Значимость безопасности информационной инфраструктуры на сегодняшний день переоценить крайне сложно. Вопрос кибер безопасности регулярно включается в повестку на самом высоком уровне. Регуляторы обращают пристальное внимание на соответствие требованиям.
Тем парадоксальнее имеющаяся на данный момент ситуация с практической безопасностью.
На слуху масштабные кибератаки, направленные как на корпоративные сети, так и на технологические. При чем, как показывает практика, злоумышленникам иногда даже не нужны специальные средства и долгая подготовка. Они просто эксплуатируют самое слабое звено в системе защиты, а именно: человека. А точнее – незнание и/или откровенную лень.
Посмотрим на картинку, которую нам показывает shodan и ….ужаснемся!
В российском сегменте Интернет практически 1700 узлов подвержены уязвимости EternalBlue и почти 1500 – имеют уязвимость BlueKeep, о которой знает практически каждый. Можно предположить, что подавляющее большинство уязвимых хостов – это домашние компьютеры, у которых нет поддержки вендора (не будем забывать про пиратство на наших просторах). Что ж, возможно…
Ввергает в ужас другая цифра – количество доступных устройств технологических сетей (их более 3500). Вот эту цифру нерадивостью рядового пользователя не объяснишь.
Печальность данной ситуации наталкивает на размышления о важности системы мониторинга информационной безопасности, целью которой является обеспечение фиксации действий злоумышленника и своевременное оповещение всех заинтересованных лиц.
Практический опыт показывает, что эффективность системы мониторинга напрямую зависит от степени зрелости компании.
К сожалению, не редки случаи, когда к системе мониторинга относятся как к «черному» ящику. Особенно часто это случается, когда за ее эксплуатацию средств мониторинга отвечают специалисты IT-подразделений, для которых «главное, чтобы работало».
Такой подход ведет к двум важным эффектам:
Поэтому крайне важно отнестись со всей серьезностью к построению системы мониторинга.
Первое, что необходимо сделать – определиться с целями и задачами системы мониторинга, а сформулировать метрики, по которым будет измеряться эффективность.
Далее необходимо решить, каким образом будет осуществляться достижение цели: путем аутсорсинга (о плюсах и минусах мы писали здесь) или собственными силами.
После чего можно приступать к выбору технологий, которые понадобятся для выполнения поставленных задач.
Сформулированные требования к технологиям позволят выбрать оператора услуг и/или вендора (интегратора) интегратора необходимых решений.
Но независимо от того, какой подход выбран (сервисная модель или полноценный штат ИБ специалистов) необходимо знать все и немного больше о контролируемой сети.
Попробуем сформулировать перечень аспектов, на которые необходимо обратить внимание при выстраивании системы мониторинга.
Выстроенную систему мониторинга необходимо верифицировать на предмет соответствия решаемым задачам. С этой целью целесообразно эмулировать действия злоумышленника и проверить реакцию. При некорректной работа целесообразно провести выяснение причин и выполнить донастройку средств защиты.
Также необходимо помнить, выстраивание системы мониторинга – это процесс, управление которым можно описать циклом Деминга-Шухарта, который можно проиллюстрировать следующим образом
Главное, что необходимо помнить: