В свежем отчете JSOC Security flash report за Q3 2016 одним из ключевых выводов стал такой:
"Мы продолжаем отмечать, что внешние атаки смещаются ко времени, когда спадает деловая активность: 40% вечер пятницы / 20% выходные / 20% вечер"
И приводится статистика по распределению количества инцидентов по времени суток (всего за 3й квартал было выявлено 63 224 события с подозрением на инцидент):
Конечно ожидаемо, что большинство инцидентов происходит днем (87,9%). Сотрудники забывают свои пароли и пробуют их подобрать, открывают спам-письма, скачивают запрещенный софт из Интернета, пробуют получить расширенные права доступа, устанавливают нелегитимное ПО, вставляют зараженные флешки в USB-порты и многое другое. Но обратите внимание, что критичные внешние инциденты уже в 45,2% случаев происходят в ночное время, когда специалисты подразделений ИТ и ИБ мирно спят в своих кроватках...
Это говорит о том, что безопасности 8х5 (12х5) становится уже не достаточно, внешние злоумышленники "работают" в ночное время и/или находятся в других часовых поясах. А это значит, что для критичных ИТ-инфраструктур уже стоит задуматься о безопасности 24х7... Иначе "поломают"...
На вчерашней пресс-конференции Solar Security Владимир Дрюков рассказал о механике внешних атак, уточнив про "рабочее" время для каждой фазы. Очень много важных событий происходит именно в вечернее и ночное время:
Что делать? Конечно же задуматься о совершенствовании системы ИБ, и, в частности, развитии процессов мониторинга событий и управления инцидентами ИБ... Можно даже построить свой собственный SOC с режимом работы 24x7, передать соответствующие процессы на аутсорсинг ИБ или же использовать гибридную схему, как, например, это сделал Тинькофф Банк ...
