Методология

Рекомендации по работе с карточкой инцидента ИБ

akhalin.jpgАлексей Халин

Общий порядок действий при обнаружении инцидента ИБ выглядит следующим образом.

Рисунок 1. Порядок действий при обнаружении инцидента ИБ

При обнаружении инцидента ИБ необходимо зарегистрировать его, создав карточку инцидента с первоначальной информацией об инциденте в соответствии со стандартами, принятыми в вашей организации. По мере реагирования и расследования инцидента карточка дополняется новой информацией.

Полностью заполненная карточка инцидента ИБ может выглядеть следующим образом:

ПолеЗначение
Идентификатор инцидентаУникальный номер. Например, F0001
Время возникновения инцидентаЧисло, месяц, год и время: 01.01.2021 12:01
Продолжительность инцидентаПредположительные дата и время начала и завершения атаки. Например, с 01.01.2021 12:01 по 01.01.2021 12:05. Заполняется, если атака была распределена во времени (например, подбор пароля, фишинговая рассылка, сканирование сетевых портов)
Источник вредоносного воздействияIP-адрес или FQDN (fully qualified domain name) узла, с которого предположительно была проведена атака
Атакованные ресурсыРесурс или группа ресурсов, на которые была направлена обнаруженная атака
Средство обнаруженияС помощью какого средства (или нескольких средств) инцидент был обнаружен
Описание инцидентаКраткое описание события. Например, «Детектирование фишинговой рассылки на почте»
Уровень опасностиПрисваивается экспертным путем
Сопоставление с матрицей MITRE ATT&CKТактики и техники MITRE ATT&CK, использованные во время атаки. Например, TA0001: Initial Access
Связь с недопустимым событиемУказывается, если инцидент относится к успешной, частичной или потенциальной реализации недопустимого события
Скомпрометированные данныеКакие важные данные удалось получить атакующим в результате инцидента (учетные записи, содержимое баз данных, документация и т. д.)
Связь с другими инцидентамиПеречень идентификаторов родительских инцидентов, реализация которых была необходима для этого инцидента
Меры по реагированию на инцидентПлейбук или отдельные меры, которые были использованы для реагирования на инцидент
Продолжительность реагирования на инцидентВремя. Например, 3:15:00. Указывается время, прошедшее с момента регистрации инцидента до закрытия карточки инцидента
Меры по повышению общего уровня защищенностиМеры повышения защищенности, предпринятые после нейтрализации инцидента

После регистрации инцидента необходимо внести в карточку информацию, которой вы располагаете на текущий момент. Такой информацией может быть:

  • время возникновения инцидента;
  • продолжительность инцидента;
  • источник вредоносного воздействия;
  • атакованные ресурсы;
  • средство обнаружения;
  • описание инцидента;
  • тактики и техники MITRE ATT&CK.

После заполнения указанных полей необходимо провести анализ имеющейся в карточке информации. На основании проведенного анализа необходимо присвоить инциденту уровень опасности и выбрать подходящий плейбук реагирования.

Помимо общей информации об инциденте, в карточку должна быть внесена информация, получаемая в процессе реагирования и расследования. К такой информации относятся:

  • связь с недопустимым событием;
  • скомпрометированные данные;
  • связь с другими инцидентами;
  • меры по реагированию на инцидент;
  • время реагирования на инцидент.

После того как реагирование на инцидент будет закончено, необходимо провести расследование причин возникновения инцидента. По результатам такого расследования должны быть выработаны меры повышения защищенности, исключающие появление аналогичных инцидентов в будущем. Такие меры включаются в карточку инцидента. После этого карточка инцидента закрывается, а информация из нее может быть использована для последующего анализа и расследования аналогичных инцидентов или для усиления системы защиты информации.