Пандемия сбавляет обороты, но говорить об ее завершении еще очень рано. При этом мы уже ощущаем последствия. И в той или иной мере они затронут все сферы жизни.
Так, в области ИБ значительно возросло количество публично доступных уязвимых систем. Эксперты компании DeviceLock оценивают рост в сети количества доступных по протоколу RDP уязвимых систем на базе ОС Windows на 230%. Количество обнаруживаемых в сети устройств составляет порядка 101 тысячи.
Этот тренд наблюдается на протяжении последних нескольких месяцев, поскольку большинство компаний были не готовы к переходу на удаленную работу в масштабах всей организации и для всех ролей сотрудников. И если количество незащищенных ПК выросло по большей части за счет домашних пользователей, которые ранее активно не пользовались интернет-сервисами (а таких немного), то с корпоративным сектором ситуация сложнее. Зачастую администраторы ИТ вынуждены были в короткие сроки решать вопросы подключения сотрудников и не имели возможности организовать доступ к информационным системам гранулировано и безопасно. Поэтому появляются такие бреши в ИБ, как разрешение подключения по RDP протоколу к внутренним ресурсам извне и аналогичные ошибки безопасной конфигурации периметра предприятия, о которых ИБ-аналитикам компании могут и не сообщать для ускорения процесса.
Как могут ИБ-аналитики повышать для себя видимость деятельности ИТ-подразделений? Для этого существует несколько вариантов решений:
- Использовать средства контроля и записи действий администраторов – PAM и PSM-системы. В некоторых из решений доступен механизм отслеживания применимых команд или настроек.
- Мониторинг сетевых протоколов на разном уровне сети – на периметре, на внутреннем МЭ, на коммутационном оборудовании с помощью систем анализа трафика. Такой способ позволит обнаружить нелегитимное применение протоколов, в частности удаленного управления.
- Использование SIEM-систем. Одним из сценариев мониторинга является отслеживание нелегитимных изменений конфигурации серверных ресурсов, несанкционированное и несогласованное изменение настроек информационных систем из-под учетной записи с административными правами. А в дальнейшем отслеживание нелегитимных подключений к серверным ресурсам по запрещенным политикой ИБ протоколам. В условиях аврала реализовать и качественно настроить свой SIEM крайне сложно. Поэтому в таких условиях особенно удобно использование сервиса MSSP SOC, подключение которого выполняется оперативно и качественно.
Angara Professional Assistance предлагает услугу MSSP SOC, которая имеет уже в базовом пакете подключения полный набор технологий, правил и политик мониторинга, фильтрации и корреляции событий. И помогает своим клиентам решить следующие проблемы:
- выявление несанкционированных действий с защищаемой информацией,
- непрерывное отслеживание информации о новых уязвимостях и угрозах ИБ,
- быстрое выявление и анализ инцидентов и выявление слабых мест в системах защиты информации.
Благодаря реализации на собственной платформе на базе стека ELK, сервис ACRC (SOC) независим от политической обстановки, политик вендоров и курса валют.
Информацию о подключении сервиса, доступных пакетах услуг, а также сводные отчеты о работе сервиса можно увидеть в специальном разделе:.
По остальным вопросам можно обратиться к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.
