В ряде компаний, где внедрен EDR, ответственной за реакцию на инцидент ИБ является ИТ служба.
Open Source EDR, хотя являются бюджетным решением, часто содержат некачественные открытые правила корреляции, которые создают чрезмерную нагрузку на ИТ подразделение.
Кибератаки на российские компании в ¾ случаев приходятся на время суток, когда у объекта физически отсутствует персонал, способный ее отразить в силу графика работы 5/2.
ОСОБЕННОСТИ КЛИЕНТА:
- Инфраструктура клиента является всероссийской, а также 24/7 функционирует интернет-магазин.
- У клиента уже имелась Open Source EDR
- Из-за некачественных правил корреляции штатным ИТ сотрудникам приходилось просматривать до 20.000 строк ежедневно: увидеть инцидент ИБ было непросто.
ЗАПРОС
Предложить качественную EDR-систему с возможностью удаленного реагирования на инциденты ИБ, особенно в ночное время
ЧТО БЫЛО СДЕЛАНО ИБ АРХИТЕКТОРАМИ SIMPLITY
1. Остановили Open Source EDR-систему, т.к. она не имела штатную утилиту удаления
2. Произвели полную очистку директорий используемого EDR решения
3. В инфраструктуру внедрено российское сертифицированное EDR решение с возможностью реагирования – изоляции конечного устройства и группы устройств, а также с качественными правилами корреляции
4. По результатам первой недели мониторинга Аналитики SOC Simplity выдали рекомендации по оптимизации ИТ инфраструктуры клиента, а именно удаление нетипового ПО с АРМ серверов пользователей.
РЕЗУЛЬТАТ
- Клиент уверен, что кибератака будет остановлена на ранней стадии
- Скомпрометированное устройство в любой точке страны будет своевременно изолировано
- Клиент кратно сократил временные затраты ИТ подразделения на выявление инцидентов ИБ