С точки зрения сценариев мониторинга, какие наиболее актуальны сейчас для повышения защищённости компании при массовой удалённой работе сотрудников? На этот вопрос в эфире программы «ИБшник на удалёнке» ответил руководитель отдела мониторинга ИБ экспертного центра безопасности Positive Technologies Павел Кузнецов. 

 

Необходимый минимум

«Сперва необходимо настроить, если вы этого ещё не сделали в рамках обычной работы, совершенно необходимо настроить логирование IP-адресов, подключающихся удалённо пользователей», — начал Павел Кузнецов. 

По его словам, эта информация в дальнейшем пригодится для расследования инцидента, если он вдруг случится. Плюс, если эти данные удастся соответствующим образом обогатить, можно получить хороший инструмент профилирования удалёнщиков и выявления аномального для них поведения.  

Второе минимальное, на что имеет смысл обратить внимание — это выявление дублирующихся входов при удалённой работе. Если пользователь подключился и спокойно работает во внутренних системах, но при этом фиксируются параллельные попытки подключения с этой же чётной записи — это однозначный сигнал того, что учётная запись могла утечь. 

«И третий, достаточно очевидный кейс — мониторим те средства сетевые, шлюзы, с помощью которых у нас организовано удалённое подключение. И проверяем множественные последовательные попытки подключения под легальными учётными записями, но с неправильным паролем. Соответственно, при превышении определённых временных параметров количества попыток подключения — это для нас чёткий сигнал, что происходит попытка подбора пароля», — рассказал Павел Кузнецов. 

Это необходимый минимум. Развивать эту историю можно практически бесконечно. С помощью той же самой SIEM системы по определённым признакам можно попытаться отделить доменные устройства (то есть легальные с точки зрения комплайенс), подключающиеся во внутреннюю сеть, от не доменных. По крайней мере это будет поводом для того, чтобы связаться с пользователем и уточнить, он ли пытается зайти с не корпоративного устройства в сеть или это какой-то злоумышленник. С этой целью можно отслеживать классические для доменной машины обращения к инфраструктурным сервисам по известным FQDN (Fully Qualified Domain Name). То есть если машина подключается в корпоративную сеть, обращается в центр обновления антивирусов, к известному файловому хранилищу, к системе управления конфигурациями и так далее, значит мы считаем что эта машина условно доменная и можно с ней работать как с доменной. Даже если она захвачена, у нас больше контроля в её отношении.

 

Network Traffic Analysis

«В современной ситуации при современном уровне развития информатизации общества решения класса Network Traffic Analysis становятся необходимостью в составе парка решений защиты информации, которые должны использоваться в корпоративной сети», — отметил Павел Кузнецов.

По его словам, запись сетевого трафика — это важный процесс, который нужно обеспечивать как минимум на горизонте (самый минимум) одной недели, лучше, если ёмкости будут позволять, хранить трафик порядка месяца (как минимум). Для чего это нужно? Например, трафик нужно хранить для расследования инцидентов в ретроспективном анализе на каком-то относительно длинном промежутке времени. Ещё NTA решения незаменимы, чтобы иметь возможность отмотать на пару часов назад и посмотреть, что было в трафике по отношению к конкретному узлу, потому что алерт не всегда приходит одновременно с сетевой атакой. Кроме прочего NTA решения можно использовать в режиме онлайн как источник событий в реальном времени, потому что с помощью такого решения можно увидеть передачу вредоносных файлов по сети, попытки эксплуатации уязвимости в отдельных узлах. В случае если источник вредоносного воздействия является внешним по отношению к инфраструктуре узлом, то технологии DPI (Deep packet inspection) позволят вычленить этот вредоносный узел, а в дальнейшем заблокировать его на периметровых средствах защиты. «Анализ трафика — один из краеугольных камней обеспечения безопасности в целом, а не только в связи с переходом на «удалёнку». В 2020 году без него никуда», — заключил Павел Кузнецов.

12 апреля, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

16.04.2024
Сайт просит вас отключить блокировщик рекламы? Не спешите
16.04.2024
Руководителям не хватает качественного общения друг с другом
16.04.2024
НКЦКИ представил свой трекер утечек персональных данных
16.04.2024
Где VPN, там и DDoS. В Госдуме заявили о неочевидной связи этих аббревиатур
16.04.2024
«Мы можем внести свой вклад в будущее и работаем над этим»
15.04.2024
«Мы начали внедрение искусственного интеллекта с самих себя»
15.04.2024
«Ростелеком»: Рынок должен вложиться в инфраструктуру связи
15.04.2024
Балканские инженеры добавили ярких красок в системы безопасности
15.04.2024
Расходы ИТ-компаний на продвижение в СМИ выросли в полтора раза
15.04.2024
Имейл — небезопасный канал для получения распоряжений на перевод

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных