...
Ниже представлены типовые инциденты согласно классификации инцидентов ИБ НКЦКИ (Национальный координационный центр по компьютерным инцидентам) и методы реагирования на них:
| № п/п | Инцидент | Процедура реагирования |
|---|---|---|
| 1 | Внедрение в объект модулей вредоносного программного обеспечения | Подготовка: Отслеживание выявленных уязвимостей и своевременное их устранение в соответствии с рекомендациями. Использование специализированного ПО для защиты периметра работы системы (антивирус, файервол). Блокировка всех портов и протоколов, кроме минимально необходимых для работы системы и ее компонентов. Выявление угрозы: оповещения от системы управления информационной безопасностью и событиями безопасности (SIEM), оповещения от используемого ПО для защиты информации (антивирус, файервол). Изоляция угрозы: в соответствии с регламентами используемого ПО для защиты информации. Устранение угрозы: в соответствии с регламентами используемого ПО для защиты информации. Восстановление: Переустановка поврежденных в результат атаки компонентов системы. Восстановление данных из резервной копии. |
| 2 | Использование объекта для распространения вредоносного программного обеспечения | Подготовка: Настроить политики безопасности для исключения несанкционированного доступа в систему. Использование антивирусов для выявления среди загруженных в среду файлов вредоносного ПО. Выявление угрозы: Оповещения от используемого ПО для защиты информации (антивирус). Изоляция угрозы: в соответствии с регламентами используемого ПО для защиты информации. Устранение угрозы: в соответствии с регламентами используемого ПО для защиты информации. Восстановление: Удаление из системы вредоносного ПО. Блокировка скомпрометированных учетных записей пользователей. |
| 3 | Компьютерная атака типа “отказ в обслуживании”, направленная на объект | Подготовка: Настроить политики безопасности для исключения несанкционированного доступа в систему. Использование специализированного ПО для защиты периметра работы системы (антивирус, файервол). Использование специализированных сервисов для защиты от DDoS-атак. Блокировка всех портов и протоколов, кроме минимально необходимых для работы системы и ее компонентов. Выявление угрозы: Оповещения от используемого ПО для защиты информации и сервисов. Изоляция угрозы: в соответствии с регламентами используемого ПО и сервисов. Устранение угрозы: в соответствии с регламентами используемого ПО и сервисов. Восстановление: в соответствии с регламентами используемого ПО и сервисов. |
| 4 | Распределенная компьютерная атака типа “отказ в обслуживании”, направленная на объект | Подготовка: Настроить политики безопасности для исключения несанкционированного доступа в систему. Использование специализированного ПО для защиты периметра работы системы (антивирус, файервол). Использование специализированных сервисов для защиты от DDoS-атак. Блокировка всех портов и протоколов, кроме минимально необходимых для работы системы и ее компонентов. Выявление угрозы: Оповещения от используемого ПО для защиты информации и сервисов. Изоляция угрозы: в соответствии с регламентами используемого ПО и сервисов. Устранение угрозы: в соответствии с регламентами используемого ПО и сервисов. Восстановление: в соответствии с регламентами используемого ПО и сервисов. |
| 5 | Успешная эксплуатация уязвимости в объекте | Подготовка: Отслеживание выявленных уязвимостей и своевременное их устранение в соответствии с рекомендациями. Использование специализированного ПО для защиты периметра работы системы (антивирус, файервол). Блокировка всех портов и протоколов, кроме минимально необходимых для работы системы и ее компонентов. Создание регламента резервирования и восстановления данных и следование ему. Выявление угрозы: оповещения от системы управления информационной безопасностью и событиями безопасности (SIEM), оповещения от используемого ПО для защиты информации (антивирус, файервол). Изоляция угрозы: в соответствии с регламентами используемого ПО для защиты информации. Устранение угрозы: Обращение в техническую поддержку Вендора. Обновление системы или отдельных ее компонентов. Восстановление: Переустановка или обновление поврежденных в результате атаки компонентов системы. Восстановление данных из резервной копии. |
| 6 | Компрометация учетной записи в объекте | Подготовка: Настроить политики безопасности для исключения несанкционированного доступа в систему. Выявление угрозы: оповещения от системы управления информационной безопасностью и событиями безопасности (SIEM), анализ журнала регистрации событий в системе. Изоляция угрозы: блокировка скомпрометированной учетной записи. Разрыв сессий всех пользователей. Устранение угрозы: Удаление, перманентная блокировка учетной записи или смена пароля учетной записи. Восстановление: Восстановление данных из резервной копии. Сбор данных и улучшения: Пересмотр политики безопасности. Использование многофакторной аутентификации. |
| 7 | Несанкционированное изменение информации, обрабатываемой в объекте | Подготовка: Настроить политики безопасности для исключения несанкционированного доступа в систему. Выявление угрозы: оповещения от системы управления информационной безопасностью и событиями безопасности (SIEM), анализ журнала регистрации событий в системе. Изоляция угрозы: блокировка скомпрометированной учетной записи. Разрыв сессий всех пользователей. Устранение угрозы: Удаление, перманентная блокировка учетной записи или смена пароля учетной записи. Восстановление: Восстановление данных из резервной копии. Сбор данных и улучшения: Пересмотр политики безопасности. Использование многофакторной аутентификации. |