі співробітника служби безпеки. Багато компаній як і раніше відчувають труднощі під час судового розслідування просто тому, що у них немає структурованих логів і свідоцтв події, які б могли стати незаперечними доказами вчиненого злочину.

У будь-якому випадку, незалежно від причини сталася атаки - помилки, зовнішньої загрози або інсайдерської активності - якщо у вас не буде всю важливу інформацію, ви можете випустити з уваги істотні деталі, а значить, витратите набагато більше часу і грошей на пошук правди. Як же дістатися до справжніх проблем, які привели до інциденту інформаційної безпеки?

Розслідування та виклики

Після злочину дуже важливо не втратити час і провести розслідування інциденту інформаційної безпеки по свіжих слідах, а не через кілька тижнів або місяців. Опитування, проведене компанією BalaBit IT Security на конференції RSA, показав, що 44% компаній регулярно нехтують своєчасним розслідуванням ІБ-інцидентів, з них 6% порушують дедлайни по проведенню розслідування або складання звітів постійно, 38% - час від часу.

Зазвичай фахівці з кібербезпеки починають дослідження з вивчення логів, що генеруються мережевими пристроями і додатками, намагаючись відновити картину того, що відбувається. Однак це не зовсім зручно, так як в журналах подій накопичується колосальний обсяг інформації. Велика ймовірність, що цей процес перетвориться на пошук голки в копиці сіна.

Проблемою може стати не тільки спосіб збору, відображення даних або час розслідування. Ви не зможете пред'явити дані як доказ при юридичному розслідуванні, якщо їх цілісність і формат порушені, а самі журнали логів зберігаються в незахищеному від незаконного проникнення місці.

Важлива інформація, що дозволяє відновити деталі інциденту ІБ і розкрити основну причину проблеми, може пропасти або просто відсутні навіть в компаніях, які правильно організували збір і управління логами.

Останнім часом організаціям складніше вибудувати ланцюжок доказів, оскільки хакери все частіше атакують акаунти співробітників, щоб отримати привілейований доступ до ІТ-ресурсів. Вибираючи в якості мети системних адміністраторів та інших «суперкористувача» з високими або необмеженими правами доступу до операційних систем, баз даних і рівнями додатків, вони можуть знищувати, красти або маніпулювати конфіденційною інформацією в фінансових і CRM-системах та інших цінних комерційних даних.

Забудьте про білих плямах

Низька швидкість реагування на атаку, обсяг, якість і цілісність інформації, отриманої під час перевірки, можуть перешкодити внутрішнім фахівцям або зовнішнім агентствам дістатися до причини інциденту або особи, відповідальної за нього.

Щоб розуміти, що насправді відбувається в ІТ-системі (в тому числі визначати і шкідливі інциденти), необхідний інший підхід до моніторингу користувачів і поведінкової аналітиці - відстежувати і візуалізувати активність в режимі реального часу. Наприклад, якщо раптом сталося несподіване завершення роботи, витік даних або незвичайні маніпуляції з базою даних, всі деталі і причини події легко відстежити через журнал реєстрації подій в мережі. Такі записи мають неоціненне значення як для розслідувань в реальному часі, так і для розслідувань порушень post factum, а також для автоматичного аналізу поведінки користувачів - їх можна відтворити в форматі «фільм-хроніка» і послідовно відстежити всі події і дії користувача.

Компанія може зіткнутися з хакерською атакою, відмовою в обслуговуванні, шахрайством або крадіжкою конфіденційних даних. Надійно захищені, цілісні логи дій користувача не тільки забезпечують важливі докази в разі юридичного розгляду, а й дають вам впевненість в тому, що ви зможете точно визначити причину інциденту, навіть якщо вона лежить за межами відслідковуємої області. Використовуючи зібрані логи разом з поведінкової аналітикою, компанії можуть значно зменшити час розслідування, знизити витрати і при цьому реагувати на новітні загрози в режимі реального часу.

ЄВГЕН МІРОШНИКОВ

керівник практики корпоративної безпеки бізнесу

miroshnikov@dictum.com.ua

+38 (067) 829 58 05

Поділитися LinkedIn
0