Инциденты информационной безопасности можно разделить на два типа: злонамеренные действия сторонних лиц и злонамеренные действия сотрудников. Соответственно, сетевые события соответствующие инцидентам ИБ можно категорировать следующим образом:
- События, свидетельствующие о подключениях к внешним ресурсам, за периметром безопасности или передача данных вовне.
- События, свидетельствующие о подключениях к внутренним ресурсам из-за пределов периметра безопасности.
Данное деление можно считать условным, потому что подобные активности часто носят смешанный характер. Но понимание данных категорий позволяет быстрее реагировать на то, что происходит.
События, свидетельствующие о подключении к внешним ресурсам - это сторонние URL, которые не внесены в белый список или не относятся к ресурсам, необходимым для работы. Если вы видите в логах, что сотрудник пытался подключиться к сервисам, не относящимся к работе, тот тут есть два варианта: либо сотрудник занимается личными делами вместо работы, либо пал жертвой фишинговой атаки.
Еще один вариант событий, сигнализирующих об опасности – это увеличение трафика, направленного вовне. Например, при отправке конфиденциальных документов сторонним лицам – при этом канал отправки может быть разным.
В целом, любое аномальное сетевое поведение, для любого объекта инфраструктуры – уже является подозрительным. Это зачастую сложно классифицировать, но при наличии информации всегда можно выявить скомпрометированные учетные данные, наличие «засланного казачка», создающего новые учетные записи, использование программ удаленного доступа без разрешения ответственных лиц и т.д.
Также система обеспечения ИБ должна уметь реагировать на стандартные типы сетевых инцидентов - как правило, они все шаблонны по своей сути:
- Вредоносные программы, отправленные по электронной почте.
- Сбор данных об инфраструктуре – определение открытых портов, открытых вовне сервисов, информации о домене.
- DDoS-атаки.
- Выполнение вредоносного кода.
Во всех случаях, система должна отправлять уведомления о подозрительных действиях, об аномальных событиях или о происшествиях, сигнализирующих об атаке извне. При этом, как уже сказано выше, многие системы автоматически справляются с техническими атаками извне, а злонамеренные действия пользователей выявляются при внимательном анализе сетевого трафика.
Переходите на сайт Staffcop, чтобы улучшить эффективность работы организаций и предприятий.
