Типовые use cases для SOC в банке: что надо мониторить обязательно

Размещено на сайте 21.02.2020

Правильно выстроив работу с событиями, приоритизировав ситуации, которые вызывают максимальный интерес и могут сигнализировать о хакерском нападении, можно эффективно выявлять инциденты и реагировать на них. На какие ситуации необходимо обращать внимание в первую очередь? Какие события надо в приоритетном порядке заводить на SOC и подвергать мониторингу?

Алексей ЛУКАЦКИЙ, Cisco, бизнес-консультант по ИБ

Приводятся извлечения из статьи. Полную версию материала читайте в журнале. Подписаться

Неразумно думать, что SOC может выявлять любые атаки: это заблуждение часто приводит к неоправданным ожиданиям, чувству ложной защищенности и, как следствие, к нанесению ущерба банку и его клиентам.

В большинстве случаев множественные неудачные попытки аутентификации — признак, требующий внимания специалистов службы ИБ.

Любое событие, когда пользователь входит в систему за 1 час и раньше или через 1 час и позже рабочих часов (в т.ч. выходные), — это аномалия, требующая контроля в SOC.

Сессионные аномалии: превышение разумной длительности сессии (больше 10 часов), отклонения от обычного поведения пользователя в интернете, сетевые коммуникации между рабочими станциями и пр.

Если система мониторинга сетевого трафика фиксирует всплеск DNS от обычных компьютеров, то речь может идти об уже произошедшей компрометации банковской сети.

Выбрать	Риски	Бухучет и налоги	Кредитный департамент	Управление банком
направление:	Розница	Внутренний контроль	Операционный департамент	Юридическая работа

О компании	Контакты	Авторам		Для клиентов (Как скачать закрывающие документы)
Помощь	Реклама	Подписным агентствам