Positive Technologies: во всех пилотных проектах MaxPatrol SIEM зарегистрировал реальные инциденты безопасности

Дата: 04.09.2020. Автор: Артем П. Категории: Отчеты и исследования по информационной безопасности

Во время пилотных проектов по интеграции MaxPatrol SIEM, которые были проведены специалистами Positive Technologies, были обнаружены события кибербезопасности, указывающие на возможные атаки, заражение вредоносным софтом, нарушение политик информационной безопасности, аномалии в пользовательском поведении.

В результаты проведенного исследования были включены результаты реализации пилотных проектов в организациях энергетики и промышленности, в госучреждениях, компаниях финансовой отрасли.

По традиции, при реализации пилотных проектов для демонстрации функционала SIEM-системы были смоделированы условия, приводящие к фиксации инцидента кибербезопасности. Но кроме смоделированных, во всех рассматриваемых в исследовании проектах были зарегистрированы и реальные инциденты информационной безопасности. Чаще всего MaxPatrol SIEM выявлял следующие виды инцидентов безопасности:

  • попытки подбора авторизационных данных;
  • детектирование вредоносного софта, неудаленного иными защитными средствами;
  • авторизация под одним аккаунтом с разных рабочих станций.

По результатам проведенного экспертами Positive Technologies исследования, 1 из 5 инцидентов безопасности, выявленных во время пилотных проектов, связан с детектированием вредоносного программного обеспечения. Многие инциденты кибербезопасности (более 80%) – фишинговые рассылки.

Примерно в 50% организаций во время пилотных проектов было обнаружено нарушение политик информационной безопасности (несоответствие стандартам нормативной документации, корпоративным регламентам).

Ольга Зименко, ведущий аналитик PT, сказала следующее: «В ходе пилотных проектов были обнаружены инциденты безопасности, указывающие на возможные кибератаки хакеров. Большинство инцидентов связано с кражей конфиденциальных данных в атакуемой системе и корпоративной сети. Чтобы обнаружить такие кибератаки на начальных этапах, надо располагать информацией о том, что происходит в инфраструктуре организации.

С этими целями выполняется сбор максимального количества данных о событиях кибербезопасности. Большой объем информации нуждается в автоматизированной обработке посредством продуктов SIEM. Опыт экспертов центра безопасности PT демонстрирует, что применяемые в SIEM правила корреляции выступают в качестве отправной точки для детектирования множества киберпреступных атак, даже всесторонних APT-атак, и в качестве базы для расследования киберинцидентов».

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *