Центр реагирования ЦБ РФ изменил процесс передачи банкам индикаторов компрометации. Разработчики SIEM-системы адаптировали механизм их импорта в списки исключений.
В «СёрчИнформ SIEM» изменился процесс взаимодействия с базами мошеннических ресурсов от ФинЦЕРТ Банка России. Банки получают от ФинЦЕРТ индикаторы компрометации: домены и IP-адреса опасных веб-ресурсов, а также признаки, по которым они признаются мошенническими. Ранее индикаторы рассылались в финансовые организации в формате csv, теперь ФинЦерт рекомендует импортировать их из формата STIX 2.1. «СёрчИнформ SIEM» поддержала эту возможность.
SIEM-система автоматически добавляет полученные из ФинЦЕРТ индикаторы в «черные» списки. Обращение к ресурсам из списка – триггер для запуска проверки по правилу ИБ. Как только пользователи, оборудование или ПО в компании попытаются взаимодействовать с ними, SIEM уведомит ИБ-специалиста. Предварительно понадобится настроить импорт индикаторов в систему. Для этого нужно задать в настройках служб SIEM отдельную папку, куда будут загружаться STIX-файлы из автоматической системы обработки инцидентов (АСОИ) ФинЦЕРТ.
«Интеграция с базой мошеннических ресурсов позволяет автоматизировать работу ИБ-отдела и упрощает актуализацию настроек мониторинга: ведь база растет постоянно, пополнять «черные» списки опасных сайтов вручную трудозатратно, – комментирует Павел Пугач, системный аналитик «СёрчИнформ». – Мы оперативно поддерживаем все изменения, внедряемые ФинЦЕРТ в процедуру обмена данными через АСОИ. Даже когда меняются стандарты, финансовым организациям не придется тратить время на длительную перенастройку своих ИБ-систем: наша SIEM уже готова к новым форматам работы и обеспечит стабильно высокий уровень защиты».
Ранее разработчик представил в «СёрчИнформ SIEM» функцию по автоматическому импорту мошеннических доменов и IP-адресов из базы данных ФинЦЕРТ. С ее помощью финансовые организации могут обогатить SIEM данными об опасных веб-ресурсах, чтобы наладить автоматическое выявление и предотвращение связанных с ними инцидентов.
Сookie-файл — текстовый файл, сохраненный в браузере компьютера (мобильного устройства)
пользователя интернет-сайта при его посещении пользователем для отражения совершенных
им действий, используемые для обеспечения или повышения работоспособности сайтов,
а также для получения аналитической информации.
С перечнем обрабатываемых cookie-файлов можно ознакомиться в
Политике обработки cookie-файлов Searchinform.
Файлы, осуществляющие хранение информации для обеспечения функционирования веб-ресурсов, информацию о выборе пользователя относительно принятия/отклонения cookie-файлов и не использующие какую-либо информацию о пользователе, которая может быть использована в маркетинговых целях или для учета посещаемых сайтов в сети Интернет.
Файлы, осуществляющие хранение информации о выборе пользователя. СёрчИнформ не устанавливает функциональные cookie, однако мы подключаем сервисы предоставляющие шрифты и карты, которые устанавливают собственные cookie. В случае отключения данного вида мы заблокируем данные сервисы, что повлечет изменение шрифта и перестанет работать карта.
Файлы, предназначенные для оценки работы веб-ресурсов и осуществляющие хранение информации о пользовательских предпочтениях и наиболее просматриваемых страницах веб-ресурса. СёрчИнформ не устанавливает аналитические cookie, однако мы подключаем сервисы предоставляющие шрифты и карты, которые устанавливают собственные cookie. В случае отключения данного вида мы заблокируем данные сервисы, что повлечет изменение шрифта и перестанет работать карта.
Чтобы продолжить регистрацию, пожалуйста, разрешите обработку функциональных файлов cookie
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
