Реагирование на инциденты (incident response) представляет собой комплекс мероприятий по обнаружению и прекращению кибератак и устранению их последствий. Основная цель реагирования — сведение к минимуму ущерба от инцидента и оперативный возврат к нормальному режиму работы.
Организация эффективного реагирования на инциденты включает несколько важных этапов. Однако перед тем как начать строить процесс реагирования, крайне важно сформулировать четкое определение инцидента так, чтобы была ясна область термина и его отличие от события.
Событие — это любое зафиксированное явление в системе или сети (например, подключение пользователя к файловому серверу, обработка веб-запроса сервером, отправка email-сообщения, блокирование объекта межсетевым экраном сетевого соединения).
Инцидент информационной безопасности — это событие или группа событий информационной безопасности, которые могут привести к нарушению функционирования IT-инфраструктуры или возникновению угроз для обрабатываемой в ней информации.
После этого необходимо выполнить несколько обязательных предварительных этапов для построения эффективного процесса реагирования на инциденты ИБ:
- Разработка документации. В рамках подготовки документации необходимо разработать политику и план реагирования на инциденты ИБ, а также процедуры, которые регламентируют действия команды мониторинга и реагирования. Все эти документы необходимы для того, чтобы реагирование выполнялось эффективно и последовательно, а также для того, чтобы команда имела достаточные полномочия для принятия решений.
- Формирование и подготовка команды. Формирование команды мониторинга и реагирования — это самая трудоемкая задача. Перед тем как нанять специалистов, следует решить, какие сервисы должна предоставлять команда, определить ее структуру, модель и численность с учетом специфики вашей организации.
- Определение взаимосвязей с другими командами. Важно выделить другие группы в организации и за ее пределами, участие которых может потребоваться при обработке или постобработке инцидентов. Это позволит не тратить время на выстраивание взаимодействий и коммуникаций в момент непосредственного реагирования на инцидент ИБ.
По завершении подготовительных этапов можно приступать к построению процесса реагирования. Процесс состоит из нескольких фаз.
Рисунок 1. Схема процесса реагирования
Подготовка к реагированию. Это начальная фаза, которая включает не только создание условий, при которых организация будет готова реагировать на инциденты, но и предотвращение инцидентов, а также гарантирует, что системы, сети и приложения достаточно безопасны, а пользователи усвоили принципы защиты при работе.
Конечно, харденинг инфраструктуры и повышение осведомленности персонала в вопросах ИБ не входят в процесс реагирования на инциденты, однако они напрямую влияют на количество инцидентов в целом, а удержание их количества на низком уровне очень важно для защиты процессов организации. Если меры безопасности недостаточны, объемы инцидентов могут превысить возможности команды мониторинга и реагирования. Следствием этого может стать замедленное и неполное реагирование, которое окажет еще большее отрицательное влияние на бизнес (например, приведет к более значительному ущербу, более длительным периодам обслуживания и отсутствия данных).
Обнаружение и анализ инцидента. На этой фазе команда мониторинга и реагирования должна предупредить всех заинтересованных лиц о происходящем инциденте ИБ, приоритизировать его и определить процедуру предотвращения кибератаки.
Локализация инцидента, выявление и ликвидация его последствий. В зависимости от степени опасности инцидента команда должна определить и ограничить функционирование информационных ресурсов, на которых обнаружены признаки компьютерного инцидента, выявить его последствия, а затем приступить к восстановлению штатного режима функционирования информационных ресурсов. Во время этой фазы необходимо периодически повторять процедуры, предусмотренные в фазе «Обнаружение и анализ инцидента», чтобы определить полный перечень узлов ЛВС, затронутых в ходе кибератаки.
Постинцидентный анализ. После того как инцидент обработан, команда мониторинга и реагирования выпускает отчет, содержащий детализацию причин инцидента и шаги, которые организация должна предпринять, чтобы предотвратить повторение аналогичных инцидентов в будущем.