Новости науки "Русского переплета"
TopList Яндекс цитирования
Русский переплет
Портал | Содержание | О нас | Авторам | Новости | Первая десятка | Дискуссионный клуб | Чат Научный форум
Первая десятка "Русского переплета"
Темы дня:

Мир собирается объявить бесполётную зону в нашей Vselennoy! | Президенту Путину о создании Института Истории Русского Народа. |Нас посетило 40 млн. человек | Чем занимались русские 4000 лет назад? | Кому давать гранты или сколько в России молодых ученых?


Rambler's Top100
Портал | Содержание | О нас | Пишите | Новости | Книжная лавка | Голосование | Топ-лист | Регистрация | Дискуссия
Лучшие молодые
ученые России

Подписаться на новости

АВТОРСКИЕ НАУЧНЫЕ ОБОЗРЕНИЯ

"Физические явления на небесах" | "Terra & Comp" (Геология и компьютеры) | "Неизбежность странного микромира"| "Научно-популярное ревю"| "Биология и жизнь" | Теорфизика для малышей
Семинары - Конференции - Симпозиумы - Конкурсы

НАУКА В "РУССКОМ ПЕРЕПЛЕТЕ"
Проект поддержан Международной Соросовской Программой образования в области точных наук.
Новости из мира науки и техники
The Best of Russian Science and Technology
Страницу курирует проф. В.М.Липунов
"Русский переплет" зарегистрирован как СМИ. Свидетельство о регистрации в Министерстве печати РФ: Эл. #77-4362 от
5 февраля 2001 года. При полном или частичном использовании
материалов ссылка на www.pereplet.ru обязательна.

Тип запроса: "И" "Или"

27.01.2015
13:21

Круговая оборона: реагируем на инциденты в области информационной безопасности

    Ежегодный отчет Cisco по информационной безопасности комментирует Стивен Рэнсом-Джонс (Steven Ransom-Jones), ведущий специалист по технологиям ИБ компании Neohapsis

    В выпущенном на днях очередном ежегодном отчете Cisco по информационной безопасности упоминаются многие хитроумные методы маскировки, которые злоумышленники постоянно изобретают и оттачивают. Зачастую при этом используются уязвимости защитных программ. И все чаще проникнуть в информационные среды и незаметно заразить компьютеры нарушителям невольно помогают сами пользователи и ИТ-службы.

    Учитывая столь сложный и динамичный ландшафт угроз, организациям необходим полноценный, гибкий процесс реагирования на инциденты. Приведу примеры (из упомянутого отчета Cisco по ИБ) того, как злоумышленники проникают в сети. В 2014 г. объем спама вырос на 250 %. Активизировался трудно поддающийся обнаружению «спам на снегоступах», когда с огромного числа IP-адресов отправляются небольшие порции нежелательных сообщений. Кроме того, спам стал опаснее: он часто содержит фишинговые ссылки, а иногда и информацию личного характера, из-за чего даже опытные пользователи могут не заподозрить подвоха. Так, недавно исследователи Cisco наблюдали некоторое количество целевых фишинговых писем, которые имитировали корреспонденцию от одной крупной компании и содержали ссылку на известный фишинговый сайт.

    Браузеры — еще одна лазейка для злоумышленников. Они распространяют вредоносный код и нежелательные сообщения через расширения для браузеров. Дело в том, что многие пользователи считают любые расширения безопасными или безобидными. Многие пользователи редко обновляют браузеры — например, только 10 % запросов от Internet Explorer приходятся на новейшую версию. Отчасти по этой причине недавно в США регуляторы ужесточили стандарты для систем онлайн-банкинга, потребовав использовать методы обнаружения аномальных транзакций. Многие пользователи почувствовали это на себе, т.к. каждую финансовую операцию теперь нужно подтверждать несколько раз. Наконец, мы все сталкиваемся с дефицитом кадров в области ИБ. По некоторым оценкам, сейчас в мире есть потребность более чем в миллионе таких профессионалов. Отделы ИБ перегружены, организациям непросто найти и удержать в штате специалистов по информационной безопасности. Несмотря на все усилия, недоукомплектованные службы ИБ часто не справляются с потоком уведомлений систем безопасности, нормативных требований и служебных задач. Согласно исследованию под названием Security Capabilities Benchmark, результаты которого были включены в последний отчет Cisco по информационной безопасности, руководители служб и центров ИБ уверены в своих защитных механизмах. В то же время этим службам не всегда удается найти ресурсы, чтобы развернуть важные системы защиты и справляться с нарушениями ИБ.

    Менее 50 % опрошенных реализовали процессы, позволяющие успешно: администрировать аутентификационные данные или управлять учетными записями; обновлять и настраивать ПО; тестировать на проникновение; проводить компьютерную экспертизу конечных точек сети; сканировать уязвимости.

    И это — только несколько примеров, показывающих, что бороться со злоумышленниками стало сложнее, чем раньше, и что каждой организации необходим адекватный механизм реагирования на все более мощные атаки. Даже те организации, у которых реализованы современные системы защиты, начинают задаваться вопросом: «Что делать, когда атака или компрометация данных произойдет?», а не «...если она произойдет...». Атаки становятся все разнообразнее, а некоторые могут даже видоизменяться «на лету» (как это произошло с DDOS-атаками против некоторых банков). Именно поэтому, чтобы обнаруживать инциденты и реагировать на них, нужно быть изобретательнее и гибче. По данным Cisco, в 75 % случаев от начала атаки до утечки данных проходят считанные минуты, а вот на обнаружение атаки уходит гораздо больше времени. Другие исследования и недавние крупные инциденты в области ИБ подтверждают эти выводы.

    Все указывает на то, что для реагирования на инцидент в условиях дефицита кадров организациям нужны квалифицированные ресурсы извне.

    Разрабатывая процедуры реагирования, организации должны опираться на передовой опыт в следующих вопросах:

    на каком уровне нужно реагировать?

    Достаточна ли квалификация собственных и сторонних специалистов, чтобы грамотно организовать реагирование?

    Каких результатов нужно добиться в итоге?

    Если атака видоизменяется, как перестроить тактику реагирования?

    Как распространяется угроза?

    Какие уязвимости использует?

    Какие системы скомпрометированы?

    Какими данными уже завладели злоумышленники?

    Как можно остановить атаку?

    Как предотвратить эту атаку в будущем и научиться предупреждать другие?

    Чтобы ответить на эти вопросы, организациям в первую очередь необходимо оценить готовность персонала и инфраструктуры, в том числе сети, операций ИБ, коммуникаций и процессов обучения сотрудников для реагирования на инциденты.

    Лучше не пытаться заранее составить список решений всевозможных проблем, а вооружить группу реагирования на инциденты знаниями и инструментами, которые помогут: понимать природу события или инцидента; оценивать его значимость и необходимость срочных мер; определять желательные или допустимые сценарии; принимать необходимые меры, чтобы достичь поставленных задач; оценивать результаты реагирования и при необходимости корректировать его; эффективно задействовать внутренние и внешние ресурсы.

    Атаки становятся сложнее, злоумышленники — коварнее, а последствия — масштабнее. Чтобы оперативно управлять операционными рисками, организациям нужны полноценные, комплексные и гибкие процессы реагирования на инциденты. Систем безопасности самих по себе недостаточно. Грамотные процессы, реальное сотрудничество всех заинтересованных лиц, хорошо обученный и мобилизованный персонал — вот что нужно организациям, чтобы успешно реализовать многоуровневую защиту, приспосабливаться к видоизменяющимся атакам и добиваться лучших результатов.

    Обозрение "Terra & Comp".

Помощь корреспонденту
Кнопка куратора
Добавить новость
Добавить новости
НАУКА В "РУССКОМ ПЕРЕПЛЕТЕ"

Если Вы хотите стать нашим корреспондентом напишите lipunov@sai.msu.ru

 

© 1999, 2000 "Русский переплет"
Дизайн - Алексей Комаров

Rambler's Top100


Rambler's Top100