Во время пилотных проектов по интеграции MaxPatrol SIEM, которые были проведены специалистами Positive Technologies, были обнаружены события кибербезопасности, указывающие на возможные атаки, заражение вредоносным софтом, нарушение политик информационной безопасности, аномалии в пользовательском поведении.
В результаты проведенного исследования были включены результаты реализации пилотных проектов в организациях энергетики и промышленности, в госучреждениях, компаниях финансовой отрасли.
По традиции, при реализации пилотных проектов для демонстрации функционала SIEM-системы были смоделированы условия, приводящие к фиксации инцидента кибербезопасности. Но кроме смоделированных, во всех рассматриваемых в исследовании проектах были зарегистрированы и реальные инциденты информационной безопасности. Чаще всего MaxPatrol SIEM выявлял следующие виды инцидентов безопасности:
- попытки подбора авторизационных данных;
- детектирование вредоносного софта, неудаленного иными защитными средствами;
- авторизация под одним аккаунтом с разных рабочих станций.
По результатам проведенного экспертами Positive Technologies исследования, 1 из 5 инцидентов безопасности, выявленных во время пилотных проектов, связан с детектированием вредоносного программного обеспечения. Многие инциденты кибербезопасности (более 80%) – фишинговые рассылки.
Примерно в 50% организаций во время пилотных проектов было обнаружено нарушение политик информационной безопасности (несоответствие стандартам нормативной документации, корпоративным регламентам).
Ольга Зименко, ведущий аналитик PT, сказала следующее: «В ходе пилотных проектов были обнаружены инциденты безопасности, указывающие на возможные кибератаки хакеров. Большинство инцидентов связано с кражей конфиденциальных данных в атакуемой системе и корпоративной сети. Чтобы обнаружить такие кибератаки на начальных этапах, надо располагать информацией о том, что происходит в инфраструктуре организации.
С этими целями выполняется сбор максимального количества данных о событиях кибербезопасности. Большой объем информации нуждается в автоматизированной обработке посредством продуктов SIEM. Опыт экспертов центра безопасности PT демонстрирует, что применяемые в SIEM правила корреляции выступают в качестве отправной точки для детектирования множества киберпреступных атак, даже всесторонних APT-атак, и в качестве базы для расследования киберинцидентов».