В «СёрчИнформ SIEM» изменился процесс взаимодействия с базами мошеннических ресурсов от ФинЦЕРТ Банка России. Банки получают от ФинЦЕРТ индикаторы компрометации: домены и IP-адреса опасных веб-ресурсов, а также признаки, по которым они признаются мошенническими. Ранее индикаторы рассылались в финансовые организации в формате csv, теперь ФинЦерт рекомендует импортировать их из формата STIX 2.1. «СёрчИнформ SIEM» поддержала эту возможность.
SIEM-система автоматически добавляет полученные из ФинЦЕРТ индикаторы в «черные» списки. Обращение к ресурсам из списка – триггер для запуска проверки по правилу ИБ. Как только пользователи, оборудование или ПО в компании попытаются взаимодействовать с ними, SIEM уведомит ИБ-специалиста. Предварительно понадобится настроить импорт индикаторов в систему. Для этого нужно задать в настройках служб SIEM отдельную папку, куда будут загружаться STIX-файлы из автоматической системы обработки инцидентов (АСОИ) ФинЦЕРТ.
«Интеграция с базой мошеннических ресурсов позволяет автоматизировать работу ИБ-отдела и упрощает актуализацию настроек мониторинга: ведь база растет постоянно, пополнять «черные» списки опасных сайтов вручную трудозатратно, – комментирует Павел Пугач, системный аналитик «СёрчИнформ». – Мы оперативно поддерживаем все изменения, внедряемые ФинЦЕРТ в процедуру обмена данными через АСОИ. Даже когда меняются стандарты, финансовым организациям не придется тратить время на длительную перенастройку своих ИБ-систем: наша SIEM уже готова к новым форматам работы и обеспечит стабильно высокий уровень защиты».
Ранее разработчик представил в «СёрчИнформ SIEM» функцию по автоматическому импорту мошеннических доменов и IP-адресов из базы данных ФинЦЕРТ. С ее помощью финансовые организации могут обогатить SIEM данными об опасных веб-ресурсах, чтобы наладить автоматическое выявление и предотвращение связанных с ними инцидентов.