я могу разное
Каждый день, каждый час, всю жизнь работай над собой
Александр Менщиков
Все записи
текст

Ты не пройдешь!

Сегодня никого уже не удивить взломом сайта или успешной кибератакой на очередную компанию. Даже такие гиганты, как Adobe, eBay или Yahoo, не всегда справлялись с защитой, и в сеть утекали огромные базы персональных данных их пользователей. Как предотвратить «протечку» во времена, когда все сферы жизни подверглись цифровизации?
Ты не пройдешь!
Центр управления рисками безопасности британской частной военной компании G4S, securitymagazine.com

Текст: Александр Менщиков

IT-инфраструктура крупной компании постоянно развивается и становится настолько сложной, что нельзя быть уверенным в безопасности каждого ее компонента. Только представьте – нужно поддерживать сеть из тысячи серверов в нескольких дата-центрах, а еще 10 тыс. рабочих мест сотрудников с разным программным обеспечением и правами доступа. Если к этой картине добавить сетевое оборудование, текучку кадров, постоянные обновления ПО, то система может стать совсем неуправляемой. В такой огромной структуре очень легко пропустить крохотную уязвимость, которая обернется гигантской проблемой для организации. Злоумышленникам достаточно один раз найти точку входа в сеть компании, чтобы нанести ущерб. Поэтому ее владельцам нужно постоянно быть на страже.

Так придумали SOC (Security Operations Center) – операционный центр безопасности. В крупных компаниях это отдельное подразделение с большим штатом «технарей»: аналитики информационной безопасности, системные администраторы и разработчики. В небольших компаниях, когда объем данных маленький, мониторинг – задача двух-трех администраторов.

Сотрудники SOC – бойцы информационного фронта. Они непрерывно мониторят структуру, реагируют на выявленные атаки и думают, как улучшить систему защиты компании. На что эти бойцы должны обращать внимание? На разные важные мелочи. Например, если кто-то из организации 25 раз ввел неправильный пароль, это может быть попыткой перебора паролей извне (а может и нет). Если один сотрудник отправляет другому подозрительный файл (EXE) по электронной почте, это тоже необычно, поскольку с таким расширением часто пересылают только вирусы. Обновление операционной системы на планшете руководителя компании среди ночи – тоже стоит проверить. Сейчас разработанные системы умеют автоматически выявлять подозрительные действия в сети компании при помощи машинного обучения. Но их все объединяет одна глобальная проблема – ложные срабатывания.

В крупной организации с тысячами серверов подобные системы генерируют миллионы оповещений. Согласно отчету IT-компании Imperva, почти треть изученных SOC’ов ежедневно получают более миллиона оповещений о потенциальных угрозах. Возникает вопрос, что делать со всеми этими оповещениями – ведь не весь же миллион реально несет в себе угрозу? Блокировать источники? Тогда можно мгновенно парализовать работу компании. Настраивать системы так, чтобы выявлять только серьезные нарушения? Тогда есть риск пропустить множество незаметных атак.

Единственный выход – разбирать все вручную и делать это 24/7/365. Чтобы хоть немного упростить этот рутинный труд, обычно организуют иерархическую структуру. На первом уровне находятся аналитики, которые получают основной объем оповещений. Они должны максимально быстро принять решение о важности оповещения и либо отклонить его, либо перенаправить на следующий уровень. На это у них есть от 5 до 10 минут, и если не уложиться в срок, оно автоматически уйдет на уровень выше.

Там, на втором уровне, работают специалисты, которые изучают, в каком месте системы произошла ошибка, и устраняют ее. В крупных компаниях для каждой проблемы прописан алгоритм действий по их устранению. Если его нет, специалист перенаправляет проблему на уровень выше.

Третий уровень принадлежит профессионалам, которые разбираются в инфраструктуре компании и имеют доступ к ее оборудованию, чтобы устранить проблему. Иногда выделяют четвертый уровень, на котором находится руководство операционного центра, принимающее решения в случае кризисов и несущее ответственность за безопасность в целом.

Кроме аналитиков, разбирающих оповещения, в SOC работают специалисты, которые эти системы безопасности настраивают и интегрируют. Например, если в компании разработано новое мобильное приложение (скажем, мобильный банк), то нужно настроить отправку оповещений с серверов, обслуживающих такое приложение. А еще приходится поддерживать сами системы мониторинга и обновлять их настройки – например, увеличить порог срабатывания, если систему завалило ложными сообщениями.

Порог срабатывания – это минимальный процент уверенности системы защиты, начиная с которого она бьет тревогу. Так, каждое событие оценивается по шкале от 0 до 100 % в зависимости от количества признаков, косвенно свидетельствующих о нарушении безопасности. Если мы выставим порог в 10 %, то множество событий, в которых система зафиксировала небольшие отклонения от нормы, будут признаны нарушениями. Если выставить порог в 95 % – есть риск пропустить нарушения, в которых система не так уверена, но их бы не мешало проверить специалисту.

Зачем нужна эта сложная структура? Чтобы защитить нас с вами. Никто не хочет, чтобы его данные оказались в открытом доступе и попали в руки мошенников или спамеров. Кому из нас не звонили «сотрудники банка» со странных номеров, предлагающие услуги? Все это – злоумышленники, которые получили доступ к нашим телефонам, возможно, «благодаря» утечке из компании. Паспортные данные тоже могут попасть в сеть, а оттуда и до «левых» кредитов на ваше имя недалеко. Так что крупные компании всегда во всеоружии, иначе их репутация пошатнется. Никто не отменял и финансовые риски – из-за уязвимости могут утечь различные наработки, коммерческая информация, данные о сотрудниках, их зарплатах и отпусках.

Недавно, в 2021 году в открытом доступе оказались персональные данные полумиллиарда пользователей Facebook: номера телефонов, имена и прочее. По итогам подобной утечки в 2019 году компания уже была оштрафована на крупную сумму, а Марк Цукерберг даже давал показания в конгрессе США. Единственный способ избежать таких последствий – предотвратить атаку. Этим целям и служит SOC. Чтобы подвести итог, достаточно сказать одно: инвестируйте в безопасность. Не существует волшебных программ, способных защитить от любых угроз.


Технологии

Машины и Механизмы
Всего 0 комментариев
Комментарии

Рекомендуем

OK OK OK OK OK OK OK