Что такое инцидент кибербезопасности?

Инцидент кибербезопасности - это особый тип инцидента безопасности, который подразумевает нарушение или компрометацию цифровых активов, компьютерных систем, сетей или данных. Он охватывает инциденты, связанные с преднамеренным использованием цифровых уязвимостей, таких как вредоносное ПО, хакерские атаки, утечки данных или DoS-атаки. Инциденты кибербезопасности могут существенно различаться по масштабу, воздействию и серьезности. Они требуют немедленного внимания и реагирования для минимизации потенциального вреда.

Как инциденты кибербезопасности связаны с событиями безопасности и инцидентами безопасности?

В заключение следует отметить, что инцидент кибербезопасности представляет собой подмножество инцидентов безопасности, включающих подтвержденные нарушения или компрометацию цифровой безопасности, которые приводят к несанкционированному доступу или потенциальному ущербу. Это свидетельствует о существенном нарушении политики безопасности. Напротив, события безопасности являются ранними индикаторами потенциальных угроз, указывающими на необычную активность в ИТ-средах. Хотя события безопасности являются потенциальными предшественниками инцидентов, событие кибербезопасности - это более широкий термин, охватывающий как незначительные события безопасности, так и серьезные инциденты безопасности. Инциденты безопасности - это любые действия, которые представляют реальную угрозу целостности сети организации. Организации должны тщательно отслеживать события кибербезопасности и реагировать на них, чтобы повысить уровень своей кибербезопасности и защититься от инцидентов безопасности.

Например, реальный пример инцидента кибербезопасности был связан с ChatGPT в марте 2023 года. Компания OpenAI признала факт утечки данных, опубликовав заявление, в котором подтвердила, что данные кредитных карт, идентификаторы электронной почты, номера участников, имена и адреса некоторых пользователей были видны другим пользователям. Эта информация была доступна в течение девяти часов, и пользователи, которые были активны в это время, рисковали тем, что их данные станут видны другим пользователям. Эта уязвимость объясняется ошибкой в открытом исходном коде искусственного интеллекта, который использовался ChatGPT.

Растущая важность кибербезопасности

Риски, связанные с киберпреступностью, возрастают по мере развития цифровой эпохи. По прогнозам журнала CyberCrime, к 2025 году ущерб от киберпреступности в мире будет превышать 10 триллионов долларов США в год. Сложно рассчитать окупаемость инвестиций при составлении бюджета расходов организации на кибербезопасность, однако это остается наиболее важным вопросом. Подчеркивая важность кибербезопасности, генеральный директор Bank of America Брайан Мойнихан однажды заявил, что у банка неограниченный бюджет расходов на кибербезопасность.

Крайне важно понимать тонкости инцидентов кибербезопасности, отличать их от событий безопасности и других инцидентов.

Разница между событием безопасности и инцидентом безопасности

Важно понимать разницу между событием безопасности и инцидентом безопасности. Событие безопасности - это событие в сети, которое может привести к нарушению безопасности. Если подтверждается, что событие безопасности привело к нарушению, то такое событие называется инцидентом безопасности. Инцидент безопасности приводит к возникновению риска или нанесению ущерба ресурсам и активам предприятия. На основании обнаруженного нарушения необходимо принять достаточные меры для ограничения ущерба и предотвращения усугубления инцидента.

События безопасности

События безопасности - это первый шаг на пути к выявлению угрозы или полноценной атаки. Предприятие может сталкиваться с тысячами событий безопасности в день. Однако не все события безопасности указывают на кибератаку. Например, получение пользователем письма со спамом запускает событие безопасности. Такие события необходимо отслеживать с помощью решения SIEM, чтобы определить, приводит ли событие безопасности к инциденту безопасности.

Ниже описаны некоторые из наиболее распространенных источников событий безопасности, которые следует анализировать в сети.

Межсетевые экраны

Межсетевой экран контролирует входящий и исходящий трафик в сети. Журналы межсетевого экрана предоставляют первые доказательства вторжения злоумышленников. Поэтому необходимо тщательно отслеживать события безопасности, обнаруженные в журналах межсетевых экранов. Ниже приведены некоторые распространенные события и инциденты безопасности, которые следует отслеживать в журналах межсетевых экранов.

• Резкий скачок входящего или исходящего трафика: внезапное увеличение объемов входящего или исходящего трафика является критическим событием безопасности. Если при дальнейшем изучении журналов межсетевого экрана выяснится, что получено несколько пакетов с исходных IP-адресов, неизвестных вашей организации, это является инцидентом безопасности, поскольку указывает на возможную атаку DDoS.
• Изменения конфигурации политик межсетевого экрана: изменения в настройках межсетевого экрана являются событиями безопасности, а не инцидентами. Однако если пользователь, чьи привилегии были недавно повышены, попытается изменить настройки межсетевого экрана, это событие будет называться инцидентом безопасности.
• Изменение настроек межсетевого экрана: изменения, внесенные в правила межсетевого экрана, могут быть обычными событиями, если только они не разрешают трафик с вредоносного сервера C2C или на него или из любого другого вредоносного источника для кражи данных. В таких случаях изменение становится инцидентом безопасности. Поэтому необходимо внимательно следить за этими изменениями.

Критические серверы

Критически важные серверы, такие как файловые серверы, веб-серверы и контроллеры доменов, крайне уязвимы для атак, поскольку взлом этих систем означает получение значительной части контроля над сетью или данными. Мониторинг всех действий пользователей и изменений конфигураций на этих серверах имеет решающее значение. Вот некоторые распространенные события безопасности, которые следует отслеживать на критически важных серверах:

• Вход пользователей.
• Изменения в разрешениях пользователей на доступ к серверам.
• Изменения в настройках системы.
• Изменения в конфигурациях безопасности.

Если при расследовании выясняется, что вышеуказанные события имеют подозрительный источник или указывают на необычное поведение пользователя, то они являются инцидентами безопасности.

Вот некоторые распространенные события, за которыми следует следить. В зависимости от функциональности серверов можно добавить другие события для мониторинга. Например, на веб-сервере необходимо отслеживать журналы на предмет попыток внедрения кода.

Базы данных

Базы данных являются одной из наиболее распространенных целей злоумышленников, поскольку в них хранятся данные сотрудников, конфиденциальные бизнес-данные и многое другое. Некоторые распространенные события безопасности в базах данных:

• Изменения в таблицах базы данных: изменения, вносимые пользователями привилегированных учетных записей, являются событиями безопасности. Если такой пользователь продолжает манипулировать несколькими таблицами, это является инцидентом безопасности.
• Изменения в привилегиях пользователей: когда уровень привилегий пользователя повышается для доступа к ресурсам базы данных, это является событием безопасности. Это становится инцидентом безопасности, если пользователь с недавно повышенными привилегиями пытается изменить привилегии других пользователей, добавляя или удаляя участников группы безопасности администраторов базы данных.
• Доступ к конфиденциальным данным или их извлечение: биометрические данные сотрудников, записи о клиентах и сведения о транзакциях являются примерами конфиденциальной корпоративной информации. Если пользователь попытается извлечь такую информацию из базы данных, это будет считаться инцидентом безопасности.

Конечные точки

Конечные точки, такие как ноутбуки и настольные компьютеры, генерируют огромное количество событий безопасности за один день. Вот некоторые распространенные события безопасности, которые необходимо отслеживать с конечных точек:

• Неудачные попытки входа: если пользователь входит в систему своего устройства после нескольких неудачных попыток, это событие безопасности. Если после такого события пользователь пытается повысить свои привилегии, это инцидент безопасности.
• Установка несанкционированного ПО: загрузка и установка несанкционированного программного обеспечения на устройство является событием безопасности. Если такое приложение нарушает работу других приложений и приводит к сбоям в работе устройства, это называется инцидентом безопасности.

Инциденты безопасности

Инцидент безопасности - это событие безопасности, которое наносит ущерб сетевым ресурсам или данным в рамках атаки или угрозы безопасности. Инцидент не всегда наносит прямой ущерб, но он все равно ставит под угрозу безопасность предприятия. Например, нажатие пользователем ссылки в письме со спамом является инцидентом безопасности. Этот инцидент не наносит прямого ущерба, но может привести к установке вредоносного ПО, вызывающего атаку программ-вымогателей.

Вот некоторые инциденты безопасности, которые вам следует отслеживать в своей сети:

• Трафик с известных вредоносных IP-адресов: несколько IP-адресов идентифицированы как вредоносные из-за подозрений в проведении через них злонамеренной деятельности. Информация о вредоносных IP-адресах называется информацией об угрозах или каналом угроз. Чтобы отслеживать трафик из вредоносных источников, следует настроить свое решение безопасности, например инструмент SIEM, для корреляции данных между этими динамически обновляемыми каналами угроз и информацией о сетевом трафике. Если такой IP-адрес пытается получить доступ к сети, ваше решение SIEM может обнаружить попытку и немедленно принять меры противодействия.
• Подозрительные вредоносные установки на конечных точках: каждый день людям отправляют миллионы вредоносных писем с вложениями, которые выглядят как настоящие. Если такое вложение откроет ничего не подозревающий пользователь, это может привести к установке вредоносного ПО на устройство. С помощью вредоносного ПО злоумышленник может извлечь конфиденциальную информацию, хранящуюся на устройстве пользователя, или получить доступ к сетевым ресурсам предприятия - в любом случае это будет считаться инцидентом безопасности.
• Неизвестные попытки входа: компании используют VPN-службы, чтобы помочь удаленным пользователям подключиться к сети организации. Если хакеру удастся взломать учетные данные удаленного пользователя, он сможет проникнуть в сеть и начать полномасштабную кибератаку. Если пользователь сообщает, что его учетные данные были скомпрометированы и что он в последнее время не входил в сеть, это серьезный инцидент безопасности, требующий быстрого реагирования со стороны ИТ-администратора.
• Повышение привилегий: получив доступ к сети предприятия, злоумышленник может нанести лишь ограниченный ущерб, маскируясь под пользователя, за которого он себя выдает. Поэтому их следующим шагом часто становится повышение привилегий. Повышение привилегий позволяет злоумышленнику получить больший доступ и, следовательно, лучший контроль над сетью.
• Несанкционированные изменения конфигураций критически важных устройств: несанкционированная попытка внести изменения в критически важные службы, такие как межсетевые экраны, указывает на возможную атаку на сеть, поэтому она регистрируется как инцидент безопасности.
• Заражение вредоносным ПО через съемные носители: подключение съемных носителей, таких как USB-накопители и жесткие диски, к рабочей станции может быть опасным, если внешнее устройство содержит вредоносное ПО. Если антивирусная система обнаруживает внешнее устройство, содержащее вредоносное ПО, регистрируется инцидент безопасности.
• Манипулирование данными в базах данных: если данные, присутствующие в базах данных предприятия, удалены или изменены неавторизованным пользователем, это называется нарушением безопасности, и ИТ-администратор должен немедленно принять меры для предотвращения дальнейшего ущерба корпоративной сети.

Организации должны тщательно отслеживать события кибербезопасности и реагировать на них, чтобы укрепить свою позицию по кибербезопасности и выстроить киберзащиту от потенциальных угроз. Внедрение решения по управлению информационной безопасностью и событиями безопасности (SIEM) может сыграть важную роль в обнаружении, смягчении последствий подобных инцидентов и управления ими, предлагая упреждающий подход к защите сети.