В рубрику "Исследование" | К списку рубрик | К списку авторов | К списку публикаций
Общие положения
JSOC Security flash report является сводным материалом по анализу инцидентов, выявленных командой JSOC как при оказании регулярных услуг по мониторингу и реагированию на инциденты, так и в ходе консультативно-аналитической поддержки компаний российского рынка в рамках разовых обращений.
Деление инцидентов по категориям и типам угроз основано на внутренней классификации и методологии самого JSOC. Отчет является только информативным материалом и не претендует на то, что приведенные данные полностью отражают все угрозы российского рынка.
Сводная статистика по JSOC
Классификация инцидентов по критичности
Основным критерием при классификации инцидентов по критичности является воздействие инцидента на ключевые бизнес-процессы и данные заказчика. Инцидент считается критичным, если в результате него возможны и высоковероятны следующие события:
Несмотря на то, что максимальный объем событий, требующих внимания офицера ИБ, происходит в дневное время и может быть успешно разобран в достаточно короткие сроки, акцент по наиболее болезненным для компании инцидентам смещается на ночное время и те часы, когда сотрудники, ответственные за ИБ, не могут реагировать с должной скоростью. Особенно ярко эта тенденция видна на внешних атаках, относящихся к действиям злоумышленников и киберпреступников (см. рис. 1 и 2).
В рамках данной части отчета рассматриваются инциденты, инициаторами и причиной которых становились действия лиц, не являющихся внутренними пользователями клиента. Из отчета исключены действия, которые можно явно классифицировать как деятельность автоматизированных систем (бот-сетей), не приводящие к реальным инцидентам ИБ: сканирование сетей, неуспешная эксплуатация уязвимостей и подборы паролей (см. рис. 3).
Особенности внешних инцидентов в третьем квартале
Статистика показывает постепенное смещение внешних атак на прикладной уровень. Одной из причин этого является существенное увеличение количества внешних ресурсов и Web-сервисов в компаниях практически всех отраслевых сегментов. При этом уровень собственной защищенности данных приложений, к сожалению, существенно уступает возможностям злоумышленников.
Вывод и прогноз
В рамках данной части отчета рассматриваются инциденты, инициаторами и причиной которых становились действия внутренних сотрудников клиентов JSOC: халатность в соблюдении политик ИБ или их прямое нарушение, компрометация или передача учетных данных сотрудников, злонамеренные и незлонамеренные воздействия на бизнес-процессы и функционирование систем клиента (см. рис. 4 и 5).
Особенности внутренних инцидентов
Существенных изменений в распределении внутренних инцидентов за время сбора информации по отчетам JSOC не установлено.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2015