Подготовка к реагированию на инциденты ИБ

После того как вы узнали, какие документы необходимо утвердить в организации, чтобы запустить процесс реагирования на инциденты ИБ, и сформировали команду мониторинга и реагирования, можно переходить непосредственно к действиям. Выделяют четыре этапа реагирования на инциденты:

• подготовка к реагированию,
• обнаружение и анализ инцидента,
• локализация инцидента, выявление и ликвидация его последствий,
• постинцидентный анализ.

Эта статья посвящена подготовке к реагированию на инциденты, включающей в себя создание необходимых условий для работы команды мониторинга и реагирования и проведение работ по предотвращению инцидентов.

Создание необходимых условий для работы команды мониторинга и реагирования

Создание условий для работы команды мониторинга и реагирования включает в себя подготовку необходимых инструментов. Кроме того, команду необходимо обеспечить аналитическими ресурсами и различными инструментами коммуникации.

Далее приведены списки с примерами ресурсов и инструментов, которые будут полезны при налаживании коммуникации, а также при обработке и предотвращении инцидентов. Эти списки могут быть дополнены другими инструментами и ресурсами в зависимости от потребностей вашей команды.

Ресурсы и инструменты, необходимые для коммуникации с командой и внутри нее

• Контакты (основные и резервные) всех членов команды и других сотрудников организации, чья помощь может понадобиться для реагирования на инциденты. Узнать, какие связи необходимы команде мониторинга и реагирования, можно . Контактная информация может включать номера телефонов, адреса электронной почты, общие ключи шифрования и инструкции по подтверждению идентичности.
• Информация по привлечению других сотрудников организации — указания того, с кем нужно связаться в различных ситуациях (включая эскалацию инцидентов).
• Способы оповещения команды мониторинга и реагирования об инцидентах. Например, чтобы сообщить о предполагаемых инцидентах, пользователи могут использовать электронную почту, онлайн-формы и безопасные мессенджеры. Хотя бы один из способов связи должен позволять пользователям сообщать об инцидентах анонимно.
• Система, позволяющая команде отслеживать статус выполнения задач.
• Смартфоны, которые члены команды будут использовать для локальной коммуникации и внеурочной связи.
• Средства криптографической защиты информации, которые будут использоваться для коммуникации внутри организации и с третьими сторонами.
• Рабочее помещение для централизованной коммуникации и координации. Даже если постоянное помещение не требуется или его использование непрактично, команда все же должна иметь возможность оперативно обеспечить себе рабочее помещение при необходимости.

Аппаратное и программное обеспечение, необходимое для управления инцидентами ИБ

• Рабочие станции для расследования и (или) устройства резервного копирования, чтобы создавать образы дисков, хранить файлы журналов и другие данные об инцидентах.
• Ноутбуки для анализа данных, перехвата и анализа сетевых пакетов, написания отчетов.
• Запасные рабочие станции, серверы и сетевое оборудование (или их виртуальные эквиваленты), которые могут применяться для разных целей. Например, для восстановления резервных копий и анализа вредоносного ПО.
• Чистые машинные носители информации.
• ПО для перехвата и анализа сетевого трафика.
• ПО для расследования инцидентов, в том числе позволяющее анализировать образы дисков.
• Надежное с точки зрения конфиденциальности информации средство хранения данных (например, криптоконтейнеры).
• Съемные носители с доверенными версиями программ, использующиеся для сбора журналов безопасности систем.
• Цифровые камеры, диктофоны и другие средства сбора и хранения доказательств, которые могут понадобиться для судебных исков.

Для смягчения воздействия инцидентов ИБ на инфраструктуру необходимо обеспечить команду мониторинга и реагирования образами чистых ОС и инсталляторами приложений, используемых в организации.

Чтобы обеспечить команде максимальную мобильность в случае экстренной ситуации, некоторые команды создают портативный дежурный набор, который всегда должен быть готов к использованию. В дежурный набор входят многие элементы, перечисленные выше. Его содержание определяет сама команда мониторинга и реагирования. Однако набор, как правило, включает:

• ноутбук с предустановленным ПО, необходимым для расследования инцидентов,
• устройства резервного копирования,
• чистые носители информации,
• сетевое оборудование и кабели.

Помимо общего дежурного набора, использующегося в экстренных случаях, для штатной работы у каждого члена команды должен быть доступ по крайней мере к двум ноутбукам. Первый ноутбук — такой же, как в дежурном наборе, — должен использоваться для перехвата сетевых пакетов, анализа вредоносного кода и остальных действий, связанных с риском заразить ноутбук, на котором они выполняются. Этот ноутбук должен быть очищен, а ПО повторно установлено, прежде чем он будет использоваться для предотвращения другого инцидента. Обратите внимание на то, что этот ноутбук — особого назначения. На нем, вероятно, будет установлено ПО, отличное от стандартных инструментов и конфигураций предприятия. В связи с этим основные технические требования для таких ноутбуков должны устанавливаться непосредственно членами команды.

В дополнение к специализированному ноутбуку у каждого члена команды также должен быть стандартный ноутбук или другое устройство для того, чтобы писать отчеты, пользоваться электронной почтой и выполнять другие обязанности, не связанные напрямую с анализом инцидентов.

Аналитические ресурсы, необходимые для управления инцидентами

Для обнаружения инцидентов ИБ и работы с ними команда мониторинга и реагирования использует аналитические ресурсы. Заранее подготовленные ресурсы позволят сэкономить время команды: счет может идти на минуты. К таким аналитическим ресурсам относятся:

• Списки портов, включая часто используемые порты. Список часто используемых портов может включать в себя не только легитимные порты, используемые системой или ПО, но и порты, которые наиболее часто используются злоумышленниками для проникновения в инфраструктуру.
• Документация на ОС, приложения, протоколы и средства защиты информации.
• Сетевые схемы и списки критически важных активов, в том числе целевых и ключевых систем.
• Текущие графики активности анализируемых сетей, систем и приложений.
• Хеш-суммы критически важных файлов, используемые для ускорения анализа, проверки и ликвидации инцидентов.

Предотвращение инцидентов

Удержание количества инцидентов на низком уровне очень важно для организации. Если меры безопасности недостаточны, объемы инцидентов увеличатся настолько, что превысят возможности команды мониторинга и реагирования. Это приведет к замедленному или неполному реагированию, которое усилит отрицательное влияние на бизнес (например, повлечет за собой более значительный ущерб, более длинный период простоя и отсутствие данных).

Безусловно, ответственность за обеспечение безопасности информации не лежит полностью на членах команды мониторинга и реагирования, однако они могут обнаруживать проблемы в защите информации и рекомендовать эффективные способы их решения. Кроме того, команда мониторинга и реагирования может играть ключевую роль в определении сценариев и критериев реализации недопустимых событий.

Вот несколько рекомендаций, которые позволят уменьшить количество инцидентов ИБ:

Регулярный поиск новых точек проникновения и анализ защищенности уже известных точек. В целях снижения количества инцидентов ИБ необходимо регулярно выявлять новые точки проникновения в ЛВС организации, а также анализировать уже известные точки проникновения, проверяя их защищенность. Оценка текущей защищенности должна включать анализ уязвимостей и применимых векторов атак, которые могут привести к недопустимым событиям (подробнее — в статье «Определение точек проникновения в IT-инфраструктуру»).

Харденинг IT-инфраструктуры. Безопасность всей IT-инфраструктуры организации должна быть усилена с помощью лучших практик авторитетных организаций, а также рекомендаций и инструкций по харденингу от разработчиков используемого программного обеспечения или программно-аппаратных комплексов (подробнее — в статьях «Харденинг IT-инфраструктуры»).

Своевременное обновление ПО. Необходимо регулярно отслеживать актуальность обновлений ПО, используемого в организации.

Назначение минимально необходимых прав доступа. Системы должны конфигурироваться по принципу наименьшего количества привилегий — предоставляйте пользователям только те привилегии, которые необходимы для выполнения их рабочих задач (подробнее — в статье ).

Мониторинг безопасности. Системы должны регистрировать все события, связанные с безопасностью, в том числе и касающиеся изменений конфигурации (подробнее — в статье «Мониторинг событий кибербезопасности»).

Сетевая безопасность. Сетевой периметр должен строиться исходя из принципа «запрещено все, что не разрешено». Это касается также виртуальных частных сетей (VPN) и каналов связи с другими организациями.

Защита от вредоносного кода. Средства антивирусной защиты должны быть развернуты по всей организации и на всех уровнях функционирования:

• на уровне узла (например, операционной системы сервера и рабочей станции),
• на уровне сервера приложений (например, почтового сервера, веб-прокси),
• на уровне клиента приложения (например, почтового клиента, клиента обмена мгновенными сообщениями).

Обучение и подготовка сотрудников. Сотрудники должны быть обучены правилам безопасного использования сетей, систем и приложений. Извлекайте уроки из предыдущих инцидентов и доводите новые сведения до сотрудников, чтобы наглядно показать, как их действия могут влиять на работу организации (подробнее — в статье «Аспекты кибербезопасности, которые необходимо знать всем сотрудникам»).