Общий номер: +7 (495) 269-26-06
Техническая поддержка: +7 (495) 269-26-07
+7 (495) 419-15-03

Семь недель на «удаленке»: факторы, повлиявшие на работу SOC

12.05.2020
Семь недель на «удаленке»: факторы, повлиявшие на работу SOC

Подавляющее большинство организаций уже внедрили режим удаленной работы. И если сотрудники приспособились хорошо, то компании столкнулись с множественными трудностями: от организации контроля эффективности работы до обеспечения ИБ своих активов. 

Данные ACRC (SOC) компании Angara Professional Assistance демонстрируют значительный рост числа инцидентов ИБ, половина из которых – заражение вредоносным ПО. Однако особое беспокойство вызывает тот факт, что ИБ-аналитики не адаптировались к новым обстоятельствам, и фактически состояние ИБ выпущено из-под контроля. 

Вопрос отслеживания событий в условиях изменения ландшафта информационной среды требует оперативной и качественной проработки. Центр мониторинга инцидентов ИБ любой компании должен оперативно подстроиться под новые обстоятельства, внести необходимые коррективы в правила корреляции, поднять приоритет для действительно важных событий. 

Для обеспечения эффективной работы ИБ-аналитиков рекомендуем обратить внимание на следующие факторы трансформации киберсреды:

1. Размылись границы рабочего дня. Многие корреляционные методики отталкиваются от офисного режима работы с различным дневным и ночным почерком активности, который в режиме удаленной работы значительно изменился.

2. Ожидаемо выросла активность по изменению конфигурации оборудования и частоте установки средств удаленного администрирования на ПК пользователей. В период обкатки режима удаленной работы эти события также малоинформативны, но имеет смысл обратить на них пристальное внимание спустя период тестовой эксплуатации (приблизительно месяц).

3. Сильно выросла активность вредоносного ПО, включая довольно старые его образцы. Это ожидаемо с учетом использования ПК из домашних сетей и пользовательских домашних ПК. Важно не упустить распространение вредоносного ПО внутри сети на корпоративные и пользовательские ресурсы и особенно аккуратно отрабатывать инциденты потенциальных вирусных атак.

4. В высоком приоритете необходимо отрабатывать инциденты DLP-систем, так как действие дополнительных факторов защиты компаний от утечек, таких как внутренний сетевой периметр, запрет на подключение внешних устройств, использование личной электронной почты на ПК пользователя, может быть снижено в удаленном режиме работы.

5. Также рекомендуется тщательно отслеживать изменения целостности конфигураций серверных компонент: установка нелегитимного ПО на них, подключение по нелегитимным протоколам, особенно использующимся для объемной выгрузки данных (SMB, FTP) и т.д. Крайне важен мониторинг запросов в базы данных для избежания массовых утечек информации.

Источник: ИксМедиа