 |
|
 |
|
Роль автоматов в управлении рисками нельзя абсолютизировать
В условиях, когда массивы информации растут как снежный ком, задача обнаружить и выделить действительные угрозы становится все более сложной, пишет Дж. Кихен в декабрьском выпуске онлайнового журнала Security Magazine.
Проблема «шумового» эффекта, серьезно затрудняющего мониторинг рисков и угроз, зачастую обусловлена действиями конкретных людей, которые в лучшем случае можно охарактеризовать как неверные, а в худшем – как чрезвычайно опасные. В основе, как правило, игнорирование элементарных норм и предписаний безопасности. Бездумно кликают на «интересные» линки, ведущие прямо в хакерские ловушки, заносят в служебные компьютерные сети разного рода вредоносы, хранят конфиденциальные данные в неподобающих для этого компьютерных файлах.
Подобное безответственное поведение превращает корпоративную сеть в «сумасшедший дом», порождающий массу аномалий, сигналы о которых приходят на мониторы сотрудников. Тем, кто занимается управлением рисками, бывает сложно, а то и невозможно разобраться в беспорядочном хаосе данных, отчленить вредоносные аномалии от неопасных, взять в работу то, что действительно заслуживает внимания.
По мнению автора, реально помочь службе безопасности эффективно отслеживать риски и угрозы могут современные автоматические системы мониторинга.
Такие программы должны быть адаптированы к специфике бизнеса, которым занимается организация, к условиям конкретного рынка. Речь идет о выделении нескольких критериев поиска и отбора данных. Провайдеры машин-автоматов рекомендуют выбирать от 7 до 10 таких критериев.
Это хороший старт, но далеко не всё. Аномалии должны сигнализировать о чем-то необычном, например, если речь идет об инсайдерах, об изменении в поведении сотрудника. Выбор критериев для этой задачи не всегда достаточен. Он должен дополняться тем, что автор статьи называет «adversary mindset», предполагающий более целостный анализ, в какой последовательности и в каких хостах (узлах корпоративной сети) фиксируемые аномалии позволяют подозревать несанкционированное проникновение и скрытую работу в сети «чужака», злоумышленника.
Преступники обладают постоянно обновляемым арсеналом средств вторжения в компьютерные сети. Как только им это удается, их пребывание там характеризуется следующими задачами и действиями:
-
Разведка: изучение структуры баз данных, поиск наиболее ценной служебной информации.
-
Сбор данных: стремление получить дополнительный доступ к наиболее тщательно охраняемым базам данных, систематизация собранной информации с целью импорта.
-
Вывод данных вовне для размещения на заранее подготовленных криминалом сайтах.
Если анализировать замеченные аномалии, ставя на первый план задачу обнаружения инсайдера или внешнего хакера, то в этом случае формируется реальная картина безопасности.
Автор публикации так формулирует главную мысль своего выступления:
«Многие полагают, что следует полностью положиться на автоматические или полуавтоматические мониторинговые машины в определении, какие сигналы (фиксируемые аномалии) представляют наибольшую опасность. Увы, такая уверенность далеко не всегда согласуется с реальным положением дел, поскольку и автоматы могут выдавать желаемое за действительное, посылать ложные сигналы. Такой подход предполагает устранение человека от процесса, что в корне неправильно. Автоматы – не более чем средства повышения эффективности работы человека, но не могут его заменить полностью. Да и не предназначены для этой цели».
Только оператор автоматических программных продуктов, озабоченный поиском и обнаружением «врага», способен отделить реальную угрозу от того, что не представляет особого интереса.
Пока люди используют компьютеры, всегда будут возникать те или иные проблемы, в том числе напрямую угрожающие безопасности бизнеса. Специалисты по кибербезопасности, ежедневно имея дело с огромным числом разных сигналов, страдают болезнью под названием «информационная усталость». Автоматические машины мониторинга, аналитические технологии призваны помогать отделять зерна от плевел, вычленять из информационного хаоса те сигналы, которые предупреждают о реальных рисках и угрозах. Именно помогать специалисту, а не заменять его.
|
вернуться назад
