RuSEIM
Новости

RuSIEM задал половину трендов конференции Код ИБ

Москва, 09 июня 2022 года. — Паника – первый враг безопасности, которых и так слишком много, чтоб его игнорировать. Именно это проиллюстрировал в одном из недавних кейсов специалист по тестированию на проникновение компании RuSIEM Александр Герман в ходе конференции «Код ИБ. Безопасная среда. 10 ошибок при реагировании на инциденты».

Участники мероприятия отметили следующие типичные ошибки пострадавших от кибератак, о половине которых предупредил эксперт RuSIEM:
  • паника;
  • отсутствие регламента по реагированию на инциденты;
  • инстинктивная реакция, попытка все решить своими силами;
  • поспешное лечение симптомов без анализа причин;
  • установка обновлений;
  • низкая скорость реагирования;
  • неправильное выстраивание модели угроз и правил корреляции;
  • несогласованность действий ИТ- и ИБ-подразделений;
  • неправильные настройки СЗИ;
  • отсутствие знаний о бизнес-процессах/неполнота знаний о своей инфраструктуре.

«Первая ошибка – это паника. Это самая настоящая проблема, поскольку она усугубляет и без того сложную ситуацию. Что произошло у нашего заказчика: злоумышленники выложили в открытый доступ конфиденциальную информацию. Казалось бы, понятно: выложить файлы – не обязательно единственная цель. Почти всегда задача злоумышленников – посеять панику и подтолкнуть ИТ- и ИБ-службы к импульсивной и потому с вероятностью практически 100% – ошибочной реакции. Что и произошло», - рассказал эксперт.

В наборе «бей», «замри» или «беги» любая реакция – неправильная, потому что инстинктивная, считает Александр Герман, рассказывая об ошибке № 2. Чтобы в случае инцидента действовать максимально быстро и правильно, нужно заранее смоделировать алгоритм таких действий, зафиксировать его во внутреннем регламенте (не иметь его – ошибка № 3) и протестировать на киберучениях. Это позволит избежать еще одной ошибки (№ 4) – попытки устранить симптомы вместо причин проблемы. В результате попыток сотрудников заказчика обойтись поверхностными мерами исчезла информация о конфигурации и логах нескольких серверов компании.

Ошибка № 5 – это не устанавливать обновления. После того, как команда RuSIEM определила все-таки IP-адрес сервера, открылась до боли знакомая картина: ряд обновлений не был установлен, и информация об этом была в открытом доступе. Злоумышленники получили возможность пользоваться этим окном в течение долгого времени, методично проводя свои атаки.

«Это типичная атака, с которыми сталкиваются сейчас практически все российские организации. Целью злоумышленников было получить доступ к чувствительной информации компании, что им вполне удалось. Учитывая профиль ее деятельности, это наверняка было хорошим кейсом для других антироссийских хактивистов», - резюмирует эксперт.