Начнем с некоего минимального набора мер для обнаружения атак, упоминая о необходимости создания модели угроз. Еще раз: вопросов выбора и установки самых базовых средств защиты мы не касаемся. Мы уже на следующем этапе.
Вопрос № 1. Кто или что? (Спойлер: человек — дешевле)
От вас ожидают, что вы сможете обнаруживать атаки без использования патентованных спецсредств? Смело говорите «нет». Ссылка на «сына маминой подруги» тут не годится. Обнаружение и расследование атак вручную — трудоемкий и потому долгий процесс, который может затянуться на недели, что делает эту работу бессмысленной.
Злоумышленники уничтожают следы своего пребывания в системе для повторного хищения средств и данных с использованием тех же бэкдоров и учетных данных. И пока вы будете разбираться в том, что и почему произошло, расследовать будет уже нечего.
На практике спорить с финансистами и руководством без убойных козырей на руках бесполезно, поэтому для вида можно сымитировать бурную деятельность, используя так называемые ELK-стеки (системы хранения логов) — Elasticsearch, Logstash, Kibana (опционально FileBeat).
Однако и здесь совсем бескровно решить проблему не получится: для их настройки понадобятся специалисты с опытом работы с данными технологиями. Найти сегодня на рынке такого человека крайне проблематично, если вообще реально. Так что, если вы только начинаете заботиться об ИБ, я бы советовал использовать уже готовые решения, а если не дают — то, по крайней мере, выбейте штатную единицу специалиста по ИБ, который запустит процессы. Просите больше — получите сколько нужно. Не первый год замужем же.
Вопрос № 2. Что делает? (Моделирование угроз)
Чтобы успешно обнаруживать атаки, надо понимать, что именно нужно искать, иными словами, разработать модель угроз. Для этого изучаются виды атак и определяются критичные для компании ресурсы, на которые с большей вероятностью будут направлены атаки. Отталкиваясь от этого, прогнозируются вероятные сценарии реализации угроз ИБ в системах и сетях организации.
