Основы управления инцидентами безопасности

Введение в реагирование на инциденты. Представьте, что вы живете в небезопасном районе и у вас дома хранится много ценных вещей. Скорее всего, вы бы позаботились о безопасности, установив камеры наблюдения и наняв охранника. Можно даже спрятать дорогие предметы в укромное место, например, подземное хранилище, чтобы обезопасить их, если кто-то все-таки проникнет в дом. Все эти меры вы принимаете заранее, чтобы защитить свое жилище от возможных угроз.

Но как быть, если злоумышленник сумеет обойти ваши внешние системы безопасности и получит доступ в дом? Помимо профилактических шагов, нужно также продумать действия, которые следует предпринять уже после нападения, чтобы свести к минимуму ущерб.

Возможно, вы слышали о кибератаках на компании, из-за которых они теряли крупные суммы денег. Подобные случаи регулярно фиксируются в интернете. Такие события называют Cyber Security Incidents. Так же, как в примере с защитой дома, инциденты в кибербезопасности требуют заранее продуманных мер и ресурсов, чтобы предотвратить серьезные убытки.

Процесс реагирования на инциденты охватывает все стадии работы с инцидентом — от начала и до конца. Он включает как меры для предотвращения инцидентов, так и борьбу с ними и минимизацию их последствий — это полное руководство по управлению такими ситуациями.

Что такое инциденты?

На ваших устройствах, таких как ноутбуки или смартфоны, постоянно работают разные процессы. Некоторые из них интерактивные — то есть, они запускаются вами, например, при игре или просмотре видео. Другие процессы не требуют вашего участия и работают в фоновом режиме, поддерживая работу устройства. Оба типа процессов создают множество событий: для каждого их действия записывается соответствующее событие.

Количество этих событий велико, так как на устройстве одновременно работают многочисленные процессы, выполняющие различные задачи и создающие новые записи. Иногда события могут указывать на потенциально опасные процессы, происходящие на устройстве. Как же тогда разобраться в этом потоке событий и выявить возможные угрозы? Для этого существуют решения в области безопасности, которые анализируют такие события, воспринимая их как журналы логов, и позволяют находить потенциально вредоносные действия. Это значительно облегчило нашу задачу! Но настоящая сложность начинается, когда такие решения безопасности указывают на угрозы.

Итак, когда система безопасности обнаруживает событие или группу событий, связанных с возможной вредоносной активностью, она формирует оповещение. Команда безопасности затем анализирует эти оповещения. Некоторые из них могут быть False Positives, а некоторые — True Positives. Оповещения, которые указывают на опасность, но не являются вредоносными, называются ложными срабатываниями (false positives). В отличие от них, оповещения, которые сигнализируют о реальной угрозе, являются истинными срабатываниями (true positives). Ниже приведен пример для лучшего понимания:

False Positive: Система безопасности сработала на большое количество данных, передаваемых с одной системы на внешний IP-адрес. При анализе этого оповещения команда безопасности обнаружила, что система выполняла резервное копирование в облачное хранилище, что и вызвало передачу данных. Это является ложным срабатыванием.

True Positive: Система безопасности среагировала на попытку фишинга, направленную на одного из пользователей организации. После анализа оповещения команда безопасности выяснила, что это было фишинговое письмо, отправленное этому пользователю с целью скомпрометировать систему. Это является истинным срабатыванием.

Такие истинные срабатывания иногда называют Incidents. Предполагая, что оповещение теперь классифицируется как инцидент, следующий этап — присвоить ему уровень критичности. Представьте, что вы работаете в команде безопасности и получаете сразу несколько инцидентов. С какого инцидента вы начнете реагировать? Здесь и вступает в силу понятие критичности инцидента. Инциденты можно разделить на низкие, средние, высокие и критические по степени их потенциального воздействия. Инциденты с критическим уровнем всегда являются приоритетными, затем следуют инциденты с высоким уровнем, и так далее.

Люди обычно обозначают все вредоносные действия, связанные с цифровым миром, как попытку взлома. Это может быть верно, но это слишком обобщённый подход в контексте кибербезопасности. Существует несколько типов инцидентов безопасности. В приведённых выше примерах мы рассматривали случай настоящей позитивной тревоги, которая стала инцидентом после анализа команды безопасности. Этот инцидент был связан с фишинговым письмом, которое, вероятно, содержало вредоносное вложение. Если это вложение загружается на систему, оно может вызвать серьёзные последствия. Это — один из видов инцидентов. Существует и несколько других типов. Эти типы могут возникать независимо или одновременно у одной и той же жертвы.

Malware Infections: Malware представляет собой вредоносную программу, способную нанести вред системе, сети или приложению. Большинство инцидентов связано с заражением вредоносным ПО. Существует несколько типов вредоносного ПО, каждый из которых имеет уникальный потенциал для нанесения ущерба. Заражение malware обычно происходит через файлы, такие как текстовые документы, исполняемые файлы и др.

Security Breaches: Угрозы безопасности возникают, когда неавторизованный человек получает доступ к конфиденциальным данным (которые не должны быть ему доступны). Такие угрозы чрезвычайно важны, поскольку многие компании зависят от своих конфиденциальных данных, доступ к которым должен иметь только авторизованный персонал.

Data Leaks: Утечки данных — это инциденты, при которых конфиденциальная информация частного лица или организации становится доступной неавторизованным лицам. Многие злоумышленники используют утечки данных для нанесения репутационного вреда своим жертвам или чтобы шантажировать их, получая то, что им нужно. В отличие от угроз безопасности, утечки данных могут также возникать случайно из-за ошибок человека или неправильных настроек.

Insider Attacks: Инциденты, возникающие внутри организации, известны как внутренние атаки. Например, недовольный сотрудник может заразить всю сеть через USB на свой последний рабочий день. Это пример внутренней атаки. Кто-то внутри вашей организации, намеренно инициирующий атаку, попадает под эту категорию. Эти атаки могут быть особенно опасными, поскольку внутренний злоумышленник имеет больший доступ к ресурсам, чем внешний.

Denial Of Service Attacks: Доступность — один из трёх столпов кибербезопасности. Защитные решения и специалисты постоянно ищут способы защитить информацию, обеспечивая её одновременную доступность для пользователей. Ведь нет смысла защищать то, к чему мы не имеем доступа. Атаки типа "отказ в обслуживании" (DoS) — это инциденты, при которых злоумышленник перегружает систему/сеть/приложение ложными запросами, что в конечном итоге делает её недоступной для законных пользователей. Это происходит из-за исчерпания ресурсов, доступных для обработки запросов.

Все эти инциденты имеют уникальный потенциал негативного воздействия на жертву. Невозможно сравнить их по уровню тяжести воздействия, которое они могут оказать. Один и тот же инцидент может быть катастрофическим для одной организации и причинить минимальный ущерб другой. Например, компания XYZ может не пострадать от утечки данных, если информация, которую она хранит, бесполезна для других. Однако она может понести значительные убытки в случае атаки типа DoS на её основной веб-сайт, поскольку её услуги зависят от этого сайта.

Процесс реагирования на инциденты

В задаче выше мы рассматривали различные типы инцидентов. Иногда обработка множества инцидентов в рамках одной среды может быть сложной. Ввиду различной природы инцидентов в организациях, необходим структурированный процесс реагирования на инциденты. В этом помогают структуры для реагирования на инциденты — Incident Response Frameworks. Это общие подходы, которые можно применять к любому инциденту для эффективного реагирования. Мы обсудим две широко используемые структуры для реагирования на инциденты: SANS и NIST.

SANS и NIST — популярные организации, которые вносят вклад в сферу кибербезопасности. SANS предлагает различные курсы и сертификации по кибербезопасности, а NIST сыграл свою роль в разработке стандартов и рекомендаций по кибербезопасности. Обе структуры реагирования на инциденты — SANS и NIST — схожи между собой.

Структура реагирования на инциденты NIST похожа на структуру SANS, которую мы изучили выше. Количество этапов в этой структуре сокращено до четырёх.

Ниже приведено сравнение обеих структур:

Организации могут разрабатывать свои процессы реагирования на инциденты, следуя этим структурам. Каждый процесс имеет официальный документ, в котором перечислены все соответствующие организационные процедуры. Официальный документ для реагирования на инциденты называется Планом реагирования на инциденты. Этот структурированный документ определяет подход, используемый при любом инциденте. Он официально утверждается высшим руководством и включает процедуры, которые необходимо соблюдать до, во время и после завершения инцидента.

Ключевые компоненты этого плана включают (но не ограничиваются ими):

• Роли и обязанности
• Методология реагирования на инциденты
• План коммуникации с заинтересованными сторонами, включая правоохранительные органы
• Путь эскалации, которому необходимо следовать

Методы реагирования на инциденты
Помните, мы изучали второй этап жизненного цикла реагирования на инциденты: «Идентификация» в структуре SANS и «Обнаружение и анализ» в структуре NIST. Очень сложно искать аномальное поведение и определять инциденты вручную. Существуют различные решения в области безопасности, каждое из которых выполняет свою уникальную роль в обнаружении инцидентов. Некоторые из них также могут реагировать на инциденты и выполнять другие этапы жизненного цикла, такие как локализация, устранение и т.д. Краткое описание некоторых из этих решений представлено ниже:

• SIEM: Решение для управления информацией и событиями безопасности (Security Information and Event Management, SIEM) собирает все важные журналы в одном централизованном месте и сопоставляет их для выявления инцидентов.
• AV: Антивирус (Antivirus, AV) обнаруживает известные вредоносные программы в системе и регулярно сканирует вашу систему на их наличие.
• EDR: Обнаружение и реагирование на конечных устройствах (Endpoint Detection and Response, EDR) устанавливается на каждую систему и защищает её от продвинутых угроз. Это решение также может локализовать и устранять угрозу.

После того как инциденты выявлены, необходимо следовать определённым процедурам, включая исследование масштаба атаки, принятие необходимых мер для предотвращения дальнейшего ущерба и устранение инцидента с корнем. Эти шаги могут отличаться в зависимости от типа инцидента. В таких случаях наличие пошаговых инструкций для каждого типа инцидента помогает сэкономить много времени. Эти типы инструкций известны как Playbooks.

Playbooks представляют собой руководства для комплексного реагирования на инциденты.

Пример Playbook для инцидента: фишинговое письмо

Изображение, показывающее Playbook.

1. Уведомить всех заинтересованных лиц об инциденте с фишинговым письмом
2. Определить, было ли письмо вредоносным, проведя анализ заголовка и содержания письма
3. Проверить наличие вложений к письму и проанализировать их
4. Определить, открывал ли кто-либо вложения
5. Изолировать заражённые системы от сети
6. Заблокировать отправителя письма

Runbooks, в свою очередь, представляют собой детальное, пошаговое выполнение конкретных действий в различных инцидентах. Эти шаги могут варьироваться в зависимости от доступных ресурсов для расследования.

Лабораторная работа по реагированию на инциденты
Сценарий: В этом задании вы инициируете инцидент, загрузив вложение из фишингового письма. Это вложение является вредоносным ПО. Как только вы загрузите файл, начинается инцидент. Теперь вы приступаете к расследованию. Первый этап — выяснить, сколько устройств заражены этим же файлом, так как велика вероятность, что одна фишинговая кампания нацелена на нескольких сотрудников в одной организации. Вы увидите несколько устройств, на которых этот файл был выполнен после загрузки, и некоторые устройства, на которых он только был загружен. Вы выполните необходимые действия на всех этих устройствах и увидите подробную временную шкалу событий на заражённом устройстве.