Мониторинг информационной безопасности

ПРЕДПОСЫЛКИ

В связи с развитием информационных технологий, появлением искусственного интеллекта и нестабильной ситуацией на международной арене несложно спрогнозировать, что рост компьютерных угроз, связанных с несанкционированным доступом, распространением вредоносного ПО, хищением информации и распространением ее в глобальной сети интернет будет пропорционально увеличиваться. Повсеместные утечки персональных данных, в том числе из известных компаний, вирусы-шифровальщики, DDOS-атаки на СМИ и популярные веб-сервисы – это лишь вершина айсберга, основная масса инцидентов остается скрытой от общественности.

Государство также озаботилось ростом негативных тенденций в сфере информационной безопасности. Так, 1 мая 2022 года был подписан Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», в котором была установлена индивидуальная ответственность руководства компаний за обеспечение информационной безопасности. Помимо этого, уже достаточно давно существуют законы о защите персональных данных и критической информационной инфраструктуре Российской Федерации.

В настоящее время можно выделить несколько основных факторов, которые влияют на незаконное проникновение в информационные системы:

1. Уязвимости в программном обеспечении, операционных системах или устройствах, которые позволяют получить несанкционированный доступ к системе.
2. Методы социальной инженерии, с помощью которых хакеры пытаются обмануть пользователей и получить доступ к их учетным записям.
3. Недостатки в безопасности сетей, веб-сайтов и приложений, из-за которых злоумышленники могут проникнуть в систему, нарушить ее целостность, украсть чувствительную информацию.

ЧТО ЭТО И ЗАЧЕМ?

Помочь предприятиям и организациям в реальном времени оценить безопасность данных, выявить следы нарушения или взлома в информационной инфраструктуре и, конечно, предотвратить негативные последствия в виде финансовых, репутационных и других потерь помогут услуги по мониторингу информационной безопасности.

Мониторинг информационной безопасности – это процесс непрерывного наблюдения за состоянием системы информационной безопасности организации с целью выявления угроз, уязвимостей и атак на информационные ресурсы. Услуги по мониторингу ИБ необходимы компаниям и организациям всех масштабов и направлений деятельности, в том числе банкам, страховым компаниям, медицинским учреждениям, государственным учреждениям, IT-компаниям и другим организациям, которые хранят и обрабатывают конфиденциальную информацию, в том числе персональные данные.

Мониторинг нужен для предотвращения утечек данных, вирусных/хакерских атак (особенно, таргетированных, то есть направленных на конкретную организацию) и других сложных угроз.

Говоря простыми словами, специалисты специализированной компании, имеющей лицензию ФСТЭК на мониторинг ИБ, постоянно, в режиме 24/7, следят за событиями информационной безопасности, происходящими в сети Заказчика и информируют о них ответственных лиц, а также опционально занимаются реагированием и ликвидацией последствий подобных инцидентов.

Для субъектов критической информационной структуры Российской Федерации уже законодательно предусмотрена отправка информации об инцидентах в ГосСОПКа. ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Данная услуга также может быть включена в мониторинг ИБ.  При этом Корпоративный центр ГосСОПКА автоматизирует выявление инцидентов, реагирование на них и взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), что значительно снижает трудозатраты Заказчика.

ОПИСАНИЕ И СОСТАВ УСЛУГИ

Мониторинг событий и реагирование на инциденты информационной безопасности в инфраструктуре Заказчика проводится с помощью современных, высокотехнологичных ИТ-решений класса XDR, IDS, IPS, SIEM и включают в себя следующую последовательность услуг:

1. Проектирование технических решений для оказания услуг по мониторингу ИБ, наилучшим образом подходящих для конкретной инфраструктуры заказчика, а также отвечающих его финансовым возможностям.

2. Настройка средств мониторинга, адаптация под проект Заказчика. На данном этапе производится настройка технических средств мониторинга ИБ с учетом особенностей проекта и запросов Заказчика, а также перенаправление копии сетевого трафика на технические средства Центра мониторинга.
3. Заведение в настроенную систему мониторинга источников событий (технических средств Заказчика, с которых поступает информация на специализированное ПО Центра мониторинга). Это могут быть межсетевые экраны, средства обнаружения вторжений, маршрутизаторы и прочие сетевые устройства, а также операционные системы и специализированное ПО.
4. Сбор информации о компьютерных инцидентах в режиме 24/7.
5. Обучение персонала Заказчика, а том числе путем проведения кибер-учений с имитацией реальных атак.
6. Непосредственно анализ зарегистрированных событий, связанных с обеспечением безопасности, в том числе с использованием элементов искусственного интеллекта, их корреляция, ранжирование по степени риска и, конечно, реагирование на те из них, которые являются по тем или иным признакам критическими.

Все это в совокупности позволит вовремя засечь подозрительную активность и превентивно принять меры (например, изолировать хост, подвергнувшийся атаке), пока вектор атаки не распространился по всему предприятию.

ЗАКЛЮЧЕНИЕ

Таким образом, мониторинг информационной безопасности помогает обеспечить превентивную защиту информации, сохранить ее конфиденциальность, целостность и доступность, а также минимизировать (или свести на нет) возможные убытки в случае инцидентов безопасности. Дополнительно следует отметить, что подобная услуга значительно снижает нагрузку на ИБ-службу Заказчика и может помочь сэкономить на найме высококвалифицированных специалистов.

Будем рады помочь организациям выстроить надежную систему защиты информации и готовы в любое время ответить на все интересующие вопросы.

Николай Сеничев, КРЕДО-С