Rambler's Top100
Статьи ИКС № 3 2020
Анна МИХАЙЛОВА  08 мая 2020

Влияние режима удаленной работы на SOC

Подавляющее большинство организаций уже внедрили режим удаленной работы. И если сотрудники приспособились хорошо, то компании столкнулись со множеством трудностей – от организации контроля эффективности работы до обеспечения безопасности своих активов.

Данные нашего центра киберустойчивости ACRC свидетельствуют о значительном росте числа инцидентов информационной безопасности, половина из которых – заражение вредоносным ПО. Однако особое беспокойство вызывает тот факт, что ИБ-аналитики не адаптировались к новым обстоятельствам и состояние ИБ многих компаний фактически выпущено из-под контроля.

Отслеживание событий в условиях изменившейся информационной среды должно быть оперативным и качественным. Центр мониторинга инцидентов ИБ (Security Operations Centre, SOC) любой компании должен оперативно подстроиться под новые обстоятельства, внести необходимые коррективы в правила корреляции, поднять приоритет для действительно важных событий.

Для обеспечения эффективной работы ИБ-аналитиков рекомендуем обратить внимание на следующие факторы:
  1. Размылись границы рабочего дня. Многие корреляционные методики отталкиваются от офисного режима работы с различным дневным и ночным почерком активности, который в режиме удаленной работы значительно поменялся. Так, согласно аналитике ACRC, сотрудники начинают работу около 9:00, при этом активность спадает только ближе к 22:00.
  2. Изменения конфигурации оборудования и установка средств удаленного администрирования на ПК пользователей стали производиться намного чаще. В период обкатки режима удаленной работы эти события малоинформативны, но имеет смысл обратить на них пристальное внимание спустя приблизительно месяц тестовой эксплуатации.
  3. Сильно выросла активность вредоносного ПО, включая довольно старые его образцы. С учетом использования домашних ПК и домашних сетей этого следовало ожидать. Важно не допустить распространения вредоносного ПО внутри сети на корпоративные и пользовательские ресурсы и особенно аккуратно отрабатывать инциденты потенциальных вирусных атак.
  4. Действие дополнительных факторов защиты компаний от утечек, таких как внутренний сетевой периметр, запрет на подключение внешних устройств, использование личной электронной почты на ПК пользователя, в режиме удаленной работы может быть ослаблено. Поэтому инцидентам DLP-систем необходимо присвоить высокий приоритет.
Рекомендуется тщательно отслеживать изменения целостности конфигураций серверных компонентов: контролировать установку нелегитимного ПО на них, подключение по нелегитимным протоколам, особенно использующимся для объемной выгрузки данных (SMB, FTP) и т.д. Крайне важен мониторинг запросов в базы данных во избежание массовых утечек информации.

Анна Михайлова, системный архитектор, группа компаний Angara
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!