Реагирование на инциденты безопасности

Недостаточно обнаружить несанкционированный доступ в корпоративную сеть или вредоносный код. Необходимо оперативно принять меры по предотвращению или снижению ущерба и устранению причин, приведших к инциденту информационной безопасности. И все это на фоне непрекращающегося потока сигналов тревоги, уведомлений, предупреждений и отчетов.

Несмотря на повсеместность использования средств информационной безопасности и растущую их эффективность, организации любого размера регулярно сталкиваются с инцидентами ИБ. Наиболее частыми инцидентами по данным SANS Institute[1] являются: заражение вредоносным кодом, несанкционированный доступ, ложные тревоги, утечки данных, направленные атаки, атаки на отказ в обслуживании. Эффективность защиты, таким образом, в большой степени зависит от оперативности и полноты реакции службы безопасности на критичные инциденты. Лишь не более 10% организаций оценивают эффективность внедренных процессов и инструментов реагирования на инциденты как высокую, и более 25% - как низкую1.

При выборе инструментария для реагирования на инциденты необходимо оценивать его способность решить следующие задачи[2]:

  • Обнаружить инциденты безопасности на основе мониторинга активности на местах с использованием собственной аналитики или индикаторов угроз (IOC) от сторонних источников.
  • Остановить распространение инцидента, удаленно блокируя сетевой трафик или контролируя запущенные процессы.
  • Расследовать инцидент безопасности. Получить цепочку ключевых технических событий на рабочем месте (изменения файлов, реестра, сетевая активность, драйверы, выполнение кода) и оценить событие с точки зрения бизнеса (проникновение внутрь периметра, получение привилегий, распространение, утечка данных, связь с центрами управления, атрибуция злоумышленника).
  • Устранить последствия. Вернуть рабочее место в состояние до заражения. Или сформировать инструкции по восстановлению для других технических средств, что особенно важно для сложных организаций с жестким разграничением полномочий и формальным процессом управления изменениями.
 

[1] Incident Response: How to Fight Back, SANS Institute, 2014

[2] Market Guide for Endpoint Detection and Response Solutions, Gartner, 2015

Система McAfee® Threat Intelligence Exchange (TIE) сокращает период между обнаружением угроз и реагированием на них с дней и недель до нескольких секунд. В режиме реального времени TIE собирает информацию от всех имеющихся в организации средств защиты, а также из глобальных ресурсов McAfee Global Threat Intelligence (GTI) и сторонних источников. Информация о новых событиях, угрозах и уязвимостях мгновенно становится доступной для всех систем ИБ в компании, обеспечивая их согласованную работу.

В современном мире растут темпы появления новых типов кибер-атак и их нацеленность на конкретные организации. Злоумышленники  предварительно собирают информацию об инфраструктуре жертвы, чтобы свести к минимуму возможность обнаружения средствами традиционной защиты. Для снижения воздействия атак на бизнес необходимы комплексные средства, помогающие обнаружить присутствие злоумышленников, быстро провести расследование и внести необходимые исправления в политики ИБ.