Перейти к содержанию

SIEM и EDR для российского среднего бизнеса | Блог Касперского


Рекомендуемые сообщения

Компании среднего размера привлекательны для злоумышленников: их масштаб деятельности уже позволяет хорошо нажиться, например, при проведении атак шифровальщиков-вымогателей (ransomware). С одной стороны — организация способна заплатить заметный выкуп. С другой, подход к информационной безопасности у такой организации часто остается старым, со времен, когда бизнес был еще небольшим. Злоумышленники могут разработать тактику обхода имеющейся базовой защиты и скомпрометировать сеть, не встретив особого противодействия.

Ущерб от подобных инцидентов в среднем составляет миллионы рублей. Нельзя забывать и про регуляторный аспект — число ведомств и законодательных актов, требующих от российской компании соблюдать регламенты кибербезопасности, постоянно растет. Бизнес эти угрозы часто понимает и готов выделить отделу информационной безопасности дополнительные ресурсы. Но как выстроить защиту следующего уровня на предприятии без чрезмерных затрат? Небольшой спойлер — ключевым элементом станет развертывание SIEM-системы, адаптированной под нужды и возможности компаний именно среднего размера.

Эшелонированная защита среднего бизнеса

Долгосрочной целью компании будет построение эшелонированной защиты, в которой различные инструменты и меры дополняют друг друга, значительно усложняя атаку на компанию и сужая возможности атакующих. Почти наверняка в компании численностью 250–1000 человек уже есть базовые инструменты и первый слой этой защиты: ограничение доступа к IT-ресурсам при помощи аутентификации и авторизации пользователей, защита конечных точек (в народе «антивирус») и серверов, в том числе почтового сервера, а также межсетевой экран.

Следующая задача — дополнить (не заменить!) этот арсенал более продвинутыми инструментами кибербезопасности:

  • системой комплексного мониторинга и сопоставления событий ИБ из различных источников данных (компьютеры, серверы, приложения) в режиме реального времени в рамках всей инфраструктуры — это и есть SIEM;
  • инструментами получения расширенной информации о возможных инцидентах или просто подозрительной активности и аномалиях;
  • средствами реагирования на инциденты, позволяющими оперативно проводить разнообразные действия, — от расследования инцидентов согласно требованиям регуляторов до изоляции скомпрометированных хостов и учетных записей, устранения уязвимостей и тому подобное.

В некоторых отраслях эти действия явно регламентированы регуляторами.

Внедрение таких инструментов дает защитникам совершенно новые возможности. Системы мониторинга событий информационной безопасности позволят детектировать действия атакующих, выполняемые без вредоносного ПО, обнаруживать не только подозрительные объекты, но и подозрительное поведение, визуализировать и приоритизировать события в инфраструктуре. При этом грамотное внедрение SIEM может не повысить, а снизить нагрузку на отдел ИБ.

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      В какой-то момент ИБ-департамент крупной компании неизбежно задумывается о внедрении или замене SIEM-системы и сталкивается с задачей оценки бюджета, необходимого для ее внедрения. Но SIEM — это не легковесный продукт, который можно развернуть в имеющейся инфраструктуре. Практически все решения этого класса требуют дополнительного оборудования, так что для их работы придется приобретать аппаратное обеспечение (или арендовать его).
      Поэтому для расчетов бюджета необходимо представлять себе предполагаемую конфигурацию оборудования. В этом посте мы попробуем рассказать о том, как архитектура SIEM влияет на требования к аппаратной составляющей, а также предоставим примерные параметры, на которые стоит ориентироваться, чтобы определить предварительную стоимость необходимого оборудования.
      Оценка потока информации
      По своей сути SIEM-система собирает данные о событиях с источников и на основании корреляции этих данных выявляет угрозы для безопасности. Поэтому, прежде чем прикидывать, какое железо необходимо для работы системы, стоит оценить, а какой, собственно, объем информации эта система будет обрабатывать и хранить. Для того чтобы понять, какие источники потребуются, следует выделить наиболее критичные риски и определить источники данных, анализ которых поможет в выявлении и анализе угроз, связанных с этими рисками. Такая оценка нужна не только для расчета необходимого аппаратного обеспечения, но и для оценки стоимости лицензии. Например, стоимость лицензии на нашу систему KUMA (Kaspersky Unified Monitoring and Analysis Platform) напрямую зависит от количества событий в секунду (Events Per Second, EPS). И еще один важный аспект — при выборе SIEM-системы важно проверить, как именно вендор считает количество событий для лицензирования. Мы, например, учитываем количество EPS после фильтрации и агрегации, причем мы считаем среднее количество событий за последние 24 часа, а не их пиковые значения, но так поступают далеко не все.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      В ходе атак на инфраструктуру различных компаний злоумышленники все чаще прибегают к манипуляции с модулями, взаимодействующими с процессом Local Security Authority (LSA). Это позволяет им получать доступ к учетным данным пользователей и закрепиться в системе, повысить свои привилегии или развить атаку на другие системы атакуемой компании. Поэтому при подготовке очередного ежеквартального обновления для нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform мы добавили правила, служащие для детектирования таких попыток. По классификации MITRE ATT&CK, новые правила позволяют выявлять техники T1547.002, T1547.005 и T1556.002.
      В чем суть техник T1547.002, T1547.005 и T1556.002?
      Оба вышеупомянутых варианта техники T1547 подразумевают загрузку процессом LSA вредоносных модулей. Подтехника 002 описывает добавление вредоносных DLL-библиотек с пакетами проверки подлинности Windows (Windows Authentication Packages), а подтехника 005 — библиотек с пакетами поставщиков безопасности (Security Support Providers). Загрузка этих модулей позволяет злоумышленникам получить доступ к памяти процесса LSA, то есть к критическим данным, таким как учетные данные пользователей.
      Техника T1556.002 описывает сценарий, когда атакующий регистрирует в системе вредоносные DLL-библиотеки фильтров паролей (Password Filter), которые по сути являются механизмом, принуждающим к исполнению парольных политик. Когда легитимный пользователь меняет пароль или же устанавливает новый, процесс LSA сверяет его со всеми зарегистрированными фильтрами, при этом он вынужден передавать фильтрам пароли в открытом, нешифрованном виде. То есть если злоумышленнику удается внедрить в систему свой вредоносный фильтр паролей, то он сможет собирать пароли при каждом запросе.
      Все три техники подразумевают подкладывание вредоносных библиотек в директорию C:Windows\system32, а также их регистрацию в ветке системного реестра SYSTEM\CurrentControlSet\Control\LSA\ с ключами Authentication Packages для T1547.002, Security Packages для T1547.005 и Notification Packages для T1556.002.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      За последние несколько лет приложения практически всех российских банков исчезли из магазина App Store. Нет, сами приложения в порядке: получают обновления, новые фичи, ими по-прежнему можно пользоваться. Проблемы только с установкой: теперь поставить приложения отечественных банков на смартфон зачастую можно только с помощью специалистов этих самых банков.
      Свято место пусто не бывает, и в App Store завелись мошеннические приложения онлайн-банкинга. Только в ноябре 2024 года наши эксперты обнаружили несколько поддельных приложений, которые якобы позволяют клиентам в России вновь пользоваться услугами онлайн-банкинга. На момент публикации эти приложения уже были удалены из App Store, но мошенники легко могут выпустить новые аналогичные аппы. Как работают приложения-подделки и как их распознать — читайте в этом материале.
      App Store — не панацея от вредоносных приложений
      Официальный магазин приложений Apple принято считать практически неуязвимым. В отличие от Google Play, в него якобы не могут просочиться ни фальшивые приложения, ни вредоносное ПО. Это заблуждение: на самом деле в App Store пользователей подстерегают точно такие же опасности, как и в других магазинах. Да, возможно, в магазине Apple этих опасностей меньше, но они все еще есть. Так, в конце 2023 года мы посвятили большой пост теме фейковых инвестиционных приложений в App Store — прочитать его можно по ссылке, да и раньше не раз писали про поддельные приложения в App Store.
      Как мошенники просачиваются в официальный и, казалось бы, защищенный магазин? Известны как минимум два способа:
      Скамеры создают приложения-подделки с платными функциями. Иконка, название, интерфейс и даже тексты могут быть практически такими же, как в оригинальном приложении. Единственное исключение — наличие какой-либо платной функции. Например, в случае с банковскими приложениями мошенники предлагают заплатить за доступ к личному кабинету — от 299 до 999 рублей в зависимости от периода подписки. После того как жертва заплатит, в приложении откроется легитимная страница для входа в личный кабинет веб-версии банка, доступ к которой на самом деле совершенно бесплатный. Мошенники подменяют контент в приложении после прохождения модерации Apple. Абсолютно каждое приложение в App Store, равно как и в других популярных магазинах приложений, должно пройти внутреннюю модерацию. Скамеры научились обходить эту проверку, предположительно, так: на этапе модерации в приложении отображается безобидный легитимный контент, а после одобрения приложения происходит подмена. Такой трюк возможен благодаря тому, что подобные приложения подгружают контент из Интернета как обычные HTML-страницы, и ничего не мешает скамерам отредактировать эти страницы уже после прохождения модерации. Архитектура iOS выстроена таким образом, что все приложения в ней изолированы от системы и пользовательских данных. По этой причине антивирус в традиционном его виде попросту нельзя создать — доступа к другим приложениям и их контенту он не получит. Зато можно заблокировать переход по фишинговым страницам вместе с Kaspersky для iOS — наше решение не даст вам открыть опасную страницу, фишинговый контент из поддельного приложения не загрузится, вместо него вы увидите соответствующее предупреждение защитного приложения.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Чем раньше действия злоумышленников попадут в сферу внимания защитных решений и экспертов, тем эффективнее получится минимизировать, а то и вовсе предотвратить ущерб. Поэтому, работая над новыми правилами детектирования для нашей SIEM-системы KUMA (Kaspersky Unified Monitoring and Analysis Platform), мы уделяем особое внимание выявлению активности хакеров на самом начальном этапе атаки — то есть на этапе сбора информации о защищаемой инфраструктуре. То есть к действиям, относящимся к тактике Discovery по классификации Enterprise Matrix MITRE ATT&CK Knowledge Base.
      В последнее время все чаще внимание атакующих привлекает инфраструктура контейнеризации, в которой нередко находят достаточно опасные уязвимости. Например, в нашем майском отчете об эксплойтах и уязвимостях описывается уязвимость CVE-2024-21626, эксплуатация которой позволяет совершить побег из контейнера. Поэтому в обновлении KUMA SIEM за третий квартал 2024 года среди правил для выявления нетипичного поведения, которое может свидетельствовать об активности злоумышленников на этапе первичного сбора данных, мы добавили правила детектирования, которые ловят попытки сбора данных об используемой инфраструктуре контейнеризации, а также следы различных попыток манипуляций с самой системой контейнеризации.
      Сделано это было с помощью детектирующих правил R231, R433 и R434, которые уже доступны пользователям KUMA SIEM через систему обновления правил. В частности, они служат для детектирования и корреляции следующих событий:
      доступ к учетным данным внутри контейнера; запуск контейнера на неконтейнерной системе; запуск контейнера с избыточными правами; запуск контейнера с доступом к ресурсам хоста; сбор информации о контейнерах с помощью стандартных инструментов; поиск слабых мест в контейнерах с помощью стандартных инструментов; поиск уязвимостей безопасности в контейнерах с помощью специальных утилит. С учетом вышеописанного обновления сейчас на платформе доступно более 659 правил, из них 525 правил с непосредственно детектирующей логикой.
      Мы продолжаем ориентироваться на Enterprise Matrix MITRE ATT&CK Knowledge Base, которая сегодня включает в себя 201 технику, 424 подтехники и тысячи процедур. На данный момент наше решение покрывает 344 техники и подтехники MITRE ATT&CK.
      Кроме того, мы доработали множество старых правил путем исправления или корректировки условий, например, для снижения количества ложных срабатываний (false-positives).
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      До Нового года и Рождества остаются считаные дни, а перегруженные службы доставки могут опоздать и не привезти нужные подарки вовремя. Конечно, тем, кому вы еще не купили подарок, можно преподнести цифровой подарочный сертификат или подписку. Но придумать интересный и полезный вариант подписки тоже нелегко, ведь уже почти все желающие обзавелись «Яндекс.Плюсом», «VK Музыкой» и аналогами, а дарить Telegram Premium уже даже как-то неудобно.
      Выход есть! Мы предлагаем подарить один из сервисов, который день за днем будет повышать уровень конфиденциальности получателя подарка. Ведь позаботиться о приватности хотят многие, но мало у кого хватает времени и сил сделать для этого необходимые шаги, и такой подарок станет одновременно необычным — и полезным.
      За редким исключением, сервисы, акцентирующие приватность, — платные. Ведь за серверы, хранящие данные, и разработку устойчивого к взлому софта нужно платить. А если не брать с подписчиков денег, то придется продавать информацию о них рекламодателям, как это делают Google и Meta*. Поэтому годовая подписка на сервис, повышающий приватность, может стать ценным подарком и в денежном выражении.
      С нашими рекомендациями получатель подарка сможет избавиться от небезопасных офисных приложений, сервисов заметок и мессенджеров, которые пользуются хранящейся информацией не по назначению, заменив их на приватные альтернативы.
      Но перед покупкой обдумайте два неоднозначных момента.
      Во-первых, сервисы, где важна коммуникация с людьми или совместная работа, бессмысленно дарить одному человеку — так, от зашифрованного мессенджера нет толку, если в нем нет хотя бы нескольких друзей. Возможно, такой подарок нужно сделать целой команде?
      Во-вторых, удобство и функциональность приватных инструментов иногда уступают «общепринятым» аналогам, не столь уважающим конфиденциальность. Насколько это критично — зависит от нужд и привычек одариваемого.
      Сделав эти оговорки, давайте посмотрим, какие качественные приватные альтернативы популярным сервисам достойны стать рождественским или новогодним подарком.
      Офисные приложения
      Личные дневники, черновики научных работ и финансовые расчеты все сложней уберечь от посторонних глаз. Сервисы типа Google Docs всегда были полностью онлайновыми, что порождало как проблемы утечек, так и споры о том, как Google обрабатывает хранящиеся там данные. Microsoft в последние годы стремится наверстать упущенное, включая даже в офлайновый Office целый набор спорных функций: автосохранение в OneDrive, «необязательные сетевые функции«, «функции LinkedIn». Само по себе хранение данных в облаке, возможно, не вызывало бы особой тревоги, если бы не опасения, что документы будут использовать для таргетинга рекламы, тренировки ИИ или еще каких-то посторонних целей.
       
      View the full article
×
×
  • Создать...