Материал раздела Основной

Как обнаружить кибератаки, если специалистов и денег на защиту не хватает

IT Инструкции IT-Manager
Эксперт журнала «IT-Manager» дает базовые принципы решения одной из важных задач информационной безопасности — обнаружения кибератак. Они пригодятся тем айтишникам, чьим компаниям денег и рук хватает только на минимальный набор ИБ-активностей

Начнем с некоего минимального набора мер для обнаружения атак, упоминая о необходимости создания модели угроз. Еще раз: вопросов выбора и установки самых базовых средств защиты мы не касаемся. Мы уже на следующем этапе.

Вопрос № 1. Кто или что? (Спойлер: человек — дешевле)

От вас ожидают, что вы сможете обнаруживать атаки без использования патентованных спецсредств? Смело говорите «нет». Ссылка на «сына маминой подруги» тут не годится. Обнаружение и расследование атак вручную — трудоемкий и потому долгий процесс, который может затянуться на недели, что делает эту работу бессмысленной.

Злоумышленники уничтожают следы своего пребывания в системе для повторного хищения средств и данных с использованием тех же бэкдоров и учетных данных. И пока вы будете разбираться в том, что и почему произошло, расследовать будет уже нечего.

На практике спорить с финансистами и руководством без убойных козырей на руках бесполезно, поэтому для вида можно сымитировать бурную деятельность, используя так называемые ELK-стеки (системы хранения логов) — Elasticsearch, Logstash, Kibana (опционально FileBeat).

Однако и здесь совсем бескровно решить проблему не получится: для их настройки понадобятся специалисты с опытом работы с данными технологиями. Найти сегодня на рынке такого человека крайне проблематично, если вообще реально. Так что, если вы только начинаете заботиться об ИБ, я бы советовал использовать уже готовые решения, а если не дают — то, по крайней мере, выбейте штатную единицу специалиста по ИБ, который запустит процессы. Просите больше — получите сколько нужно. Не первый год замужем же.

Вопрос № 2. Что делает? (Моделирование угроз)

Чтобы успешно обнаруживать атаки, надо понимать, что именно нужно искать, иными словами, разработать модель угроз. Для этого изучаются виды атак и определяются критичные для компании ресурсы, на которые с большей вероятностью будут направлены атаки. Отталкиваясь от этого, прогнозируются вероятные сценарии реализации угроз ИБ в системах и сетях организации.