Как сформировать команду реагирования на инциденты ИБ

akhalin.jpgАХАлексей Халин

Структура команды реагирования на инциденты ИБ

Чтобы процесс реагирования на инциденты был эффективным, очень важно правильно сформировать команду реагирования. В первую очередь нужно определить структуру команды. Кроме того, нужно сделать так, чтобы команда реагирования была доступна для любого сотрудника организации, который подозревает, что произошел инцидент.

Вертикальная структура команды реагирования обычно состоит из трех уровней — линий:

Первая линия. Аналитики, непосредственно занимающиеся мониторингом, обработкой ложных срабатываний, первичным анализом в рамках типовых сценариев реагирования (плейбуков). Такие сценарии помогают специалистам ЦПК быстро принимать решения по типовым ситуациям. При необходимости аналитики первой линии эскалируют инцидент на вторую линию.

Вторая линия. Аналитики, принимающие оповещения об инцидентах от первой линии и занимающиеся детальным расследованием инцидентов.

Третья линия. Аналитики, занимающиеся глубоким анализом инцидентов, разбором деталей и артефактов. Эти специалисты могут использовать сложную аналитику, включая реверс-инжиниринг приложений.

В состав команды реагирования также могут входить специалисты, которые не будут относиться ни к одному из трех уровней. Например, аналитики, занимающиеся корректировкой действующих правил корреляции, написанием и актуализацией сценариев реагирования, специалисты по расследованиям, а также другие специалисты.

Горизонтальная структура команды реагирования зависит от масштабов самой организации и может принимать следующие формы:

Центральная команда реагирования на инциденты. Отдельная команда реагирования на инциденты обрабатывает все инциденты по всей организации. Эта модель эффективна для небольших организаций и для организаций с минимальной географической распределенностью вычислительных ресурсов.

Распределенные команды реагирования на инциденты. У организации есть множество команд реагирования на инциденты, и каждая ответственна за конкретный логический или физический сегмент организации. Эта модель эффективна для крупных организаций (например, одна команда на одно структурное подразделение организации) и для организаций с важными вычислительными ресурсами в отдаленных местоположениях (например, одна команда на географический регион). При этом команды должны быть частью одной координируемой сущности, так чтобы процесс реагирования на инциденты был непротиворечив по всей организации и информация об инцидентах была общей для всех команд.

Чтобы укомплектовать команду необходимым числом сотрудников, можно использовать одну из трех моделей:

Штатные сотрудники. Организация выполняет всю работу по реагированию на инциденты самостоятельно и с минимальной технической и административной поддержкой от подрядчиков.

Частичный аутсорсинг. Часть работ по реагированию на инциденты выполняется внешней организацией. Обязанности реагирования на инциденты могут быть разделены между организацией и одним или несколькими подрядчиками различными способами, но наиболее распространенными вариантами являются:

  • аутсорсинг мониторинга обнаружения вторжений, межсетевых экранов и других устройств безопасности внешним поставщиком услуг управления безопасностью (managed security service provider, MSSP) 24 часа в день, 7 дней в неделю (24/7). MSSP определяет и анализирует подозрительную активность и сообщает о каждом обнаруженном инциденте команде реагирования организации;
  • аутсорсинг третьей линии реагирования. Для специалистов третьей линии требуется высокий уровень квалификации. При этом инциденты такого уровня могут происходить довольно редко. Поэтому иногда некоторые организации для расследований, требующих глубокого анализа, приглашают сторонние организации, специализирующиеся на оказании услуг расследования.

Полный аутсорсинг. Работа по реагированию на инциденты полностью выполняется внешней организацией, как правило, единым подрядчиком. Эта модель используется организациями, когда они нуждаются в постоянной единой команде реагирования на инциденты, но не имеют в наличии достаточно квалифицированных сотрудников. Такая модель предполагает, что у организации будут сотрудники, контролирующие и наблюдающие за работой подрядчика.

Факторы, влияющие на выбор структуры команды реагирования

Выбирая соответствующую структуру и модели комплектования команды реагирования, организации должны рассмотреть следующие важные факторы, которые могут повлиять на их выбор:

  • Круглосуточное функционирование. Для работы центра противодействия киберугрозам, нужно чтобы команда реагирования всегда была доступна. То есть команда реагирования должна функционировать круглосуточно семь дней в неделю.
  • Полная или частичная занятость персонала. Организации с ограниченным финансированием, персоналом или потребностями по реагированию на инциденты могут иметь только частично занятых членов команды реагирования на инциденты, представляющих услуги виртуальной команды реагирования на инциденты. В этом случае команда реагирования подключается только тогда, когда произошел инцидент ИБ. При этом некоторая группа людей, например справочная служба ИТ, может действовать как первая линия реагирования для сообщения об инцидентах. Участники справочной службы могут быть обучены выполнять первоначальное расследование и сбор данных и в случае, если произошел серьезный инцидент, предупредить команду реагирования.
  • Затраты. Затраты — основной фактор, особенно если сотрудники обязаны быть на месте 24/7. Организации не всегда могут включить в бюджет затраты, косвенно связанные с реагированием на инциденты, например деньги на обучение и поддержание квалификации персонала. Поскольку команды реагирования работают со многими аспектами ИТ, то их участникам нужны намного более широкие знания, чем большинству сотрудников ИТ. Они должны также уметь использовать инструменты реагирования на инциденты. Другие затраты, о которых нельзя забывать, — затраты на физическую безопасность рабочих мест команды и механизмы коммуникации.
  • Экспертные знания персонала. Обработка инцидентов требует специализированных знаний и опыта в нескольких технических областях. Широта и глубина требуемых знаний варьируются в зависимости от серьезности утвержденных в организации недопустимых событий. Подрядчики могут обладать более глубокими знаниями в области обнаружения вторжений и расследований инцидентов, знаниями уязвимостей, эксплойтов и других аспектов безопасности. Кроме того, MSSP могут коррелировать события среди клиентов и за счет этого выявлять новые угрозы быстрее, чем это мог бы сделать каждый клиент по отдельности. Однако у внутренних сотрудников обычно есть лучшее знание ИТ-инфраструктуры организации, чем у подрядчиков. Это может быть полезным в идентификации ложных срабатываний и определении приоритета инцидента в зависимости от значимости объекта.

Передача функций реагирования на аутсорсинг

Рассматривая передачу функций реагирования на аутсорсинг, организации должны учитывать следующие факторы:

Ответственное подразделение. Организации часто не предоставляют подрядчикам полномочий по принятию эксплуатационных решений внутри ИТ-инфраструктуры (например, отключение веб-сервера от сети). В таком случае важно задокументировать пути принятия решений. Например, при частично субподрядной модели эту проблему можно решить путем предоставления данных об инцидентах внутренней команде реагирования организации наряду с рекомендациями по дальнейшей обработке инцидента. Внутренняя команда в конечном счете принимает эксплуатационные решения, а подрядчик продолжает оказывать поддержку по мере необходимости.

Конфиденциальная информация, предоставляемая подрядчику. Деление обязанностей по реагированию на инциденты поможет ограничить доступ к конфиденциальной информации. Например, подрядчик может определить, какой идентификатор пользователя присутствовал в инциденте (например, ID 123456), но не знать, какому человеку он соответствует. В свою очередь, внутренние сотрудники организации, проводя свое расследование, могут сопоставить идентификатор с реальным пользователем системы. При этом с подрядчиком необходимо заключить соглашение о неразглашении конфиденциальной информации.

Отсутствие конкретных сведений об организации. Точный анализ и назначение приоритетов инцидентам зависят от знания среды организации. Организация должна обеспечить подрядчика регулярно обновляемыми документами, которые касаются реагирования на инциденты ИБ: какие ресурсы очень важны и какой уровень реагирования должен быть при различном стечении обстоятельств. Организация должна также сообщать обо всех изменениях и обновлениях в ее ИТ-инфраструктуре, конфигурации сети и систем. Иначе предположение подрядчика относительно того, как лучше обработать тот или иной инцидент, неизбежно приводит к тому, что с инцидентами не справляются и отношения между сторонами ухудшаются. Отсутствие специальных знаний об организации также может быть проблемой, когда реагирование на инциденты производится на стороне заказчика и если взаимодействие между командами недостаточное или организация просто не собирает необходимую информацию.

Отсутствие корреляции. Корреляция среди нескольких источников данных очень важна. Если система обнаружения вторжений делает запись предпринятой атаки на веб-сервер, но у подрядчика нет доступа к журналам сервера, он может не определить, была ли атака успешной. Чтобы работа была эффективной, подрядчик потребует административных привилегий доступа к критически важным системам и журналам устройств безопасности удаленно по безопасному каналу. Однако это увеличит затраты на администрирование, введет дополнительные точки проникновения и увеличит риск несанкционированного раскрытия конфиденциальной информации.

Локальная обработка инцидентов. Эффективное реагирование на инциденты часто требует физического присутствия на объектах организации. Если подрядчик работает удаленно, оцените, где подрядчик расположен, как быстро команда реагирования может прибыть на объект и сколько это будет стоить.

Поддержание внутренних возможностей реагирования на инциденты. Организации, в которых реагирование на инциденты осуществляется только силами подрядчика, должны стремиться поддерживать базовые внутренние возможности по реагированию на инциденты. Могут возникнуть ситуации, когда подрядчик недоступен, поэтому организация должна быть готова выполнить обработку инцидента сама. Кроме того, технический персонал организации должен понимать значение, технические последствия и влияние рекомендаций подрядчика на ИТ-инфраструктуру организации. 

Роли в команде реагирования на инциденты ИБ

За реагирование на инциденты должен отвечать отдельный сотрудник, с одним или несколькими заместителями. В полностью субподрядной модели этот человек контролирует и оценивает работу подрядчика. Во всех других моделях обычно есть менеджер команды и один или несколько заместителей, которые берут на себя полномочия в отсутствие менеджера команды.

Менеджеры обычно выполняют много задач, включая связь с высшим руководством и другими командами и организациями, разрешение кризисных ситуаций. Кроме того, менеджер выступает гарантом того, что есть необходимый персонал, ресурсы и знания, необходимые для эффективного реагирования на инциденты. Менеджеры должны быть технически подготовлены и иметь отличные навыки общения, особенно с большой аудиторией. В конечном итоге менеджеры ответственны за обеспечение правильного реагирования на инциденты.

В дополнение к менеджеру и заместителю команды, в некоторых командах также есть технический руководитель — человек с сильными техническими навыками и опытом реагирования на инциденты, который осуществляет надзор и несет конечную ответственность за качество технической работы команды.

Должность технического руководителя не следует путать с позицией ведущего по инциденту. Более многочисленные команды для обработки конкретного инцидента часто назначают ведущего по инциденту. Он назначается ответственным за обработку инцидента. В зависимости от размера команды реагирования и серьезности инцидента, ведущий по инциденту может не выполнять фактическую обработку инцидента, а лишь координировать работу аналитиков, собирать от них информацию, предоставлять новую информацию по инциденту другим группам и гарантировать, что потребности команды удовлетворены.

У членов команды реагирования должна быть превосходная техническая подготовка в таких областях, как системное администрирование, администрирование сетей, программирование, обнаружение вторжений, техническая поддержка. У каждого члена команды должны быть хорошие навыки по решению проблем и способности к критическому мышлению.

Практика показывает, что необязательно, чтобы каждый член команды был техническим экспертом, как минимум потому, что для этого нужны большие финансовые затраты. Однако наличие по крайней мере одного очень опытного человека в каждой основной области (например, в области операционных систем и приложений, которые атакуют чаще всего) является необходимостью. Часто полезно также иметь несколько членов команды, специализирующихся в особых технических областях, таких как обнаружение сетевых вторжений и анализ вредоносного кода.

Моральный дух команды напрямую влияет на эффективность ее работы. Поэтому очень важно бороться с выгоранием персонала, предоставляя возможности для повышения квалификации и роста. Для этого есть несколько советов:

  • Сформируйте достаточный бюджет, чтобы поддерживать, увеличивать и расширять мастерство в технических областях и направлениях безопасности, а также в менее технических темах, таких как законодательные аспекты реагирования на инциденты ИБ. Это должно включать отправку персонала на конференции и поощрение или иное стимулирование участия в конференциях, обеспечение доступности технических справочников, которые дают более глубокое техническое понимание разных вещей, и иногда привлечение внешних экспертов (например, подрядчиков) с глубокими техническими знаниями в необходимых областях, если позволяет финансирование.
  • Дайте возможность членам команды выполнять непрофильные задачи, такие как создание обучающих материалов, проведение семинаров по информационной безопасности и выполнение исследований.
  • Рассмотрите временную ротацию сотрудников между линиями реагирования и другими командами в организации (например, сетевыми администраторами), чтобы получить новые технические знания.
  • Поддерживайте достаточное укомплектование персоналом, чтобы у членов команды могло быть свободное время (например, отгулы).
  • Создайте программу наставничества, чтобы дать возможность основному техническому персоналу помогать менее опытным сотрудникам осваивать обработку инцидентов.

У членов команды реагирования в дополнение к техническим знаниям должны быть развиты гибкие навыки (soft skills). Фундаментальное значение имеет навык командной работы, ведь кооперация и координация действий — залог успешного реагирования на инциденты. У каждого члена команды также должны быть хорошие навыки общения, ведь команда будет взаимодействовать с большим количеством людей. Также важны письменные навыки: команда готовит оповещения и описывает процедуры реагирования. Конечно, не у каждого члена команды должны быть сильные навыки письма и общения, но по крайней мере несколько человек на каждой линии должны ими обладать, чтобы команда в целом могла хорошо себя преподнести.

Дополнительные задачи, которые может решать команда реагирования

Основной задачей команды реагирования является, естественно, реагирование на инциденты, однако довольно редко команда выполняет только лишь реагирование. Ниже приводятся примеры других задач, которые может выполнять команда реагирования:

Обнаружение вторжений. Первая линия команды реагирования часто отвечает за обнаружение вторжений. Это помогает команде анализировать инциденты более быстро и точно, на основе знаний о технологиях обнаружения вторжений.

Распространение оповещений. Команда может выпускать оповещения о новых уязвимостях и угрозах внутри организации. Если возможно, должны использоваться автоматизированные методы доведения информации, например через XML-файлы или каналы RSS.

Образование. Образование — множитель ресурсов: чем больше пользователей и технических специалистов знают об угрозах ИБ, тем меньше усилий нужно прикладывать команде реагирования на инциденты. Поэтому в команде реагирования может быть выделен отдельный сотрудник, который будет разрабатывать обучающие материалы и проводить проверки усвоенного материала.

Вас могут заинтересовать статьи

Какие связи необходимы команде реагирования для эффективной работы