Реагирование на инциденты: важно не переборщить

Совершенствуя процесс реагирования на инциденты информационной безопасности (ИБ), важно не упускать из виду основной функционал инструментов, иначе в стремлении к идеалу можно сделать процесс менее эффективным, чем он был на старте.

К примеру, SIEM-система будет перегружена событиями, которые не имеют никакой важной информации для хода расследования либо правила начнут срабатывать на огромную массу легитимных событий, из-за чего
подозрительные и нелегитимные действия не будут активно выделяться на этом фоне.

В результате вы рискуете упустить из виду реальный инцидент ИБ, который повлечет за собой катастрофические последствия для вашей компании.
Аналогичная ситуация может наблюдаться и в рамках модернизации DLP-системы, так как слишком большое число нововведений заставит ваш SOC тратить большую часть своего времени на фиксирование незначительных нарушений сотрудников, в то время когда есть вероятность упустить массовую утечку конфиденциальной информации.

Для того чтобы предотвратить подобного вида "перегруз" средств защиты информации (СЗИ), необходимо прежде всего установить наиболее критичные уязвимости и риски, которые должны в первую очередь фиксироваться в рамках процесса реагирования на инциденты ИБ. Обозначьте их как события наивысшего приоритета.

Если текущее состояние ваших инструментов ИБ снижает вероятность нахождения и реагирования на них, то развитие и модернизацию ваших СЗИ стоит поставить на паузу. Скорректируйте правила реагирования ваших СЗИ таких образом, чтобы максимально отсечь легитимные действия, понизьте приоритет расследований, связанных с незначительными нарушениями, оцените нагрузку вашего SOC. Если возникает действительно подозрительная ситуация и вы имеете на руках события, которые это подтверждают, то, безусловно, стоит направить все силы на ее расследование, иначе потом может быть уже поздно.

Развивать систему реагирования на инциденты, безусловно, нужно. Но не менее важно не забывать, для чего она создавалась в первую очередь!