результативная
информационная безопасность

Главная Новости Как повысить эффективность системы мониторинга?

Как повысить эффективность системы мониторинга?

Как повысить эффективность системы мониторинга?

Значимость безопасности информационной инфраструктуры на сегодняшний день переоценить крайне сложно. Вопрос кибер безопасности регулярно включается в повестку на самом высоком уровне. Регуляторы обращают пристальное внимание на соответствие требованиям.

Тем парадоксальнее имеющаяся на данный момент ситуация с практической безопасностью.

На слуху масштабные кибератаки, направленные как на корпоративные сети, так и на технологические. При чем, как показывает практика, злоумышленникам иногда даже не нужны специальные средства и долгая подготовка. Они просто эксплуатируют самое слабое звено в системе защиты, а именно: человека. А точнее – незнание и/или откровенную лень.

Посмотрим на картинку, которую нам показывает shodan и ….ужаснемся!

В российском сегменте Интернет практически 1700 узлов подвержены уязвимости EternalBlue и почти 1500 – имеют уязвимость BlueKeep, о которой знает практически каждый. Можно предположить, что подавляющее большинство уязвимых хостов – это домашние компьютеры, у которых нет поддержки вендора (не будем забывать про пиратство на наших просторах). Что ж, возможно…

Ввергает в ужас другая цифра – количество доступных устройств технологических сетей (их более 3500). Вот эту цифру нерадивостью рядового пользователя не объяснишь.

Печальность данной ситуации наталкивает на размышления о важности системы мониторинга информационной безопасности, целью которой является обеспечение фиксации действий злоумышленника и своевременное оповещение всех заинтересованных лиц.

Практический опыт показывает, что эффективность системы мониторинга напрямую зависит от степени зрелости компании.

К сожалению, не редки случаи, когда к системе мониторинга относятся как к «черному» ящику. Особенно часто это случается, когда за ее эксплуатацию средств мониторинга отвечают специалисты IT-подразделений, для которых «главное, чтобы работало».

Такой подход ведет к двум важным эффектам:

  • не эффективности системы мониторинга (что очевидно)
  • ощущению состояния ложной защищенности (что к тому же еще и опасно)

Поэтому крайне важно отнестись со всей серьезностью к построению системы мониторинга.

Первое, что необходимо сделать – определиться с целями и задачами системы мониторинга, а сформулировать метрики, по которым будет измеряться эффективность.

Далее необходимо решить, каким образом будет осуществляться достижение цели: путем аутсорсинга (о плюсах и минусах мы писали здесь) или собственными силами.

После чего можно приступать к выбору технологий, которые понадобятся для выполнения поставленных задач.

Сформулированные требования к технологиям позволят выбрать оператора услуг и/или вендора (интегратора) интегратора необходимых решений.

Но независимо от того, какой подход выбран (сервисная модель или полноценный штат ИБ специалистов) необходимо знать все и немного больше о контролируемой сети.

Попробуем сформулировать перечень аспектов, на которые необходимо обратить внимание при выстраивании системы мониторинга.

  1. Активы.
    • определить перечень активов, подлежащих мониторингу (при этом необходимо помнить о политике лицензирования конкретного вендора и учитывать это при формировании требований)
    • ранжировать активы
    • настроить оповещение о событиях относительно критичных активов по различным каналам связи
  2. Правила корреляции для SIEM и сигнатуры для IDS.
    • на первом этапе целесообразно использовать все правила, к которым есть доступ (как вендорским, так и свободно распространяемым)
    • после чего необходимо провести анализ и отключить те правила, которые срабатывают ложно, и скорректировать те правила, которые излишне «чувствительны»
    • разрабатывать правила, максимально кастомизированные для конкретной инфраструктуры
    • организовать регулярное обновление сигнатур
  3. Активные средства защиты помимо выполнение прямой задачи также являются источниками событий безопасности.
  4. Мониторить нужно все.
    • средствами мониторинга должны покрываться все активы
    • обязательно наличие средств мониторинга трафика
  5. Система мониторинга – это также информационная система
    • необходимо осуществлять мониторинг производительности аппаратной составляющей средств мониторинга с целью минимизации пропуска событий и недопущения отказа системы мониторинга
  6. Регламенты.
    • регламенты взаимодействия при наступлении инцидентов различных типов и критичности
    • карточки инцидентов
    • порядок доведения информации до регуляторов и контролирующих органов

Выстроенную систему мониторинга необходимо верифицировать на предмет соответствия решаемым задачам. С этой целью целесообразно эмулировать действия злоумышленника и проверить реакцию. При некорректной работа целесообразно провести выяснение причин и выполнить донастройку средств защиты.

Также необходимо помнить, выстраивание системы мониторинга – это процесс, управление которым можно описать циклом Деминга-Шухарта, который можно проиллюстрировать следующим образом


Главное, что необходимо помнить:

  • нельзя единовременно настроить систему мониторинга идеально
  • любое изменение в сети должно находить свое отражение в настройке системы мониторинга
  • верифицировать работу системы мониторинга необходимо непрерывно
  • мониторинг – это процесс