Документируем реагирование на инциденты
Инциденты информационной безопасности происходят в каждой сколько-нибудь серьезной организации и задача службы ИБ оперативно реагировать на возникающие инциденты, расследовать их, устранять последствия и анализировать для того, чтобы снизить их количество в будущем.
Для эффективного реагирования на инциденты в организации должны быть разработаны специальные документы, в соответствии с которыми и должно осуществляться реагирование. Это прежде всего политика реагирования на инциденты, план реагирования на инциденты и инструкции по реагированию. Начнем с политики реагирования на инциденты.
Широкая политика
Политика реагирования на инциденты является основополагающим документом для всей организации. Отличительной чертой политики реагирования является ее статичность. То есть, политика не должна сильно меняться в процессе работы, так как она является основой для всех остальных документов по реагированию. Как и любая политика, этот документ устанавливает правила и порядок управления реагированием на инциденты в организации.
Политика реагирования на инциденты должна описывать основные элементы реагирования на инциденты для всей организации. В частности, политика включает в себя цель реагирования на инциденты и необходимость выполнения задач реагирования. Также политика должна содержать область ее применения и информацию, об ответственных в организации за соблюдение политики.
Важным элементом политики реагирования является наличие определений таких понятий, как реагирование на инциденты, событий и инцидентов и других терминов, которые применяются в документах, связанных с реагированием.
План реагирования на инциденты
План реагирования на инциденты, как и следует из названия, содержит рекомендации по реагированию на различные типы инцидентов. Прежде всего план реагирования не должен быть каким-то частным документом, разработанным для решения локальных задач. Прежде всего, он должен быть одобрен высшим руководством организации. Наличие одобрения руководства дает сотрудникам, отвечающим за реагирование на инциденты, уверенность в том, что они могут предпринять любые действия, предусмотренные планом, для сдерживания, ликвидации и восстановления после инцидента. Без такого одобрения команды могут не решаться действовать или им придется ждать одобрения, прежде чем предпринимать срочные действия, что может привести к финансовому ущербу или ущербу репутации.
План реагирования на инцидент должен включать в себя способы обнаружения, анализа, локализации, ликвидации последствий инцидента и восстановления после него. Жизненный цикл реагирования на инцидент состоит из двух важных частей, которые не следует упускать из виду при подготовке и действиях после инцидента. План реагирования на инциденты должен определять и охватывать все этапы жизненного цикла реагирования на инциденты, включая действия, как до, так и после инцидента.
План реагирования на инциденты должен включать в себя следующие разделы:
- Цели и задачи
- Область применения данного плана
- Роли и обязанности, включая основную и внешнюю контактную информацию для членов группы реагирования на инциденты
- Процедуры взаимодействия как для внутренних, так и для внешних коммуникаций
- Уровни критичности инцидентов
- Типы инцидентов
- Определения инцидентов (инцидент, событие, утечка данных)
- Процедуры реагирования на инциденты в соответствии с выбранным организацией жизненным циклом реагирования на инциденты
В качестве примера содержимого плана реагирования можно взять документ NIST 800-61 или российский ГОСТ Р 59712-2022. Из этих документов можно получить информацию о том, что должно содержаться в плане реагирования на инциденты, а также рекомендации по жизненному циклу реагирования на инциденты.
План реагирования на инциденты - это руководство по работе с инцидентами. Это должен быть действующий документ, который регулярно обновляется. Рекомендуется пересматривать план раз в два года и после каждого крупного инцидента. Такой график позволяет учесть все уроки, извлеченные из инцидента, а также учесть изменения в организации и внедрить их в план.
Руководство по реагированию
Руководство по реагированию на инциденты содержит подробные инструкции по каждому этапу реагирования на инциденты: подготовка, обнаружение и анализ, локализация, ликвидация, восстановление и действия после инцидента.
Например, на этапе анализа план реагирования на инцидент может предписывать необходимость проведения анализа любого файла, процесса или учетной записи, которые подозреваются в злонамеренном использовании во время инцидента.
В руководстве должно быть указано, какие конкретные действия необходимо предпринять на этапе реагирования на инцидент, а также команда или отдельное лицо, ответственные за выполнение этих действий. Имейте в виду, что эти действия могут быть как техническими, такими как восстановление файлового сервера из резервной копии, так и нетехническими, такими как установление внешних связей с клиентами и распределение этих связей.
Вот выдержка из примера Руководства по реагированию на инциденты от Лаборатории Касперского:
Сотруднику ИБ при получении сообщения о детектировании угрозы в SIEM-системе рекомендуется выполнить следующую последовательность действий:
1. Попытаться определить источник исходного события, которое было сопоставлено с потоками данных об угрозах, то есть установить событие, содержащее обнаруженный индикатор компрометации:
1.1. Если доставка угрозы произошла через рассылку электронных писем с опасными вложениями, то это можно будет обнаружить по журналам корпоративной почтовой системы.
1.2. В случае заражения в процессе серфинга сети Интернет – индикаторы компрометации обнаруживаются в журналах прокси-сервера (файрволла, шлюза безопасности UTM или других устройств).
2. Определить, на каком этапе жизненного цикла находится обнаруженная атака. Это зависит от типов обнаруженных индикаторов, например, если было обнаружено взаимодействие с C&C серверами, то атака находится на этапе исполнения команд и требует незамедлительных шагов для минимизации ущерба.
3. Оценить важность информации на потенциально скомпрометированной машине и показатель достоверности индикатора, по которому был выявлен инцидент, скорректировать приоритет данного инцидента в зависимости от ценности затронутых информационных активов и информации об индикаторе.
О различиях между планом и инструкциями
Далее, прежде, чем переходить к рассмотрению инструкций, поговорим о том, в чем заключается разница между планом реагирования на инцидент и инструкциями по реагированию на конкретные инциденты, о которых речь пойдет далее.
План реагирования на инциденты содержит общие этапы анализа, которые необходимо выполнить при любом типе инцидента, в то время, как инструкции содержат конкретные действия для определенных типов инцидентов.
Набор необходимых инструкций лучше всего определить на основе оценки текущих рисков для организации и разработать инструкции с учетом актуальных рисков, которые имеют наибольший приоритет. К распространенным типам инструкций относятся:
- Инструкции для программ-вымогателей
- Инструкции для взлома или потери данных
- Инструкции для вредоносных программ
- Алгоритм действий при отказе в обслуживании
- Алгоритм действий при инсайдерских угрозах
- Алгоритм действий при социальной инженерии
- Алгоритм действий при компрометации веб-сайта
- Алгоритм действий при уязвимостях нулевого дня
В качестве примера рассмотрим одну из инсайдерских угроз – утечку данных. Далее рассмотрим на какие моменты необходимо обратить внимание при подготовке такой инструкции.
Подготовка
Чтобы отреагировать на утечку данных, организация должна сначала определить, что представляет собой утечка данных, включая все применимые законы, нормативные акты и договорные обязательства в отношении данных, за которые организация несет ответственность. Организациям следует получить юридическую консультацию о том, что представляет собой утечка данных, и включить эту информацию в руководство.
Обнаружение и анализ
Для определения того, произошла ли утечка данных, необходимо, чтобы организация использовала инструменты и технологии, понимала их и контролировала. Эти решения могут быть уникальными для инцидентов, связанных с потерей данных, таких как решение для предотвращения потери данных или мониторинг даркнета и телеграмм каналов, где может всплыть украденная информация. При наличии этих элементов в инструкциях могут быть встроены процессы для обнаружения инцидентов с потерей данных и реагирования на них.
Как только обнаруживается нарушение, команда собирает доказательства и поддерживает надлежащие связи между участниками процесса. Возможно, потребуется передать эту работу на аутсорсинг сторонней группе по реагированию на инциденты или криминалистической экспертизе. Независимо от того, проводится ли расследование внутри компании или за ее пределами, в плане действий должны быть определены этапы анализа, которые необходимо провести, чтобы выявить глубину, серьезность и первопричину инцидента. При инциденте, связанном с потерей данных, вероятно, произойдет другой инцидент, такой как фишинг, вредоносное ПО или даже программа-вымогатель. В зависимости от того, что представляет собой другая вредоносная активность, может потребоваться ссылка на дополнительные инструкции.
Локализация, устранение и восстановление
Чтобы определить действенные меры по локализации, устранению и восстановлению, важно учитывать связь во время инцидента. Тип и природа потери данных могут привести к отправке уведомлений о раскрытии информации различным организациям и частным лицам, таким как регулирующие органы или даже государственные учреждения. В руководстве по утечке данных должны быть, как минимум, указаны необходимые процедуры передачи сообщений. Во время инцидента может потребоваться участие как специалистов по связям с общественностью, так и юристов.
Во время локализации и устранения угрозы организация должна использовать инструменты и технологии, такие как обнаружение конечных точек и реагирование на них (EDR) или виртуальную локальную сеть (VLAN), чтобы изолировать хосты и устранить угрозу. Независимо от метода, в руководстве должны быть указаны точные методы и, при необходимости, ссылки на документацию о том, как выполнять задачи.
Восстановление после инцидента, связанного с утечкой данных, часто включает в себя восстановление данных. Имейте в виду, что после потери целостности восстановить ее практически невозможно. Однако системы и данные все еще можно восстановить, чтобы обеспечить устранение угроз. Восстановление может включать в себя восстановление из резервной копии, поэтому в руководстве должна содержаться информация об инструментах и процессах восстановления данных.
Действия после инцидента
Действия после инцидента, связанного с утечкой данных, могут быть более интенсивными, чем при других типах инцидентов, таких как потеря или кража ноутбука, из-за нормативных требований, связанных с типом скомпрометированных данных. К сожалению, в России за утечку персональных данных наказания пока не слишком суровые, однако в других странах наказание за утечку данных можно довольно серьезным.
Заключение
В этой статье мы рассмотрели три основных типа документов по реагированию на инциденты: политику реагирования на инциденты, план реагирования на инциденты и пример инструкции по реагированию на инциденты. Грамотная разработка данных документов и следование им позволит существенно повысить уровень ИБ в организации.