СЭДД CompanyMedia для ВМТУ Росстандарт
Новосибирский избирком перешел на ОС «Альт»
Как отечественная IT-разработка способна изменить классический подход к управлению бизнес-логикой в российских компаниях
Организация быстрого и надежного доступа к корпоративной инфраструктуре с помощью смарт-карт для девелоперской компании
Серверы, СХД и коммутаторы от Fplus: обзор актуальных линеек оборудования
ЦБ
°
четверг, 21 ноября 2024

«СёрчИнформ SIEM» поддержала новый формат работы с базами мошеннических ресурсов от ФинЦЕРТ

«СёрчИнформ SIEM» поддержала новый формат работы с базами мошеннических ресурсов от ФинЦЕРТ
Центр реагирования ЦБ РФ изменил процесс передачи банкам индикаторов компрометации. Разработчики SIEM-системы адаптировали механизм их импорта в списки исключений.

В «СёрчИнформ SIEM» изменился процесс взаимодействия с базами мошеннических ресурсов от ФинЦЕРТ Банка России. Банки получают от ФинЦЕРТ индикаторы компрометации: домены и IP-адреса опасных веб-ресурсов, а также признаки, по которым они признаются мошенническими. Ранее индикаторы рассылались в финансовые организации в формате csv, теперь ФинЦерт рекомендует импортировать их из формата STIX 2.1. «СёрчИнформ SIEM» поддержала эту возможность.

SIEM-система автоматически добавляет полученные из ФинЦЕРТ индикаторы в «черные» списки. Обращение к ресурсам из списка – триггер для запуска проверки по правилу ИБ. Как только пользователи, оборудование или ПО в компании попытаются взаимодействовать с ними, SIEMуведомит ИБ-специалиста. Предварительно понадобится настроить импорт индикаторов в систему. Для этого нужно задать в настройках служб SIEM отдельную папку, куда будут загружаться STIX-файлы из автоматической системы обработки инцидентов (АСОИ) ФинЦЕРТ.

«Интеграция с базой мошеннических ресурсов позволяет автоматизировать работу ИБ-отдела и упрощает актуализацию настроек мониторинга: ведь база растет постоянно, пополнять «черные» списки опасных сайтов вручную трудозатратно, – комментирует Павел Пугач, системный аналитик «СёрчИнформ». – Мы оперативно поддерживаем все изменения, внедряемые ФинЦЕРТ в процедуру обмена данными через АСОИ. Даже когда меняются стандарты, финансовым организациям не придется тратить время на длительную перенастройку своих ИБ-систем: наша SIEM уже готова к новым форматам работы и обеспечит стабильно высокий уровень защиты».

Ранее разработчик представил в «СёрчИнформ SIEM» функцию по автоматическому импорту мошеннических доменов и IP-адресов из базы данных ФинЦЕРТ. С ее помощью финансовые организации могут обогатить SIEM данными об опасных веб-ресурсах, чтобы наладить автоматическое выявление и предотвращение связанных с ними инцидентов.

Свежее по теме