V8.1.4 General Data Protection

Requirement:

Verify the application can detect and alert on abnormal numbers of requests, such as by IP, user, total per hour or day, or whatever makes sense for the application.

Explanation:

В требовании подчеркивается, что приложения должны иметь возможность обнаруживать и предупреждать об аномальном количестве запросов на основе различных факторов, таких как IP-адреса, учетные записи пользователей, общее количество запросов за час, день или любые другие соответствующие критерии.

Remediation:

Основные пункты, которые необходимо учесть при реализации данного требования:

1. Detection of Abnormal Activity.

Основной целью данного требования является обнаружение аномальных или подозрительных шаблонов активности пользователей. Аномалии могут указывать на потенциально вредоносные действия, такие как распределенная атака типа "Distributed Denial of Service" (DDoS), попытки входа в систему методом грубой силы или другие формы злоупотреблений.

2. Security and Anomaly Detection.

Аномальные шаблоны запросов могут сигнализировать об угрозах безопасности или атаках. Например, внезапное увеличение числа попыток входа в систему с определенного IP-адреса может свидетельствовать об атаке методом грубой силы. Обнаружение аномалий является одним из основных компонентов проактивной безопасности. Он позволяет приложению выявлять отклонения от типичного поведения пользователей и реагировать на них соответствующим образом.

3. Protection Against DDoS Attacks.

Distributed Denial of Service (DDoS) атаки предполагают переполнение системы огромным количеством запросов, в результате чего она становится недоступной. Обнаружив аномальную частоту или характер запросов, приложение может принять меры по снижению воздействия DDoS-атак, например, ограничить скорость или перенаправить трафик.

4. User Account Protection.

Обнаружение аномальной активности, связанной с учетными записями пользователей, очень важно для защиты пользовательских данных. Необычные схемы доступа, например, многократные сбои при входе в систему, могут свидетельствовать о компрометации учетной записи или попытках несанкционированного доступа.

5. Rate Limiting and Access Control.

Обнаружение аномальных запросов может привести к срабатыванию механизмов ограничения скорости, которые временно ограничивают доступ или требуют дополнительных шагов аутентификации для подозрительных пользователей или IP-адресов. Для предотвращения несанкционированного или злонамеренного доступа могут применяться правила контроля доступа, основанные на обнаруженных отклонениях.

6. Alerting and Incident Response.

В данном требовании особое внимание уделяется оповещению, которое гарантирует, что при обнаружении аномалий система оповестит сотрудников ИТ и безопасности. Своевременное оповещение позволяет группам реагирования на инциденты провести расследование и принять необходимые меры по снижению потенциальных угроз безопасности.

7. Compliance and Reporting.

Многие нормативные акты и стандарты, например GDPR, требуют от организаций реализации мер по обнаружению и информированию об утечках данных. Обнаружение аномальной активности и оповещение позволяют обеспечить соответствие этим требованиям.

8. Customizable Criteria.

Данное требование является гибким, что позволяет организациям определять критерии аномального поведения в зависимости от конкретного приложения и угроз.

Additional: