Андрей Шабалин, аналитик по информационной безопасности NGR Softlab, в статье CISOCLUB рассказал об эффективных инструментах для выявления и устранения инцидентов и ошибках при проведении расследований.
Повсеместная цифровизация различных отраслей экономики привела к тому, что киберугрозы, связанные с информационной безопасностью, уже давно вышли на лидирующие позиции по величине ущерба. На фоне всего этого особенную значимость приобретает процесс выяснения причин, которые сделали возможными инциденты кибербезопасности. Компаниям требуется вырабатывать меры для устранения последствий и предотвращения таких ситуаций в будущем.
Расследование инцидентов кибербезопасности предполагает выявление причин, которые привели к атаке, а также анализ уязвимостей и ошибок, допущенных в процессе защиты информации. Компании сталкиваются с необходимостью не только минимизировать ущерб, но и разрабатывать эффективные стратегии реагирования, которые позволят в будущем быстрее и точнее предотвращать аналогичные инциденты.
Редакция CISOCLUB поговорила с отраслевыми экспертами, чтобы узнать о самых эффективных инструментах и технологиях для выявления и устранения инцидентов и многом другом. Андрей Шабалин, аналитик по информационной безопасности NGR Softlab, ответил на вопросы журналистов.
Какие технологии и инструменты вы считаете наиболее эффективными для быстрого выявления и устранения инцидентов?
Пожалуй, наиболее эффективными инструментами для аналитика по праву можно считать решения класса SIEM с интегрированными агентами или возможностью подключения EDR-системы. Хорошим дополнением могут стать системы, позволяющие осуществлять анализ сетевого трафика. Подобные комплексы позволяют специалисту видеть действительную картину наиболее широко и прозрачно. Кроме того, важно, чтобы контент, поставляемый с подобными средствами защиты, был актуален для конкретной организации. Также для повышения эффективности в разрезе метрик типа MTTD (время на обнаружение) хорошей практикой может стать использование инструментов, позволяющих осуществлять предиктивную аналитику. Такие возможности расследователю предоставляют, например, встроенные UEBA-модули или полноценные платформы, осуществляющие полноценный поведенческий анализ с целью выявления аномалий в пользовательской активности. Не стоит забывать, что эффективность всех описанных инструментов значительно сокращается при отсутствии чётко выстроенных SecOps-процессов в организации.
Какие ошибки наиболее часто совершаются при расследовании инцидентов, и как их избежать на практике?
Возможно, одна из наиболее часто встречаемых ошибок – поспешность в своих выводах при проведении расследования. Нередко бывают такие случаи, когда аналитик сформировал недостаточно полную картину, например, уцепившись за конкретный индикатор, и из-за этого может совершенно неправильно трактовать инцидент. Это вполне объяснимо, когда в организации нормативно закреплены такие метрики, как MTTR (время на разрешение/реагирование), или отсутствует методика ведения расследования. Для того чтобы минимизировать подобные ошибки, аналитику следует быть исключительно последовательным в своей работе при сборе и анализе поступающих данных от источников.
Последовательность в данном случае не всегда может являться линейной – в практике встречаются достаточно динамичные плейбуки, содержащие в себе весьма сложную логику.
Надо также понимать, что использование качественных плейбуков в процессах Security Operations, чаще встречается в достаточно зрелых ИБ-подразделениях, в составе которых присутствуют опытные специалисты в области реагирования и расследования. Поэтому главный совет для аналитиков, желающих снизить процент совершаемых ошибок, будет заключаться в постоянном обучении и повышении своей экспертизы.
Читайте статью целиком на сайте CISOCLUB.
Возможно, одна из наиболее часто встречаемых ошибок – поспешность в своих выводах при проведении расследования. Нередко бывают такие случаи, когда аналитик сформировал недостаточно полную картину, например, уцепившись за конкретный индикатор, и из-за этого может совершенно неправильно трактовать инцидент. Это вполне объяснимо, когда в организации нормативно закреплены такие метрики, как MTTR (время на разрешение/реагирование), или отсутствует методика ведения расследования. Для того чтобы минимизировать подобные ошибки, аналитику следует быть исключительно последовательным в своей работе при сборе и анализе поступающих данных от источников.
Последовательность в данном случае не всегда может являться линейной – в практике встречаются достаточно динамичные плейбуки, содержащие в себе весьма сложную логику.
Надо также понимать, что использование качественных плейбуков в процессах Security Operations, чаще встречается в достаточно зрелых ИБ-подразделениях, в составе которых присутствуют опытные специалисты в области реагирования и расследования. Поэтому главный совет для аналитиков, желающих снизить процент совершаемых ошибок, будет заключаться в постоянном обучении и повышении своей экспертизы.
Читайте статью целиком на сайте CISOCLUB.