Автор: Александр Дорофеев, ССК, CISSP, CISA, CISM, АО “Эшелон Технологии”
Давайте разберем, какие признаки компрометации учетной записи стоит отслеживать, как использовать обманные объекты и как даже небольшая организация может выстроить эффективный мониторинг с помощью KOMRAD Enterprise SIEM 4.5.
В описаниях ландшафта киберугроз, актуальных для российских организаций, в топ-3 методов первоначального проникновения в инфраструктуру входит использование легитимных учетных записей.
Для того чтобы вычислить злоумышленника, действующего от лица сотрудника, важно понимать, какие события сигнализируют о проблеме. В список наиболее вероятных можно включить следующие:
Эффективным способом раннего выявления злоумышленников также является отслеживание обращений к внедренным заранее приманкам. Наиболее простые и популярные варианты:
Обращение к таким объектам фиксируется SIEM и становится красным флагом для ИБ-специалистов.
Если SIEM отсутствует, организация зачастую узнает о факте атаки из телеграм-каналов или от клиентов, чьи данные утекли. При этом злоумышленники обычно успевают зачистить следы.
Даже базовое внедрение SIEM для мониторинга описанных выше событий позволяет:
Многие компании малого и среднего бизнеса все еще считают SIEM недоступной технологией из-за ограничений в вычислительных и людских ресурсах, а также стоимости. Но с выходом KOMRAD Enterprise SIEM 4.5 эти барьеры перестают существовать. Развертывание системы занимает всего пять минут и не требует дорогостоящего железа. Поддержка российских операционных систем – Astra Linux, РЕД ОС, "Альт СП", а также Windows (через WSL) – позволяет интегрировать решение в привычную ИТ-среду.
Система собирает и нормализует события практически с любых источников, что избавляет специалистов от рутины и экономит время. Уведомления о важных инцидентах приходят туда, где их действительно заметят, – по email или в Telegram.
В случае ограничения ресурсов, как правило, отсутствуют ИБ-специалисты, которые могут за мониторами следить за ИБ в режиме 24/7. Поэтому мы рекомендуем настроить систему так, чтобы алерты приходили ответственному лицу только в случае самых критичных ситуаций (очистка журналов, доступ к обманным объектам и т. п.). Для событий, по которым потенциально будет большое количество ложных срабатываний, необходимо выработать практику периодической работы с KOMRAD Enterprise SIEM в режиме поиска угроз (Threat Hunting). Для этого используются фильтры событий и поисковые запросы.
Любой может самостоятельно попробовать KOMRAD Enterprise SIEM 4.5, загрузив демо-версию с нашего корпоративного сайта [1]. Минимальные рекомендуемые требования CPU: 2 ядра, ОЗУ: 8 Гбайт, SSD: 100 Гбайт. Ожидаемые EPS при выполнении данных требований: от 500 до 5 тыс. в зависимости от количества включенных директив корреляции. Доступны бесплатные пакеты экспертизы (Windows, Linux – auditd).
Злоумышленник, использующий легитимные учетные данные, – один из самых опасных противников. Но грамотный мониторинг с помощью SIEM, использование обманных объектов и автоматизация алертов позволят заметить его на ранней стадии атаки. Сегодня даже небольшие компании могут выстроить этот уровень защиты.
KOMRAD Enterprise SIEM 4.5 – это способ внедрить такой подход быстро и без лишних затрат.
Реклама: АО «НПО «Эшелон». ИНН 7718676447. Erid: 2SDnjcYpLYo