В ходе пилотных проектов по внедрению MaxPatrol SIEM, проведенных экспертами Positive Technologies, были выявлены события ИБ, свидетельствующие о потенциальных кибератаках, заражении вредоносным ПО, нарушении политик ИБ, а также аномалии в поведении пользователей.
В исследование вошли результаты, полученные в ходе пилотных проектов в промышленных и энергетических компаниях (31%), государственных учреждениях (26%) и организациях кредитно-финансового сектора (18%) .
Традиционно во время пилотных проектов для демонстрации возможностей SIEM-системы моделируются условия, которые приводят к регистрации киберинцидента. Однако, помимо смоделированных, в 100% рассматриваемых в исследовании проектов были зафиксированы еще и реальные инциденты ИБ. Среди наиболее часто выявляемых инцидентов — попытки подбора учетных данных (в 61% пилотных проектов), обнаружение вредоносного объекта, который не был удален другим средством защиты (в 26%), авторизация под одной учетной записью с различных рабочих станций (в 22%).
По данным исследования, каждый пятый инцидент, выявляемый в ходе пилотных проектов, связан с обнаружением вредоносного ПО. Причем большинство инцидентов (порядка 85%) связаны с фишинговыми рассылками.
В половине компаний в ходе пилотных проектов было выявлено нарушение политик ИБ (несоответствия требованиям нормативных документов или корпоративных стандартов). Так, например, в 39% пилотных проектов были зафиксированы случаи работы программ для удаленного управления компьютером. По мнению специалистов, эти события могут быть легитимными, например когда оператор технической поддержки удаленно подключается для настройки сервера, а могут указывать на использование систем удаленного доступа злоумышленниками для незаметного подключения к внутренним ресурсам (техника Remote Access Software). Эксперты рекомендуют компаниям ограничить список узлов, на которых может использоваться ПО для удаленного доступа.
«Во время пилотных проектов были выявлены события, которые указывают на потенциальные атаки злоумышленников, — отмечает старший аналитик Positive Technologies Ольга Зиненко. — В частности, многие из этих событий связаны с получением информации о скомпрометированной системе и внутренней сети. Для обнаружения атак на ранней стадии необходимо знать обо всем, что происходит в инфраструктуре компании. Для этого нужно собирать как можно больше информации о событиях ИБ, а большой объем регистрируемых данных требует автоматизированной обработки с помощью решений класса SIEM. Опыт специалистов экспертного центра безопасности Positive Technologies (PT Expert Security Center) показывает, что используемые в SIEM правила корреляции служат отправной точкой для обнаружения большинства кибератак , в том числе сложных многоступенчатых APT-атак, а также основой для расследования инцидентов».
ptsecurity.com.
В выборку вошли пилотные проекты по внедрению системы мониторинга и корреляции событий MaxPatrol SIEM, в которых объем инфраструктуры, выделенной для проведения пилотных работ, и обрабатываемых данных был достаточен для фиксации реальных инцидентов. Из исследования были исключены компании, которые не дали своего согласия на использование обезличенных результатов пилотного проекта в исследовательских целях.
MaxPatrol SIEM благодаря встроенным правилам корреляции позволяет выявлять актуальные техники атак без дополнительной настройки. Кроме того, MaxPatrol SIEM детектирует популярные техники атак по модели MITRE ATT&CK, что позволяет обнаружить активность злоумышленников на ранних этапах.