Число уязвимых компьютеров выросло на 230%: что предпринять ИБ-аналитикам?

11.06.2020
Число уязвимых компьютеров выросло на 230%: что предпринять ИБ-аналитикам?

Пандемия сбавляет обороты, но говорить об ее завершении еще очень рано. При этом мы уже ощущаем последствия. И в той или иной мере они затронут все сферы жизни.

Так, в области ИБ значительно возросло количество публично доступных уязвимых систем. Эксперты компании DeviceLock оценивают рост в сети количества доступных по протоколу RDP уязвимых систем на базе ОС Windows на 230%. Количество обнаруживаемых в сети устройств составляет порядка 101 тысячи.

Этот тренд наблюдается на протяжении последних нескольких месяцев, поскольку  большинство компаний были не готовы к переходу на удаленную работу в масштабах всей организации и для всех ролей сотрудников. И если количество незащищенных ПК выросло по большей части за счет домашних пользователей, которые ранее активно не пользовались интернет-сервисами (а таких немного), то с корпоративным сектором ситуация сложнее. Зачастую администраторы ИТ вынуждены были в короткие сроки решать вопросы подключения сотрудников и не имели возможности организовать доступ к информационным системам гранулировано и безопасно. Поэтому появляются такие бреши в ИБ, как разрешение подключения по RDP протоколу к внутренним ресурсам извне и аналогичные ошибки безопасной конфигурации периметра предприятия, о которых ИБ-аналитикам компании могут и не сообщать для ускорения процесса.

Как могут ИБ-аналитики повышать для себя видимость деятельности ИТ-подразделений? Для этого существует несколько вариантов решений:

  • Использовать средства контроля и записи действий администраторов – PAM и PSM-системы. В некоторых из решений доступен механизм отслеживания применимых команд или настроек.

  • Мониторинг сетевых протоколов на разном уровне сети – на периметре, на внутреннем МЭ, на коммутационном оборудовании с помощью систем анализа трафика. Такой способ позволит обнаружить нелегитимное применение протоколов, в частности удаленного управления.

  • Использование SIEM-систем. Одним из сценариев мониторинга является отслеживание нелегитимных изменений конфигурации серверных ресурсов, несанкционированное и несогласованное изменение настроек информационных систем из-под учетной записи с административными правами. А в дальнейшем отслеживание нелегитимных подключений к серверным ресурсам по запрещенным политикой ИБ протоколам. В условиях аврала реализовать и качественно настроить свой SIEM крайне сложно. Поэтому в таких условиях особенно удобно использование сервиса MSSP SOC, подключение которого выполняется оперативно и качественно.

Angara Professional Assistance предлагает услугу MSSP SOC, которая имеет уже в базовом пакете подключения полный набор технологий, правил и политик мониторинга, фильтрации и корреляции событий. И помогает своим клиентам решить следующие проблемы:

  • выявление несанкционированных действий с защищаемой информацией,

  • непрерывное отслеживание информации о новых уязвимостях и угрозах ИБ,

  • быстрое выявление и анализ инцидентов и выявление слабых мест в системах защиты информации.

Благодаря реализации на собственной платформе на базе стека ELK, сервис ACRC (SOC) независим от политической обстановки, политик вендоров и курса валют. 

Информацию о подключении сервиса, доступных пакетах услуг, а также сводные отчеты о работе сервиса можно увидеть в специальном разделе: https://www.angarapro.ru/acrc/.

По остальным вопросам можно обратиться к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.