Журнал "Information Security/ Информационная безопасность" #6, 2024

Однакоснедавнимрезкимувеличе- ниемштрафовиусилениемконтроля возниклочеткоепонимание,чтоперсо- нальныеданныестановятсячастью общегорискадлябизнеса.Осознание важностимербезопасностипришло толькосопытомутечек. Темнеменеезащитаперсональных данныхпо-прежнемупрощеобосновы- ваетсятребованиямизаконодательства. Например,есликакое-либотехническое решениенепрописанов соответствую- щемнормативномакте,заказчикам, особенноизчислагосструктур,бывает сложнонайтиаргументыдляегоприме- нения. SIEM–этоядрокорпоративнойинфор- мационнойбезопасности.Главнойфунк- циейэтойсистемыявляетсямониторинг: своевременноевыявлениеатакиадек- ватноереагированиенанихзасчет корреляциисобытий,происходящих в инфраструктуре.Такойподходпри правильнойнастройкепозволяетобна- ружитьбольшинствоинцидентов. ИспользованиеSIEM-системысточки зрениязаконодательстваоПДнне являетсяобязательнымдлявсехорга- низаций.Однакомыподошликмоменту, когдареальнаябезопасность,интегри- рованнаясзащитойперсональныхдан- ных,немыслимабезSIEM. Расследование утечек SIEMпомогаетнетольковмонито- рингесобытийиреагированиинаинци- дентывреальномвремени.Онанеза- менимаиприрасследованиипро- исшествий.Нередкобываеттак,что утечкаданныхужеслучилась,и необходимовыяснить,какименноэто произошло.ИменноSIEMстановится однойизключевыхсистемдлярас- следования. Процессначинаетсясанализаданных: аналитикиисследуют,какпроизошел инцидент,выявляютиспользованные уязвимости,выясняютисточникатаки. Одинизсамыхзапоминающихсяслучаев изнашейпрактики–этоатака,которую заказчиксначалапринялзадействия инсайдера.Однаковходерасследова- ниявыяснилось,чтоорганизациябыла взломаначерезобщедоступныеуязви- мости,информацияокоторыхпублико- валасьвДаркнете. Конечно,большинствозлоумышлен- никовстараютсяуничтожитьследысвое- гоприсутствияисвоихдействий,но дажевтакихслучаяхSIEMпозволяет обнаружить,продолжаетсялиатака в текущиймомент,ивосстановитьхро- нологиюсобытий. Правильнопроведенныерасследова- нияпомогаютвнестивнастройкусредств защитынеобходимыеизменения,чтобы избежатьвбудущемреализациитого жевектораатаки,повторныхутечеки, какследствие,оборотныхштрафов. Кслову,мысталкивалисьспримера- ми,когдаSIEMнебылаустановленадо инцидента,нопосленегосистемувнед- рялииначиналиактивно,аглавное, правильноиспользовать. Уведомление об утечках Штрафызанесвоевременноеуведом- лениеобинцидентах,связанныхсутеч- койперсональныхданных,былизначи- тельноувеличены.Науведомлениеотво- дится24часа,послечегонеобходимо провестирасследованиеидополнитель- ноинформироватьорезультатахпро- изошедшеговтечение72часов. SIEMпомогаетсобратьнеобходимую информациюипозволяетавтоматизи- роватьтехническуючастьпроцессапод- готовкииотправкиуведомления,сокра- щаявремяиоблегчаявыполнениетре- бованийзаконодательства. Хотяуведомленияможноотправлять идругимиспособами,SIEMзначительно упрощаетэтотпроцесс,особенновслу- чаях,когдакомпаниисреднегоикруп- ногобизнесасталкиваютсясмногочис- леннымиинцидентамиинеобходимо выделитьтеизних,которыедействи- тельнотребуютуведомления. Впрочем,нестоитполностьюотдавать SIEMрешениеоботправкеуведомления. Необходимтщательныйанализкаждого инцидента,иегоможетвыполнитьтоль- кочеловек.Важнопонимать,чтоневсе события,которыесистемафиксирует каквозможныеутечки,таковыми являются.Нередковстречаютсяслучаи, когдакомпанииошибочносчиталиинци- дентутечкой. Приведухарактерныйпримеризпрак- тики:дваЦОДоднойорганизациисин- хронизируютинформациюмеждусобой. ВтакомслучаеSIEM-системаможет сработатьнаобычныйпроцессрезерв- ногокопирования,ошибочносчитаяего утечкойданных.Есливрезультатеэтого каждыйденьбудетотправлятьсяуве- домлениевГосСОПКА,этоприведет к ненужнымпоследствиям. Естьидругиериски:например,случаи, когдауведомленияавтоматически отправляютсявогромныхобъемах,что можетпривестикблокировкедоступа к ГосСОПКА,еслисистема,например, случайноопределитDDoS-атакузаутеч- куданных.Важнонайтизолотуюсере- дину:хотяавтоматизацияуведомлений полезна,конечноерешениеотом,что уведомлениедействительнонеобходимо, долженприниматьчеловек. Важнотакжеправильновнедритьипро- тестироватьSIEM,чтобывслучаереаль- ногоинцидентанебылосомненийвдей- ствияхсистемы.Вконцеконцов,вслучаях, когдаутечкадействительнопроизошла, необходимонезамедлительнооповестить всезаинтересованныестороны. Принцип "все уже утекло" Стоитпринятьзаданность,чтолюбые персональныеданныеиаккаунты,как правило,ужескомпрометированыс высокойстепеньювероятности.Настрой- 58 • СПЕЦПРОЕКТ Новая роль SIEM в защите персональных данных акон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз. З Максим Степченков, совладелец компании RuSIEM Фото:RuSIEIM