Как выявить критический инцидент безопасности на предприятии?

Работа руководителем по информационной безопасности на предприятии включает в себя множество нюансов. Приходится прорабатывать не только механизм безопасности информационной инфраструктуры. Необходимо дополнительно заботиться о том, чтобы организация была кибер-устойчивой, следить за новыми методами атак и появлением критических уязвимостей, формировать команду для защиты от основных угроз, создавать регламенты на случай непредвиденных сбоев, а также следить за тем, чтобы все сотрудники действовали в рамках данных целей внутри компании.

Впрочем, одновременное выполнение слишком большого количества задач может свести на нет цели этих задач и привести к обратному эффекту: реально угрозы перестают эффективно устраняться.

Предупреждения игнорируются из-за усталости
Согласно опросу, выполненным компанией Imperva, анализ оповещений системы безопасности занимает слишком много рабочего времени, что в теории может оказаться контрпродуктивным для компании.

Как показывает Imperva, большинство опрошенных специалистов по ИБ заявили, что данная нагрузка приводит к большой усталости, подвергая риску безопасность компании. Фактически, более половины признались, что игнорировали оповещение в силу того, что ранее эти оповещения приводили к ложным срабатываниям.

63% сотрудников признают наличие серьезных сложностей при анализе и принятии решений о том, какие инциденты ИБ являются критическими, а какие имеют заметно меньший риск, а потому могут не требовать к себе повышенного внимания. Все это означает, что в конечном итоге компании становятся неэффективны в управлении собственными рисками.

Как выявлять критические инциденты информационной безопасности?
Существует несколько вариантов определения столкнулась ли организация с критическим инцидентом безопасности. С помощью этих мер также можно оценить масштабы и актуальность этого инцидента.

1. Аномалии в трафике. Серверы и соединения, которые особенно конфиденциальны, имеют достаточно стабильный объем трафика. Если компания обнаруживает нетипичное увеличение объема такого трафика, то необходимо заняться проверкой данного трафика.

2. Несанкционированный доступ учетных записей. Учетные записи сотрудников и руководства компании имеют, как правило, четкую иерархию в соответствии с тем, к какому рода информации им разрешен доступ. Т.к. рядовые сотрудники обычно являются наиболее легкой точкой проникновения для злоумышленников, то если права доступа одной из учетных записей неожиданно расширились, то это может стать причиной риска для корпоративной ИБ.

3. Чрезмерное потребление и подозрительные файлы. Есои на предприятиии выявлен рост потребления памяти или использования жестких дисков на устройствах, то вполне веротяно, что кто-то к ним обращается неправомерно или происходит утечка данных. Дополнительно заслуживает внимания и такая ситуация, когда вы обнаружили подозрительный файл, который пытается оставаться скрытым в системе.

Как избежать новых инцидентов ИБ:

1. Контекстуализируйте опасность. Как показывает опрос Imperva, многие руководители по ИБ испытывают трудности с расстановкой приоритета уровня опасности при срабатывании системы оповещений. По этой причине компании необходимо иметь четкую иерархическую структуру для повышения эффективности своей системы управления рисками.

2. Исключите ложные срабатывания. Ложные срабатывания зачастую являются причиной того, что руководители ИБ позволяют себе игнорировать ряд новых оповещений. Таким образом, компаниям необходимо иметь соответствующие инструменты, которые позволят им избегать роста ложных срабатываний.

3. Современнные технологические решения. Специалистам по ИБ не требуется выделять слишком много рабочего времени для ручного обнаружения веротяных инцидентов. Скорее, они должны подкреплять свои усилия технологическими решениями, которые самостоятельно будут справляться с этой задачей.

В настоящее время доказано, что наличие традиционного антивируса уже недостаточно. Угрозы стали намного более сложными, чем ранее, и решение безопасности в компании также должно быть усилено. Это единственный способ, который позволит компаниям эффективно бороться с лавиной безфайловых атак или новых типов APT, которые стали очень изощренными.

4. Будьте кибер-устойчивы. Усталость или рост числа оповещений никогда не должны быть оправданиями для организации. Каждое предприятие должно быть кибер-устойчиво, а также быть в курсе новых методов атак, которые используют хакеры и злоумышленники.

Comments are closed, but trackbacks and pingbacks are open.