Число уязвимых компьютеров выросло на 230%: что предпринять ИБ-аналитикам?

Число уязвимых компьютеров выросло на 230%: что предпринять ИБ-аналитикам?
0764834aff6bbea2ec41f5df059311bb.png


Пандемия сбавляет обороты, но говорить об ее завершении еще очень рано. При этом мы уже ощущаем последствия. И в той или иной мере они затронут все сферы жизни.

Так, в области ИБ значительно возросло количество публично доступных уязвимых систем. Эксперты компании DeviceLock оценивают рост в сети количества доступных по протоколу RDP уязвимых систем на базе ОС Windows на 230%. Количество обнаруживаемых в сети устройств составляет порядка 101 тысячи.

Этот тренд наблюдается на протяжении последних нескольких месяцев, поскольку  большинство компаний были не готовы к переходу на удаленную работу в масштабах всей организации и для всех ролей сотрудников. И если количество незащищенных ПК выросло по большей части за счет домашних пользователей, которые ранее активно не пользовались интернет-сервисами (а таких немного), то с корпоративным сектором ситуация сложнее. Зачастую администраторы ИТ вынуждены были в короткие сроки решать вопросы подключения сотрудников и не имели возможности организовать доступ к информационным системам гранулировано и безопасно. Поэтому появляются такие бреши в ИБ, как разрешение подключения по RDP протоколу к внутренним ресурсам извне и аналогичные ошибки безопасной конфигурации периметра предприятия, о которых ИБ-аналитикам компании могут и не сообщать для ускорения процесса.

Как могут ИБ-аналитики повышать для себя видимость деятельности ИТ-подразделений? Для этого существует несколько вариантов решений:
  • Использовать средства контроля и записи действий администраторов – PAM и PSM-системы. В некоторых из решений доступен механизм отслеживания применимых команд или настроек.
  • Мониторинг сетевых протоколов на разном уровне сети – на периметре, на внутреннем МЭ, на коммутационном оборудовании с помощью систем анализа трафика. Такой способ позволит обнаружить нелегитимное применение протоколов, в частности удаленного управления.
  • Использование SIEM-систем. Одним из сценариев мониторинга является отслеживание нелегитимных изменений конфигурации серверных ресурсов, несанкционированное и несогласованное изменение настроек информационных систем из-под учетной записи с административными правами. А в дальнейшем отслеживание нелегитимных подключений к серверным ресурсам по запрещенным политикой ИБ протоколам. В условиях аврала реализовать и качественно настроить свой SIEM крайне сложно. Поэтому в таких условиях особенно удобно использование сервиса MSSP SOC, подключение которого выполняется оперативно и качественно.
Angara Professional Assistance предлагает услугу MSSP SOC, которая имеет уже в базовом пакете подключения полный набор технологий, правил и политик мониторинга, фильтрации и корреляции событий. И помогает своим клиентам решить следующие проблемы:
  • выявление несанкционированных действий с защищаемой информацией,
  • непрерывное отслеживание информации о новых уязвимостях и угрозах ИБ,
  • быстрое выявление и анализ инцидентов и выявление слабых мест в системах защиты информации.
Благодаря реализации на собственной платформе на базе стека ELK, сервис ACRC (SOC) независим от политической обстановки, политик вендоров и курса валют.

Информацию о подключении сервиса, доступных пакетах услуг, а также сводные отчеты о работе сервиса можно увидеть в специальном разделе: https://www.angarapro.ru/acrc/ .

По остальным вопросам можно обратиться к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group