Рубрикатор |
Статьи | ИКС № 3 2020 |
Анна МИХАЙЛОВА  | 08 мая 2020 |
Влияние режима удаленной работы на SOC
Подавляющее большинство организаций уже внедрили режим удаленной работы. И если сотрудники приспособились хорошо, то компании столкнулись со множеством трудностей – от организации контроля эффективности работы до обеспечения безопасности своих активов.
Данные нашего центра киберустойчивости ACRC свидетельствуют о значительном росте числа инцидентов информационной безопасности, половина из которых – заражение вредоносным ПО. Однако особое беспокойство вызывает тот факт, что ИБ-аналитики не адаптировались к новым обстоятельствам и состояние ИБ многих компаний фактически выпущено из-под контроля.
Отслеживание событий в условиях изменившейся информационной среды должно быть оперативным и качественным. Центр мониторинга инцидентов ИБ (Security Operations Centre, SOC) любой компании должен оперативно подстроиться под новые обстоятельства, внести необходимые коррективы в правила корреляции, поднять приоритет для действительно важных событий.
Для обеспечения эффективной работы ИБ-аналитиков рекомендуем обратить внимание на следующие факторы:
- Размылись границы рабочего дня. Многие корреляционные методики отталкиваются от офисного режима работы с различным дневным и ночным почерком активности, который в режиме удаленной работы значительно поменялся. Так, согласно аналитике ACRC, сотрудники начинают работу около 9:00, при этом активность спадает только ближе к 22:00.
- Изменения конфигурации оборудования и установка средств удаленного администрирования на ПК пользователей стали производиться намного чаще. В период обкатки режима удаленной работы эти события малоинформативны, но имеет смысл обратить на них пристальное внимание спустя приблизительно месяц тестовой эксплуатации.
- Сильно выросла активность вредоносного ПО, включая довольно старые его образцы. С учетом использования домашних ПК и домашних сетей этого следовало ожидать. Важно не допустить распространения вредоносного ПО внутри сети на корпоративные и пользовательские ресурсы и особенно аккуратно отрабатывать инциденты потенциальных вирусных атак.
- Действие дополнительных факторов защиты компаний от утечек, таких как внутренний сетевой периметр, запрет на подключение внешних устройств, использование личной электронной почты на ПК пользователя, в режиме удаленной работы может быть ослаблено. Поэтому инцидентам DLP-систем необходимо присвоить высокий приоритет.
Рекомендуется тщательно отслеживать изменения целостности конфигураций серверных компонентов: контролировать установку нелегитимного ПО на них, подключение по нелегитимным протоколам, особенно использующимся для объемной выгрузки данных (SMB, FTP) и т.д. Крайне важен мониторинг запросов в базы данных во избежание массовых утечек информации.
Анна Михайлова, системный архитектор, группа компаний
Angara
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!