Это возвращает нас к теме, которую мы обсуждали в предыдущей главе.
Обнаружение становится одним из наиболее важных элементов управления безопасностью для компании. Датчики, расположенные по всей сети (локаль- ные и облачные), будут играть важную роль при выявлении подозрительной активности и создании оповещений. Растущая тенденция в области кибер безопасности заключается в использовании разведывательных данных и рас- ширенной аналитики для более быстрого обнаружения угроз и уменьшения количества ложных срабатываний. Это может сэкономить время и повысить общую точность. В идеале система мониторинга должна быть интегрирована с датчиками, чтобы вы могли визуализировать все события на одной панели. Ситуация мо- жет быть иной, если вы используете разные платформы, которые не позволяют взаимодействовать друг с другом. В сценарии, аналогичном тому, что мы рассматривали ранее, интеграция между системами обнаружения и мониторинга может помочь связать воедино множество вредоносных действий, которые были выполнены для достижения конечной цели – извлечения данных и передачи их командно-контрольному серверу. Как только инцидент обнаружен и подтвержден как истинно положитель- ный, вам нужно либо собрать больше данных, либо проанализировать то, что у вас уже есть. Если существует постоянная проблема, когда атака происходит именно в этот момент, вам необходимо быстро получить оперативные данные о ней и обеспечить способ ее остановить. По этой причине обнаружение и анализ иногда выполняются почти парал- лельно, чтобы сэкономить время, а затем это время используется для быстрого реагирования. При этом важно отметить, что существует отдельная фаза для сдерживания, удаления и восстановления. Об этом пойдет речь в следующем разделе данной главы. Наибольшая проблема возникает, когда у вас недостаточно доказательств того, что произошел инцидент в области информационной безопасности и не- обходимо продолжать сбор данных, чтобы подтвердить достоверность. Иног да система обнаружения не видит инцидент. Возможно, о нем сообщает ко- нечный пользователь, но он не может воспроизвести проблему именно в этот момент времени. Нет материальных данных для анализа, и проблема не воз- никает в момент вашего прибытия. В подобных сценариях вам нужно будет настроить среду для сбора данных и дать пользователю указание обратиться в службу поддержки в тот момент, когда проблема проявляется.
Передовые методы оптимизации обработки
компьютерных инцидентов Нельзя определить, что является ненормальным, если вы не знаете, что нор- мально. Другими словами, если пользователь обнаруживает новый инцидент, утверждая, что производительность сервера низкая, вы должны знать все об-
