[[slotProps.postItem.title]]
Реагированием на инциденты (Incident Response) является комплекс последовательных мероприятий по обнаружению и прекращению кибератак, а также по анализу причин, оценке ущерба и устранению последствий киберпреступлений. Порядок действий при реагировании на инциденты должен быть закреплен в политиках и процедурах компании.
Основными целями реагирования, как правило, являются минимизация ущерба и сокращение времени, требуемого компании для возвращения к нормальному режиму работы. Мониторинг инцидентов может быть в зоне ответственности внутренней команды специалистов, специально созданного подразделения (Центра мониторинга информационной безопасности) или аутсорсинговых специализированных компаний. Ключевые функции и задачи такого подразделения обычно включают:
Превентивные мероприятия:
· сбор и анализ данных с различных объектов инфраструктуры организации на предмет контроля показателей штатной активности;
· ведение реестра ресурсов (всех ИТ-систем компании) и их оценка на предмет соответствия нормативным требованиям в области информационной безопасности;
· мониторинг подозрительных событий.
Оперативные мероприятия:
· анализ выявленной подозрительной активности;
· своевременное реагирование на потенциальные угрозы;
· пресечение распространения угрозы.
Последующие мероприятия и пост-контроль:
· восстановление деятельности после реализации угрозы;
· расследование причин инцидента (может привлекаться служба безопасности);
· разработка и реализация мероприятий по развитию системы информационной безопасности и недопущению повторения инцидентов.
Таким образом, можно выделить следующие этапы реагирования на инциденты:
1) подготовка;
2) обнаружение;
3) сдерживание;
4) исправление;
5) восстановление;
6) улучшение.
Рассмотрим далее каждый этап более подробно.
1) Подготовка
На данном этапе необходимо для каждой ИТ-системы определить и оценить риски проникновения и утечки данных. Для этого важно провести обследование всех баз данных, приложений, пользователей, устройств и сетей через призму предпосылки «на какую систему может произойти кибератака и почему она может оказаться успешной?».
Также важно разработать план реагирования на инциденты с выделением различных сценариев атаки (кража учетных данных, DDoS-атака, атака программы-вымогателя / требование выкупа и т.д.) и определением ответственных сотрудников, их прав и обязанностей, порядка их действий при наступлении того или иного ИБ-события. Также к этапу подготовки относится проведение обучения ответственных сотрудников и выделение бюджета на программу по реагированию.
2) Обнаружение
Зачастую этот шаг является самым сложным по нескольким причинам. Во-первых, команда по безопасности должна иметь возможности для обнаружения аномальной активности в среде ИТ-систем компании. Основным методом является изучение логов, но немаловажно использовать дополнительный инструментарий. Например, для обнаружения атаки грубой силы необходимо иметь оповещения, указывающие на многократные неудачные попытки входа в систему. Для обнаружения кибератак помогают программные продукты, предназначенные для автоматизации реагирования на киберинциденты (IRP – Incident Response Platform). IRP позволяет записывать в сценарии последовательность стандартных действий при возникновении инцидента, чтобы в дальнейшем автоматически выполнять их на разных этапах реагирования на угрозы.
3) Сдерживание
Если команда по безопасности обнаружит реальную угрозу, то необходимо ограничить воздействие, локализовав угрозу, чтобы предотвратить дальнейший ущерб. Кроме того, команде необходимо устранить уязвимости в системе безопасности, выявить злоумышленника и найти способ предотвратить дополнительный ущерб.
Мерами по пресечению распространения угрозы могут быть изоляция сегментов сети или пораженных устройств, временное отключение интернета, серверов. На данном этапе не допускается уничтожение следов атаки, которые потребуются при расследовании.
4) Исправление
На этом этапе команда по безопасности удаляет все, что злоумышленник использовал для передачи атаки, и восстанавливает все затронутые системы. Компании могут предпринять следующие шаги: удаление вредоносных файлов и программ, смена паролей пострадавших учетных записей, восстановление утраченных данных.
5) Восстановление
После того как все остатки атаки будут удалены, переходят к этапу восстановления. Он включает тестирование затронутых систем, обнаружение любых оставшихся угроз, предотвращение повторения аналогичных инцидентов, ввод в эксплуатацию пострадавших серверов и систем, подключение устройств к сети.
6) Улучшение
По завершении работ по восстановлению систем команда по безопасности должна проанализировать, насколько корректно, эффективно сработал план реагирования: все ли ответственные сотрудники приняли участие, были ли допущены ошибки со стороны команды, соблюдены ли сроки реагирования и др. Также необходимо проанализировать необходимость внесения изменений в план реагирования с учетом полученного опыта.
Ошибки при реагировании на инцидентыРассмотрим основные ошибки/недостатки системы информационной безопасности, часто выявляемые при реализации плана реагирования:
1) Одной из таких ошибок является слишком большой объем уведомлений компрометации на этапе обнаружения. В некоторых случаях параметры для определения предупреждений задаются слишком широко, и в результате команда по безопасности получает большое количество предупреждений, которые не являются релевантными и требующими внимания. В таких случаях ответственные могут вообще отключать уведомления или ошибочно их игнорировать. Важно не допускать повышенную утомляемость аналитиков, чтобы они могли правильно расставлять приоритеты.
2) Для оценки текущего состояния системы информационной безопасности компании необходимо проводить процедуру оценки кибербезопасности в привязке к бизнес-целям компании. Оценку можно провести с привлечением внешних специалистов (например, пентестеров), произведя моделирование взлома. Так можно получить более ценный анализ имеющихся уязвимостей. Такая оценка также поможет руководителям принимать более обоснованные решения в отношении стратегий безопасности и внедрять их в повседневную деятельность.
3) Отсутствие регламентированных процедур по реагированию на инциденты (плана реагирования, политики хранения данных, эксплуатации информационных систем, парольной политики, правил архивации и восстановления данных, резервного копирования). Когда есть процедуры и документация, вам нужно убедиться, что все причастные сотрудники знают, что делать и могут следовать плану реагирования на инциденты. Поскольку угрозы постоянно меняются, необходимо регулярно актуализировать нормативную документацию и инструкции, а также проводить тренинги-симуляции, чтобы поддерживать готовность команды к реагированию. Кроме того, важно проводить поиски угроз в инфраструктуре, чтобы определить, какие области могут быть скомпрометированы. Помимо ежедневных проверок, необходимо периодически выполнять более глубокие проверки внутренних и внешних систем (например, ежеквартально).
4) Уничтожение артефактов без дополнительного изучения. Артефакты — это подсказки к тому, кто, что и каким образом взаимодействовало с системами. Специалисты по кибербезопасности используют артефакты, чтобы отследить первопричину нарушения и определить причастных к нему субъектов угрозы.
5) Недостаточная вовлеченность юристов в вопросы киберинцидентов. В ходе расследования инцидента компания должна определить, планируется ли задействование правоохранительных органов, чтобы правильно спланировать сроки процедур восстановления. Также важно соблюдать осмотрительность при предоставлении общего доступа к сведениям об инциденте (особенно это касается информации, которую планируется раскрыть клиентам и пользователям).
6) Отсутствие практики киберстрахования. Страхование киберрисков позволяет минимизировать ущерб, к которому может привести инцидент. Современные пакеты страхования включают расследование и диагностику инцидентов, что позволит минимизировать риски, связанные с недостаточным штатом специалистов по информационной безопасности в компании.
Автор: Дарья Бочарова
