АХАлексей Халин
Реагирование на инциденты (incident response) представляет собой комплекс мероприятий по обнаружению и прекращению кибератак и устранению их последствий. Основная цель реагирования — сведение к минимуму ущерба от инцидента и оперативный возврат к нормальному режиму работы.
Организация эффективного реагирования на инциденты включает несколько важных этапов. Однако перед тем как начать строить процесс реагирования, крайне важно сформулировать четкое определение инцидента так, чтобы была ясна область термина и его отличие от события.
Событие — это любое зафиксированное явление в системе или сети (например, подключение пользователя к файловому серверу, обработка веб-запроса сервером, отправка email-сообщения, блокирование объекта межсетевым экраном сетевого соединения).
Инцидент информационной безопасности — это событие или группа событий информационной безопасности, которые могут привести к нарушению функционирования IT-инфраструктуры или возникновению угроз для обрабатываемой в ней информации.
После этого необходимо выполнить несколько обязательных предварительных этапов для построения эффективного процесса реагирования на инциденты ИБ:
- Разработка документации. В рамках подготовки документации необходимо разработать политику и план реагирования на инциденты ИБ, а также процедуры, которые регламентируют действия команды реагирования. Все эти документы необходимы для того, чтобы реагирование выполнялось эффективно и последовательно, а также для того, чтобы команда имела достаточные полномочия для принятия решений.
- Формирование и подготовка команды. Формирование команды реагирования — это самая трудоемкая задача. Перед тем как нанять специалистов, следует решить, какие сервисы должна предоставлять команда реагирования, определить ее структуру, модель и численность с учетом специфики вашей организации.
- Определение взаимосвязей с другими командами. Важно выделить другие группы в организации и за ее пределами, участие которых может потребоваться при обработке или постобработке инцидентов. Это позволит не тратить время на выстраивание взаимодействий и коммуникаций в момент непосредственного реагирования на инцидент ИБ.
По завершении подготовительных этапов можно приступать к построению процесса реагирования. Процесс состоит из нескольких фаз.
Рисунок 1. Схема процесса реагирования
Подготовка. Это начальная фаза, которая включает не только создание условий, при которых организация будет готова реагировать на инциденты, но и предотвращение инцидентов, а также гарантирует, что системы, сети и приложения достаточно безопасны, а пользователи усвоили принципы защиты при работе.
Конечно, харденинг инфраструктуры и повышение осведомленности персонала в вопросах ИБ не входят в процесс реагирования на инциденты, однако они напрямую влияют на количество инцидентов в целом, а удержание их количества на низком уровне очень важно для защиты процессов организации. Если меры безопасности недостаточны, объемы инцидентов могут превысить возможности команды реагирования. Следствием этого может стать замедленное и неполное реагирование, которое окажет еще большее отрицательное влияние на бизнес (например, приведет к более значительному ущербу, более длительным периодам обслуживания и отсутствия данных).
Обнаружение и анализ. На этой фазе команда реагирования должна предупредить всех заинтересованных лиц о происходящем инциденте ИБ, приоритизировать его и определить процедуру предотвращения кибератаки.
Сдерживание и восстановление. В зависимости от степени опасности инцидента организация должна смягчить и ограничить его воздействие, а затем приступить к восстановлению. Во время этой фазы необходимо периодически повторять процедуры, предусмотренные в фазе «Обнаружение и анализ», чтобы определить полный перечень узлов ЛВС, затронутых в ходе кибератаки.
Постинцидентный анализ. После того как инцидент обработан, команда реагирования выпускает отчет, содержащий детализацию причин инцидента и шаги, которые организация должна предпринять, чтобы предотвратить повторение аналогичных инцидентов в будущем.