Ресурсы предприятия

Архитектура и инфраструктура

Безопасность

Новости

Российская платформа vStack стала партнером ИТ-компании «Инфосистемы Джет»

X-Com расширяет ассортимент серверов и компьютерного оборудования

ERP-платформа «Ма-3»: новая оборотно-сальдовая ведомость с аналитикой на Angular уже в 11-м релизе

На форуме «Атомэкспо» предложили создать международную площадку для обмена опытом реализации проектов «Умного города»

Эксперты Группы Т1 выступили на форуме RBC.TECH

Поводом для написания этого блога стала уже вторая в течение года массовая вирусная эпидемия. И это стало очень неприятным прецедентом. Ведь столь масштабных заражений не было уже очень давно. Впрочем, данная ситуация была ожидаемой. Эпидемию вызвали …

Не все апдейты одинаково полезны

Утечки бывают разными

Здравствуй, племя младое, незнакомое...

Инновации для сетей X5

№22 (131), 2005

Реагирование на инциденты информационной безопасности

01.12.2005

Андрей Голов, руководитель отдела информационной безопасности компании TopS BI.

Тема реагирования на инциденты информационной безопасности (ИБ) и их расследования является сегодня одновременно и популярной, и самой щепетильной. Именно во время расследования и реагирования на инцидент проявляются конкретные уязвимости информационной системы, обнаруживаются следы атак и вторжений, проверяется работа защитных механизмов, качество архитектуры системы ИБ и ее управления.

Как правило, о возникновении инцидентов в системе информационной безопасности компании стараются не заявлять открыто, чтобы не дискредитировать себя и не давать дополнительное "оружие" конкурентам или криминальным структурам, которые в последнее время проявляют повышенный интерес к возможностям информационных технологий. В результате, хотя количество инцидентов ИБ постоянно растет, сведения о них, как правило, держатся в секрете, а мы узнаем лишь о тех немногочисленных инцидентах, информация о которых "просочилась" в прессу.

Оборотная сторона такой информационной непрозрачности - трудности при поиске специалистов, которые могли бы провести работы по расследованию компьютерных инцидентов или выстраиванию в компании процесса реагирования на инциденты. По понятным причинам исполнитель не может предоставить отзывы своих клиентов о произведенных работах такого рода. Вместе с тем проведение работ по расследованию инцидентов требует от исполнителя и заказчика очень высокого уровня взаимного доверия.

Вообще, в России существует целый ряд серьезных проблем в этой области: нет единого центра регистрации инцидентов, отстает законодательство, нет открытых методик и стандартов организации процесса реагирования и расследования инцидентов ИБ. Куда обращаться компании, потерпевшей убытки в результате злоумышленного компьютерного инцидента? Как можно подготовиться к такого рода событиям, какие существуют превентивные меры по предотвращению инцидентов?

За рубежом уже существуют стандарты, описывающие процесс реагирования на компьютерные инциденты. В первую очередь это стандарт NIST Special Publication 800-61 "Computer security incident handling guide". К слову, новая версия ISO 17799:2005 требует наличия процесса реагирования на инциденты (раздел 13 - "Information security incident management"). Попробуем коротко рассмотреть основные составляющие процесса реагирования на инцидент.

Что понимается под инцидентом ИБ и процессом реагирования на инцидент?

Инцидентом информационной безопасности называется любое незаконное, неразрешенное (в том числе политикой ИБ) или неприемлемое действие, которое совершается в информационной системе. Организация процесса реагирования на инцидент преследует такие цели.

Предупредить нескоординированные действия и в кратчайшие сроки восстановить работоспособность компании при возникновении инцидента.
Подтвердить или опровергнуть факт инцидента ИБ.
Представить детализированный отчет о произошедшем инциденте и полезные рекомендации. Создать условия для накопления и хранения точной информации о компьютерных инцидентах. Обеспечить быстрое обнаружение и/или предупреждение подобных инцидентов в будущем (путем анализа "прошедших уроков", изменения политики ИБ, модернизации системы ИБ и др.).
Обеспечить сохранность и целостность доказательств произошедшего инцидента. Создать условия для возбуждения гражданского или уголовного дела против злоумышленника(-ов). Защитить частные права, установленные законом.
Минимизировать нарушение порядка работы и повреждения данных ИТ-системы. Минимизировать последствия нарушения конфиденциальности, целостности и доступности ИТ-системы.
Защитить репутацию компании и ее ресурсы.
Провести обучение сотрудников компании о процессе реагирования на инцидент.

Кто участвует в процессе реагирования на инцидент?

Расследование инцидентов ИБ и реагирование на них - сложный и комплексный процесс, требующий участия сотрудников многих подразделений компании: сотрудников отдела кадров, юристов, технических экспертов ИТ-системы, внешних консультантов по информационной безопасности, бизнес-менеджеров, конечных пользователей информационной системы, сотрудников служб технической поддержки, сотрудников службы безопасности и др. Большинство компаний создают комиссию по расследованию инцидента ИБ (Computer Security Incident Response Team - CSIRT). Эта комиссия должна включать экспертов и консультантов в юридической и технической сферах.

Каковы основные этапы процесса реагирования на инцидент?

Инцидент компьютерной безопасности часто оказывается проявлением комплексной и многосторонней проблемы. Правильный подход к решению этой проблемы - в первую очередь ее декомпозиция на структурные компоненты и изучение входных и выходных данных каждого компонента.

Основные этапы процесса реагирования на инцидент следующие.

Подготовка к факту возникновения инцидента ИБ. Предпринимаются действия для подготовки компании к ситуации возникновения инцидента (чтобы минимизировать его последствия и обеспечить быстрое восстановление работоспособности компании). Формирование комиссии по расследованию (CSIRT) инцидентов. Этот этап является одним из самых важных, от него зависит успех в проведении расследования потенциального инцидента.
Обнаружение инцидента - идентификация инцидента ИБ.
Начальное реагирование - проведение начального расследования, запись основных деталей событий, сопровождающих инцидент, сбор комиссии по расследованию и информирование лиц, которые должны знать о произошедшем инциденте. Пресечение незаконных действий.
Формулирование стратегии реагирования. Стратегия базируется на всех известных фактах и определяет лучший путь реагирования на инцидент. Подтверждается топ-менеджментом компании. Стратегия также определяет, какие действия будут предприняты по факту возникновения инцидента (возбуждение гражданского или уголовного дела, административное воздействие), в зависимости от предполагаемых причин и последствий возникновения инцидента.
Расследование инцидента - проводится через сбор и анализ данных. Проверяются все собранные данные о том, что произошло, когда произошло, кто совершил неприемлемые действия, и как все это может быть предупреждено в будущем.
Отчет - детализированный отчет, содержащий полученную в ходе расследования информацию. Представляется в форме, удобной для принятия решения.
Решение - применение защитных механизмов и проведение изменений в процедурах ИБ, запись "полученных уроков".

Расследование инцидента

Фаза расследования призвана определить: кто, что, когда, где, как и почему были вовлечены в инцидент. Расследование включает проверку и сбор доказательств с серверов, сетевых устройств, а также традиционные мероприятия нетехнического характера. Оно может быть разделено на два этапа: сбор данных и их криминалистический анализ. Информация, собранная в ходе выполнения первого этапа расследования, служит в дальнейшем для выработки стратегии реагирования на инцидент. На этапе анализа, собственно, и определяется, кто, что, как, когда, где и почему были вовлечены в инцидент.

Анализ собранных данных включает анализ файлов протоколов работы, конфигурационных файлов, истории Интернет-проводников (включая cookies), сообщений электронной почты и прикрепленных файлов, инсталлированных приложений, графических файлов и прочего. Необходимо провести анализ ПО, поиск по ключевым словам, проверить дату и время инцидента. Криминалистический анализ может также включать анализ на "низком" уровне - поиск удаленных файлов и областей, потерянных кластеров, свободного места, а также анализ восстановленных данных с разрушенных носителей (например, по остаточной намагниченности).

При расследовании инцидента сбор данных может быть выполнен с помощью программного обеспечения "Disk Duplicate". Оно позволяет сделать точные копии жестких дисков ("сектор в сектор") автоматизированных рабочих мест пользователей (сотрудников компании) и серверов. Для анализа полученных данных могут использоваться специальные средства эмуляции рабочих машин пользователей, например, "VMware Virtual Machine". Анализ пространств жестких дисков может проводиться с использованием специализированного программного продукта "Encase Enterprise Edition" или экспертных средств компании Vogon International. Эти два продукта - ведущие в мире при проведении расследования инцидентов ИБ. В ряде случаев для обнаружения следов компьютерных инцидентов могут быть использованы разнообразные программно-аппаратные комплексы для "прослушивания" локальной сети компании (часто используется продукт Ettercap - сетевой сниффер), разнообразные программы-ловушки (HoneyPot) и т. д.

Версия для печати

Лидеры читательского рейтинга

Мы в социальных сетях



© 1997—2024 АО «СК ПРЕСС». Политика конфиденциальности персональных данных, информация об авторских правах и порядке использования материалов сайта 109147 г. Москва, ул. Марксистская, 34, строение 10. Телефон: +7 495 974-22-60. Факс: +7 495 974-22-63. E-mail: siteeditor@iemag.ru.. ITRN \| IT Channel News \| itWeek \| Byte/Россия \| Бестселлеры IT-рынка