Рекомендации по работе с карточкой инцидента ИБ

Общий порядок действий при обнаружении инцидента ИБ выглядит следующим образом.

Порядок действий при обнаружении инцидента ИБ Рисунок 1. Порядок действий при обнаружении инцидента ИБ

При обнаружении инцидента ИБ необходимо зарегистрировать его, создав карточку инцидента с первоначальной информацией об инциденте в соответствии со стандартами, принятыми в вашей организации. По мере реагирования и расследования инцидента карточка дополняется новой информацией.

Полностью заполненная карточка инцидента ИБ может выглядеть следующим образом:

Поле	Значение
Идентификатор инцидента	Уникальный номер. Например, F0001
Время возникновения инцидента	Число, месяц, год и время: 01.01.2021 12:01
Продолжительность инцидента	Предположительные дата и время начала и завершения атаки. Например, с 01.01.2021 12:01 по 01.01.2021 12:05. Заполняется, если атака была распределена во времени (например, подбор пароля, фишинговая рассылка, сканирование сетевых портов)
Источник вредоносного воздействия	IP-адрес или FQDN (fully qualified domain name) узла, с которого предположительно была проведена атака
Атакованные ресурсы	Ресурс или группа ресурсов, на которые была направлена обнаруженная атака
Средство обнаружения	С помощью какого средства (или нескольких средств) инцидент был обнаружен
Описание инцидента	Краткое описание события. Например, «Детектирование фишинговой рассылки на почте»
Уровень опасности	Присваивается экспертным путем
Сопоставление с матрицей MITRE ATT&CK	Тактики и техники MITRE ATT&CK, использованные во время атаки. Например, TA0001: Initial Access
Связь с недопустимым событием	Указывается, если инцидент относится к успешной, частичной или потенциальной реализации недопустимого события
Скомпрометированные данные	Какие важные данные удалось получить атакующим в результате инцидента (учетные записи, содержимое баз данных, документация и т. д.)
Связь с другими инцидентами	Перечень идентификаторов родительских инцидентов, реализация которых была необходима для этого инцидента
Меры по реагированию на инцидент	Плейбук или отдельные меры, которые были использованы для реагирования на инцидент
Продолжительность реагирования на инцидент	Время. Например, 3:15:00. Указывается время, прошедшее с момента регистрации инцидента до закрытия карточки инцидента
Меры по повышению общего уровня защищенности	Меры повышения защищенности, предпринятые после нейтрализации инцидента

После регистрации инцидента необходимо внести в карточку информацию, которой вы располагаете на текущий момент. Такой информацией может быть:

время возникновения инцидента;
продолжительность инцидента;
источник вредоносного воздействия;
атакованные ресурсы;
средство обнаружения;
описание инцидента;
тактики и техники MITRE ATT&CK.

После заполнения указанных полей необходимо провести анализ имеющейся в карточке информации. На основании проведенного анализа необходимо присвоить инциденту уровень опасности и выбрать подходящий плейбук реагирования.

Помимо общей информации об инциденте, в карточку должна быть внесена информация, получаемая в процессе реагирования и расследования. К такой информации относятся:

связь с недопустимым событием;
скомпрометированные данные;
связь с другими инцидентами;
меры по реагированию на инцидент;
время реагирования на инцидент.

После того как реагирование на инцидент будет закончено, необходимо провести расследование причин возникновения инцидента. По результатам такого расследования должны быть выработаны меры повышения защищенности, исключающие появление аналогичных инцидентов в будущем. Такие меры включаются в карточку инцидента. После этого карточка инцидента закрывается, а информация из нее может быть использована для последующего анализа и расследования аналогичных инцидентов или для усиления системы защиты информации.

Поле

Значение

Идентификатор инцидента

Уникальный номер. Например, F0001

Время возникновения инцидента

Число, месяц, год и время: 01.01.2021 12:01

Продолжительность инцидента

Предположительные дата и время начала и завершения атаки. Например, с 01.01.2021 12:01 по 01.01.2021 12:05. Заполняется, если атака была распределена во времени (например, подбор пароля, фишинговая рассылка, сканирование сетевых портов)

Источник вредоносного воздействия

IP-адрес или FQDN (fully qualified domain name) узла, с которого предположительно была проведена атака

Атакованные ресурсы

Ресурс или группа ресурсов, на которые была направлена обнаруженная атака

Средство обнаружения

С помощью какого средства (или нескольких средств) инцидент был обнаружен

Описание инцидента

Краткое описание события. Например, «Детектирование фишинговой рассылки на почте»

Уровень опасности

Присваивается экспертным путем

Сопоставление с матрицей MITRE ATT&CK

Тактики и техники MITRE ATT&CK, использованные во время атаки. Например, TA0001: Initial Access

Связь с недопустимым событием

Указывается, если инцидент относится к успешной, частичной или потенциальной реализации недопустимого события

Скомпрометированные данные

Какие важные данные удалось получить атакующим в результате инцидента (учетные записи, содержимое баз данных, документация и т. д.)

Связь с другими инцидентами

Перечень идентификаторов родительских инцидентов, реализация которых была необходима для этого инцидента

Меры по реагированию на инцидент

Плейбук или отдельные меры, которые были использованы для реагирования на инцидент

Продолжительность реагирования на инцидент

Время. Например, 3:15:00. Указывается время, прошедшее с момента регистрации инцидента до закрытия карточки инцидента

Меры по повышению общего уровня защищенности

Меры повышения защищенности, предпринятые после нейтрализации инцидента