Компании стремятся обеспечивать конфиденциальность своих данных и соблюдать регуляторные требования, предпринимая меры для предотвращения инцидентов ИБ, например, несанкционированного доступа к информации, утечек, кибератак, внутренних угроз. Непрерывный мониторинг и оперативное реагирование на инциденты — важные аспекты защиты. В статье рассказываем, что собой представляют эти меры, как их реализовать, каких специалистов задействовать и какими компетенциями они должны обладать.

Мониторинг инцидентов: что это такое

Мониторинг инцидентов ИБ — непрерывный контроль событий безопасности внутри информационной инфраструктуры с целью своевременного обнаружения подозрительных действий, выявления уязвимостей и слабых сторон защиты. Основные задачи мониторинга инцидентов:

• Обнаружение подозрительной активности в ИТ-инфраструктуре.
• Регистрация инцидентов ИБ.
• Первичный анализ инцидентов.

В ходе анализа специалисты должны убедиться, что зарегистрированное событие действительно можно отнести к инциденту ИБ. Затем важно установить, какой именно инцидент произошел, — например, внутренняя угроза, попытка взлома, внедрение вредоносного ПО, DDoS-атака, утечка данных и др. От этого знания будут напрямую зависеть дальнейшие действия по устранению угрозы.

Мониторинг и реагирование на инциденты: как выглядят процессы

Одного мониторинга недостаточно для остановки атак на ИТ-инфраструктуру — угрозы нужно не только видеть, но и предотвращать. Очень важно обеспечить грамотное реагирование на инциденты ИБ, под которым понимают комплекс мероприятий, направленных на прекращение кибератак, минимизацию негативных последствий и оперативное восстановление нормального режима работы атакуемых систем.

Этапы реагирования на угрозу:

• Оповещение ответственных специалистов.
• Оценка угрозы и ее возможных последствий для компании, разработка четкого плана действий по прекращению атаки.
• Изолирование пострадавших систем и ресурсов.
• Реализация практических мер по устранению последствий инцидента ИБ.

Во многих компаниях специалисты заранее разрабатывают план реагирования на тот или иной инцидент ИБ. В этот план включают инструкции по устранению проблем безопасности и перечень специалистов, которые будут задействованы в процессах ликвидации угроз и восстановления систем. Такой документ избавит от необходимости «на ходу» разрабатывать меры реагирования и позволит быстрее справиться с атакой.

Кто занимается мониторингом инцидентов

Обеспечение непрерывного мониторинга — задача аналитиков по инцидентам безопасности (SOC-аналитиков). Такие специалисты должны уметь выявлять подозрительную активность, в том числе и новые типы атак, определять характер угроз, находить слабые места в защите информационной инфраструктуры, разрабатывать меры реагирования, отслеживать тенденции киберпреступности.

Существует несколько уровней аналитиков SOC. Эксперты первой линии (SOC L1) мониторят события, обрабатывают информацию об аномалиях, выявляют потенциально опасные инциденты, осуществляют их первичную классификацию. Также в их задачи входит эскалация сложных случаев аналитикам второй линии (SOC L2), которые занимаются постоянным анализом информационных систем и корпоративных сетей, предпринимают меры по реагированию на угрозы, создают сценарии мониторинга и реагирования.

Базовые компетенции аналитиков SOC L1:

• Понимание принципов работы сетей и информационных систем, обеспечение безопасности.
• Знание основ мониторинга и реагирования на инциденты.
• Навыки администрирования распространенных операционных систем.
• Владение навыками автоматизации.
• Знание типовых угроз информационной безопасности.

Базовые компетенции аналитиков SOC L2 более глубокие. Такие специалисты собирают детальные данные об инцидентах, проводят первичное расследование, готовят рекомендации по внедрению контрмер и ликвидации последствий кибератак.

Аналитики третьей линии подключаются, если специалисты первых двух уровней не справились с задачей. Обычно они участвуют в суперсложных кейсах, когда киберпреступники практически не оставляют следов.

Чтобы сотрудники обладали достаточными компетенциями в части мониторинга и реагирования на инциденты ИБ, им необходимо проходить обучение и регулярно повышать квалификацию. Для подтверждения приобретенных знаний проводится оценка навыков аналитиков SOC.

Мониторинг инцидентов ИБ: как это устроено на практике

Ключевую роль в мониторинге играет SIEM-система (Security Information and Event Management). Это решение для централизованного сбора и анализа корреляции событий ИБ. Как оно работает:

• SIEM-система собирает данные с сетевых устройств, рабочих станций, приложений, журналов серверов.
• Решение анализирует собранную информацию и с помощью правил корреляции определяет потенциальные угрозы.
• При выявлении подозрительной активности система отправляет оповещение SOC-аналитикам, после чего начинается обработка инцидента.

Помимо SIEM-системы для мониторинга инцидентов могут быть задействованы другие средства защиты, например:

• WAF (Web Application Firewall) — межсетевые экраны для контроля трафика веб-приложений.
• DLP (Data Leak Prevention) — системы для предотвращения внутреннего мошенничества и утечек по вине сотрудников компании.
• IDS/IPS (Intrusion Detection System / Intrusion Prevention System) — системы обнаружения и предотвращения вторжений, с помощью определенных правил или сигнатур выявляющие и блокирующие подозрительный трафик.

Есть вариант построить процессы мониторинга и реагирования на инциденты, например, на базе JSOC (Joint Security Operations Center) от ГК «Солар». В таком случае можно не нанимать в штат специалистов, а доверить задачу по обнаружению угроз опытным экспертам по кибербезопасности.

Почему компании доверяют мониторинг инцидентов экспертам Solar JSOC

При подключении сервиса мониторинга и анализа инцидентов SOC, заказчик получает:

• Мониторинг инцидентов в режиме 24/7.
• Выделенную команду из сервис-менеджера и аналитика.
• Расширенную аналитику благодаря сигнатурам и индикаторам компрометации, полученным от экспертов центра изучения кибератак Solar 4RAYS.
• Выявление инцидентов любой сложности, разработку мер реагирования.
• Помощь в расследовании инцидентов ИБ.

Преимущества сервиса для мониторинга и реагирования на инциденты:

• Использование Threat Intelligence — ежедневно обновляемой базы данных об актуальных угрозах ИБ.
• Возможности Threat Hunting — проактивного поиска угроз, осуществляемого в фоновом режиме.
• Интеграция с надежными SIEM-системами.
• Удобный личный кабинет для управления услугой.
• Регулярная отчетность, визуализация результатов аналитики.

Чтобы больше узнать о вариантах оказания сервиса, оставьте заявку на консультацию экспертов.

Обучение специалистов мониторингу инцидентов ИБ в Solar Method

Компании могут «вырастить» своих аналитиков, которые будут обеспечивать мониторинг и реагирование на инциденты. В этом им поможет компания «Солар», которая запускает целое образовательное направление — Solar Method, где в треке Blue Team, или Оборонительная безопасность, представляет два курса: «Аналитик SOC 1-й линии» и «Аналитик SOC 2-й линии», основанные на экспертизе и опыте экспертов разных подразделений. Курсы подходят тем, кто хочет строить карьеру в сфере кибербезопасности, повышать компетенции в части реагирования на угрозы ИБ, научиться распознавать нетипичные атаки.

Программа курса:

• Основы мониторинга инцидентов ИБ.
• Работа с SIEM-системами и другими средствами мониторинга и защиты.
• Методологии расследования инцидентов.
• Практические кейсы: от выявления инцидентов до эскалации и реагирования.

Преимущества курса:

• Поддержка опытных экспертов в сфере кибербезопасности.
• Онлайн-доступ ко всем материалам и удобный формат обучения.
• Практические задания, итоговая оценка навыков.
• Подготовка к работе в SOC.

После курса специалисты будут иметь необходимые практические навыки и смогут выполнять поставленные задачи по противодействию киберугрозам.