Существует несколько подходов к реагированию на инциденты. Существует ряд организаций, которые разрабатывают стандарты обеспечения безопасности. Ниже представлена шестиэтапная схема реагирования на инциденты, разработанная институтом SANS. Компании также ориентируются на рекомендации по восстановлению работы системы после инцидентов от Национального института стандартов и технологий (NIST).
- Подготовка. До возникновения инцидента важно уменьшить количество уязвимостей, настроить политики безопасности и определить процедуры защиты. На этапе подготовки организации оценивают риски, чтобы выявить слабые места и приоритизировать активы. Этот этап включает в себя написание и уточнение процедур безопасности, распределение ролей и обязанностей, а также обновление систем для снижения риска. Технологии меняются, и специалисты извлекают уроки из свершившихся атак. Поэтому большинство компаний регулярно возвращаются к этому этапу и улучшают политики, процедуры и системы.
- Выявление угрозы. Каждый день служба безопасности может получать тысячи оповещений о подозрительной активности. Некоторые из них являются ложными срабатываниями или незначительными событиями, которые не эскалируются до уровня инцидента. Если же специалисты выявляют инцидент, то они изучает характер нарушения и документируют собранную информацию об источнике угрозы, типе атаки и целях злоумышленников. На этом этапе команда также должна проинформировать заинтересованных лиц и обсудить дальнейшие шаги.
- Изоляция угрозы. Следующий шаг — максимально быстро ограничить распространение угрозы. Чем дольше у злоумышленников есть доступ к системе, тем больший ущерб они могут нанести. Служба безопасности должна быстро изолировать от остальных сетей приложения или системы, которые подверглись атаке. Это помогает предотвратить доступ злоумышленников к другим частям корпоративной инфраструктуры.
- Устранение угрозы. Когда угроза изолирована, специалисты удаляют злоумышленников и все вредоносные программы из затронутых систем и ресурсов. Иногда может потребоваться отключить эти системы от сети. При этом служба безопасности продолжает информировать заинтересованных лиц о ходе работ.
- Восстановление. После инцидента возобновление нормальной работы может занять несколько часов. Когда угроза устранена, служба безопасности реанимирует систему и восстанавливает данные из резервной копии. Также важно проконтролировать состояние затронутых атакой ресурсов, чтобы убедиться, что злоумышленник не вернулся.
- Сбор данных и улучшения. После устранения инцидента служба безопасности анализирует произошедшее и определяет, как можно улучшить процесс реагирования. На этом этапе команда извлекает уроки, которые помогают усилить защиту организации
Ниже представлены типовые инциденты согласно классификации инцидентов ИБ НКЦКИ (Национальный координационный центр по компьютерным инцидентам) и методы реагирования на них:
| № п/п | Инцидент | Процедура реагирования |
|---|---|---|
| Внедрение в объект модулей вредоносного программного обеспечения | Подготовка: Отслеживание выявленных уязвимостей и своевременное их устранение в соответствии с рекомендациями. Использование специализированного ПО для защиты периметра работы системы (антивирус, файервол). Блокировка всех портов и протоколов, кроме минимально необходимых для работы системы и ее компонентов. Выявление угрозы: оповещения от системы управления информационной безопасностью и событиями безопасности (SIEM), оповещения от используемого ПО для защиты информации (антивирус, файервол). Изоляция угрозы: в соответствии с регламентами используемого ПО для защиты информации. Устранение угрозы: в соответствии с регламентами используемого ПО для защиты информации. Восстановление: Переустановка поврежденных в результат атаки компонентов системы. Восстановление данных из резервной копии. | |
Использование объекта для распространения вредоносного программного обеспечения | Подготовка: Настроить политики безопасности для исключения несанкционированного доступа в систему. Использование антивирусов для выявления среди загруженных в среду файлов вредоносного ПО. Выявление угрозы: Оповещения от используемого ПО для защиты информации (антивирус). Изоляция угрозы: в соответствии с регламентами используемого ПО для защиты информации. Устранение угрозы: в соответствии с регламентами используемого ПО для защиты информации. Восстановление: Удаление из системы вредоносного ПО. Блокировка скомпрометированных учетных записей пользователей. | |
| Компьютерная атака типа “отказ в обслуживании”, направленная на объект | Подготовка: Настроить политики безопасности для исключения несанкционированного доступа в систему. Использование специализированного ПО для защиты периметра работы системы (антивирус, файервол). Использование специализированных сервисов для защиты от DDoS-атак. Блокировка всех портов и протоколов, кроме минимально необходимых для работы системы и ее компонентов. Выявление угрозы: Оповещения от используемого ПО для защиты информации и сервисов. Изоляция угрозы: в соответствии с регламентами используемого ПО и сервисов. Устранение угрозы: в соответствии с регламентами используемого ПО и сервисов. Восстановление: в соответствии с регламентами используемого ПО и сервисов. | |
| Распределенная компьютерная атака типа “отказ в обслуживании”, направленная на объект | Подготовка: Настроить политики безопасности для исключения несанкционированного доступа в систему. Использование специализированного ПО для защиты периметра работы системы (антивирус, файервол). Использование специализированных сервисов для защиты от DDoS-атак. Блокировка всех портов и протоколов, кроме минимально необходимых для работы системы и ее компонентов. Выявление угрозы: Оповещения от используемого ПО для защиты информации и сервисов. Изоляция угрозы: в соответствии с регламентами используемого ПО и сервисов. Устранение угрозы: в соответствии с регламентами используемого ПО и сервисов. Восстановление: в соответствии с регламентами используемого ПО и сервисов. | |
| Успешная эксплуатация уязвимости в объекте | Подготовка: Отслеживание выявленных уязвимостей и своевременное их устранение в соответствии с рекомендациями. Использование специализированного ПО для защиты периметра работы системы (антивирус, файервол). Блокировка всех портов и протоколов, кроме минимально необходимых для работы системы и ее компонентов. Создание регламента резервирования и восстановления данных и следование ему. Выявление угрозы: оповещения от системы управления информационной безопасностью и событиями безопасности (SIEM), оповещения от используемого ПО для защиты информации (антивирус, файервол). Изоляция угрозы: в соответствии с регламентами используемого ПО для защиты информации. Устранение угрозы: Обращение в техническую поддержку Вендора. Обновление системы или отдельных ее компонентов. Восстановление: Переустановка или обновление поврежденных в результате атаки компонентов системы. Восстановление данных из резервной копии. | |
| Компрометация учетной записи в объекте | Подготовка: Настроить политики безопасности для исключения несанкционированного доступа в систему. Выявление угрозы: оповещения от системы управления информационной безопасностью и событиями безопасности (SIEM), анализ журнала регистрации событий в системе. Изоляция угрозы: блокировка скомпрометированной учетной записи. Разрыв сессий всех пользователей. Устранение угрозы: Удаление, перманентная блокировка учетной записи или смена пароля учетной записи. Восстановление: Восстановление данных из резервной копии. Сбор данных и улучшения: Пересмотр политики безопасности. Использование многофакторной аутентификации. | |
| Несанкционированное изменение информации, обрабатываемой в объекте | Подготовка: Настроить политики безопасности для исключения несанкционированного доступа в систему. Выявление угрозы: оповещения от системы управления информационной безопасностью и событиями безопасности (SIEM), анализ журнала регистрации событий в системе. Изоляция угрозы: блокировка скомпрометированной учетной записи. Разрыв сессий всех пользователей. Устранение угрозы: Удаление, перманентная блокировка учетной записи или смена пароля учетной записи. Восстановление: Восстановление данных из резервной копии. Сбор данных и улучшения: Пересмотр политики безопасности. Использование многофакторной аутентификации. |