Что может явиться следствием инцидента информационной безопасности

Что может явиться следствием инцидента информационной безопасности

Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

О сервисе

Positive Technologies Expert Security Center (PT ESC) оказывает клиентам оперативную и всестороннюю помощь в обнаружении, реагировании и расследовании инцидентов информационной безопасности. Наши специалисты постоянно отслеживают активность основных хакерских группировок, действующих на территории России и стран СНГ, и могут по первым же признакам с высокой точностью определить, какая группировка стоит за конкретным инцидентом. Кроме того, мы предоставляем заказчикам индикаторы для самостоятельной верификации инцидентов и даем рекомендации, которые помогают оперативно локализовать последствия.

Состав услуг

Ретроспективный анализ событий ИБ

Анализ событий ИБ за заданный промежуток времени, позволяющий выявить пропущенные инциденты.

Как это работает

Заказчик получает информацию об активности APT-группировки в его отрасли за последние несколько месяцев, но не обнаруживает никакой подозрительной активности в своей сети и хочет получить независимую экспертную оценку корректности своих выводов.

Наши специалисты собирают всю необходимую информацию: отбирают и анализируют действительно важные события ИБ и артефакты (образцы вредоносного ПО, дампы памяти и трафика, образы жесткого диска), фиксируют все случаи атак. После анализа заказчик получает экспертное заключение о степени опасности обнаруженных инцидентов и уровне их влияния на IT-инфраструктуру, а также рекомендации по минимизации ущерба.

Экспертная поддержка при реагировании на инцидент (с выездом к заказчику и удаленно)

Услуга, обеспечивающая оперативное и корректное реагирование на инциденты информационной безопасности даже при отсутствии в штате заказчика высококвалифицированных специалистов или при обнаружении специфических инцидентов.

Как это работает

Реагирование на инцидент требует не только глубокой экспертизы, оперативности и точности при принятии решений, но и наличия отлаженных процессов сбора и анализа данных. Специалисты PT ESC всегда готовы подключиться удаленно или выехать к заказчику и решить возникшую проблему в минимально возможный срок.

Анализ инцидента ИБ

Полное детальное исследование инцидента ИБ с выявлением уровня его опасности, используемого вредоносного ПО и определением границ поражения или анализ отдельных артефактов, полученных во время инцидента (например, образцов вредоносного ПО).

Как это работает

Заказчик обнаруживает в своей инфраструктуре компьютер, инфицированный вредоносным ПО, и хочет знать, как вредонос попал в корпоративную сеть и в чем заключалась его деятельность.

Наши специалисты анализируют любые обнаруженные образцы вредоносного ПО и выдают заключение о его функциональности и потенциальном ущербе.

Комплексное расследование инцидентов информационной безопасности

Всестороннее и глубокое расследование инцидентов с полным восстановлением их хронологии, которое включает поддержку по реагированию, детальный анализ затронутых активов и ретроспективный анализ событий ИБ.

Наши специалисты дают заказчикам развернутые краткосрочные и долгосрочные рекомендации по повышению защищенности IT-инфраструктуры, чтобы предотвратить возникновение инцидентов в дальнейшем.

Материалы

Результаты некоторых расследований реальных инцидентов мы публикуем в виде аналитических отчетов.

Как получить услуги

  • Обратитесь к менеджеру по продажам Positive Technologies.
  • Оставьте запрос в форме в нижней части страницы.
  • Позвоните по телефону +7 495 744-01-44 или +7 800 234-01-44.

Как получить поддержку по услугам

Обратитесь к закрепленному менеджеру по продажам или другим контактным лицам, указанным в договоре.

Доброго дня, уважаемый хабрахабр!

Я продолжаю публикацию статей из практики по информационной безопасности.
В этот раз речь пойдёт о такой важной составляющей, как инциденты безопасности. Работа с инцидентами займёт львиную долю времени после установления режима информационной безопасности (приняты документы, установлена и настроена техническая часть, проведены первые тренинги).

Информирование об инцидентах

Перво наперво необходимо получить информацию об инциденте. Этот момент необходимо продумать ещё на этапе формирования политики безопасности и создания презентаций по ликбезу в ИБ для сотрудников.
Основные источники информации:

1. Helpdesk.
Как правило (и это хорошая традиция) о любых неполадках, неисправностях или сбоях в работе оборудования звонят или пишут в хелпдеск вашей IT-службы. Поэтому необходимо заранее «встроиться» в бизнес-процесс хелпдеска и указать те виды инцидентов, с которыми заявку будут переводить в отдел информационной безопасности.

2. Сообщения непосредственно от пользователей.
Организуйте единую точку контакта, о чём сообщите в тренинге по ИБ для сотрудников. На данный момент отделы ИБ в организациях, как правило, не очень большие, зачастую из 1-2 человек. Поэтому будет несложно назначить ответственного за приём инцидентов, можно даже не заморачиваться с выделением адреса электропочты под нужды IS Helpdesk.

3. Инциденты, обнаруженные сотрудниками ИБ.
Тут всё просто, и никаких телодвижений для организации такого канала приёма не требуется.

4. Журналы и оповещения систем.
Настройте оповещения в консоли антивируса, IDS, DLP и других систем безопасности. Удобнее использовать аггрегаторы, собирающие данные также из логов программ и систем, установленных в вашей организации. Особое внимание нужно уделить точкам соприкосновения с внешней сетью и местам хранения чувствительной информации.

Категорирование инцидента

Хоть инциденты безопасности разнообразны и многообразны, их довольно легко разделить на несколько категорий, по которым проще вести статистику.

1. Разглашение конфиденциальной или внутренней информации, либо угроза такого разглашения.
Для этого необходимо иметь, как минимум, актуальный перечень конфиденциальной информации, рабочую систему грифования электронных и бумажных носителей. Хороший пример — шаблоны документов, практически на все случаи жизни, находящиеся на внутреннем портале организации или во внутренней файлопомойке, по умолчанию имеют проставленный гриф «Только для внутреннего использования».
Немного уточню про угрозу разглашения, в предыдущем посте я описывал ситуацию, когда документ с грифом «Только для внутреннего использования» был вывешен в общем холле, смежным с другой организацией. Возможно, самого разглашения и не было (вывешено было после окончания рабочего дня, да и замечено было очень быстро), но факт угрозы разглашения — на лицо!

2. Несанкционированный доступ.
Для этого необходимо иметь список защищаемых ресурсов. То есть тех, где находится какая-либо чувствительная информация организации, её клиентов или подрядчиков. Причём желательно внести в эту категорию не только проникновения в компьютерную сеть, но и несанкционированный доступ в помещения.

3. Превышение полномочий.
В принципе можно объединить этот пункт с предыдущим, но лучше всё-таки выделить, объясню почему. Несанкционированный доступ подразумевает доступ тех лиц, которые не имеют никакого легального доступа к ресурсам или помещениям организации. Это внешний нарушитель, не имеющий легального входа в вашу систему. Под превышением полномочий же понимается несанкционированный доступ к каким-либо ресурсам и помещениям именно легальных сотрудников организации.

4. Вирусная атака.
В этом случае необходимо понимать следующее: единично заражение компьютера сотрудника не должно повлечь за собой разбирательство, так как это можно списать на погрешность или пресловутый человеческий фактор. Если же заражен ощутимый процент компьютеров организации (тут уже исходите из общего количества машин, их распределенности, сегментированности и тд), то необходимо разворачивать полновесную отработку инцидента безопасности с необходимыми поисками источников заражения, причин и т.д.

5. Компрометация учетных записей.
Этот пункт перекликается с 3. Фактически инцидент переходит из 3 в 5 категорию, если в ходе расследования инцидента выясняется, что пользователь в этот момент физически и фактически не мог использовать свои учётные данные.

Классификация инцидента

С этим пунктом в работе с инцидентами можно поступить 2-мя путями: простым и сложным.
Простой путь: взять соглашение об уровне сервиса вашей IT-службы и подогнать под свои нужды.
Сложный путь: на основе анализа рисков выделить группы инцидентов и/или активов, в отношении которых решение или устранение причин инцидента должны быть незамедлительными.
Простой путь неплохо работает в небольших организациях, где не так уж и много закрытой информации и нет огромного количества сотрудников. Но стоит понимать, что IT-служба исходит в SLA из своих собственных рисков и статистики инцидентов. Вполне возможно, что зажевавший бумагу принтер на столе генерального директора будет иметь очень высокий приоритет, в том случае, как для вас важнее будет компрометация пароля администратора корпоративной БД.

Сбор свидетельств инцидента

Есть особенная прикладная наука — форензика, которая занимается вопросам криминалистики в области компьютерных преступлений. И есть замечательная книга Федотова Н.Н. «Форензика — компьютерная криминалистика». Я не буду сейчас расписывать детально аспекты форензики, просто выделю 2 основных момента в сохранении и предоставлении свидетельств, которых необходимо придерживаться.

• Для бумажных документов: подлинник хранится надежно с записью лица, обнаружившего документ, где документ был обнаружен, когда документ был обнаружен и кто засвидетельствовал обнаружение. Любое расследование должно гарантировать, что подлинники не были сфальсифицированы
• Для информации на компьютерном носителе: зеркальные отображение или любого сменного носителя, информации на жестких дисках или в памяти должны быть взяты для обеспечения доступности. Должен сохраняться протокол всех действий в ходе процесса копирования, и процесс должен быть засвидетельствован. Оригинальный носитель и протокол (если это невозможно, то, по крайней мере, одно зеркальное отображение или копия), должны храниться защищенными и нетронутыми

После устранения инцидента

Итак, инцидент исчерпан, последствия устранены, проведено служебное расследование.
Но работа на этом не должна завершаться.
Дальнейшие действия после инцидента:

• переоценка рисков, повлекших возникновение инцидента
• подготовка перечня защитных мер для минимизации выявленных рисков, в случае повторения инцидента
• актуализация необходимых политик, регламентов, правил ИБ
• провести обучение персонала организации, включая сотрудников IT, для повышения осведомленности в части ИБ

То есть необходимо предпринять все возможные действия по минимизации или нейтрализации уязвимости, повлекшей реализацию угрозы безопасности и, как результат, возникновение инцидента.

Несколько советов

1. Ведите журнал регистрации инцидентов, где записывайте время обнаружения, данные сотрудника, обнаружившего инцидент, категорию инцидента, затронутые активы, планируемое и фактическое время решения инцидента, а так же работы, проведенные для устранения инцидента и его последствий.
2. Записывайте свои действия. Это необходимо в первую очередь для себя, для оптимизации процесса решения инцидента.
3. Оповестите сотрудников о наличие инцидента, что бы во-первых они не мешали вам в расследовании, во-вторых исключили пользование затронутыми активами на время расследования.

Классификация инцидентов

Сперва необходимо дать определение терминам «событие» и «инцидент». Согласно ГОСТ Р 18044-2007:

— событием информационной безопасности (information security event) является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности;

— инцидентом информационной безопасности (information security incident) считается появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.

Если подозревается, что событие ИБ развивается или уже свершилось, особенно событие, которое может привести к существенным потерям, ущербу собственности или репутации организации, то необходимо немедленно заполнить и передать форму отчета о событии ИБ в соответствии с процедурами, описанными в системе менеджмента инцидентов ИБ организации [2].

Если событие определено как инцидент ИБ, то в обязательном порядке должен быть составлен отчет, подробно описывающий произошедший инцидент. В соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007 инциденты классифицируют определенным образом.

Всего общая классификация представляет три типа инцидентов — действительный инцидент, попытка и предполагаемый инцидент.

Угрозы же более обширны и их разделяют на четыре типа — намеренные, случайные, ошибки и другие угрозы.

Среди намеренных угроз выделяют:

— неправильное использование ресурсов;

Перечень случайных угроз содержит:

— отказ системы связи;

— другие природные события.

В данном случае в отчете должны быть пометки, имели ли место потери значимых сервисов и недостаточное кадровое обеспечение.

Среди ошибок определяют:

— ошибки в эксплуатации аппаратных средств;

— ошибки в эксплуатации программных средств;

— другие случаи (включая ненамеренные ошибки).

В случае, если инцидент не подходит ни под один тип угроз, в отчете отмечается, что имел место инцидент с категорией угрозы «неизвестно» [3, с. 103]. Если еще не установлен тип инцидента ИБ (намеренный, случайный, ошибка), то следует сделать отметку «неизвестно» и, по возможности, указать тип угрозы, используя определения, приведенные выше.

Статистика инцидентов

Опрос проводился в декабре 2014 года среди руководителей 58 крупнейших организаций. В анкетировании участвовали представители банковской (42%), телекоммуникационной (17%) топливо-энергетической (13%), СМИ (12%), транспортной (4%) и других отраслей, а также государственных организаций и ведомств (12%).

Рисунок 1 — Респонденты по отраслям

Главной особенностью инцидентов в области информационной безопасности является то, что они не всегда заметны (не всегда мешают в работе пользователей), однако возможный ущерб от таких инцидентов сложно недооценить. Следовательно, необходима четкая процедура регистрации и расследования инцидентов безопасности, а также информирование пользователей о правилах определения инцидентов.

В 2014 году инциденты информационной безопасности были зарегистрированы в каждой из опрошенных компаний. Большинство тамбовских системообразующих компаний, промышленных предприятий и организаций сталкивались с хакерскими атаками и заражением вредоносным ПО [4, с. 35]. При этом свыше половины опрошенных компаний (58%) испытывали из-за ИБ инцидентов существенные проблемы — несмотря на выстроенные процессы обеспечения безопасности. К финансовым потерям инциденты привели в 15% компаний, к репутационным издержкам в 12%, к нарушению функционирования IТ-инфраструктуры — в 31%.

Рисунок 2 — Инциденты ИБ в 2014 году

Наиболее распространенным инцидентами оказались DoS-атаки — им были подвержены 23% опрошенных компаний, а также хакерские атаки на внешние веб-приложения (21%).

Достаточно высоким оказался процент инцидентов, связанных с внутренними причинами. 16% компаний сообщили об инцидентах, связанных с нарушением правил эксплуатации ИС. Злоупотребления со стороны сотрудников привели к заметным инцидентам в 14% компаний. Таким образом, внутренние угрозы оказались вдвое более опасными, чем заражение вредоносным ПО (14%).

Рисунок 3 — Типы инцидентов (доля компаний)

Основной причиной, препятствующей эффективному обеспечению защиты IT-систем системообразующих компаний России, участники опроса назвали нехватку профессионалов, знакомых одновременно с вопросами информационной безопасности, и с производственными процессами отрасли или компании, которую они защищают (37%).

На втором месте в списке проблем — несовершенство нормативно-законодательной базы (26%). Кроме того, 13% компаний отметили отсутствие релевантных средств защиты.

Рисунок 4 — Приоритетные проблемы обеспечения ИБ

При обеспечении информационной безопасности крупные компании в России руководствуются обязательными к исполнению нормативными документами государственных органов (ФСБ, ФСТЭК) — так ответили 88% опрошенных компаний. Международными стандартами и рекомендациями пользуется лишь треть компаний [5, с. 221].

Стоит отметить, что банки, телекоммуникационные и транспортные компании ориентируются как минимум на три типа стандартов, в том числе и зарубежные отраслевые стандарты.

В то же время более половины компаний (55%) ответили, что полагаются на экспертное мнение своих специалистов по безопасности. Наибольший вес экспертиза собственных специалистов имеет в телекоммуникационной отрасли и в медиакомпаниях.

Многие участники исследования сообщили, что для обеспечения ИБ имеет значение не только своевременное реагирование на инциденты типа CERT (33%) и получение своевременной информации об уязвимостях (42%). Большинство тех, кто еще не наладил подобного сотрудничества, сообщили, что планируют сделать это в будущем.

Рисунок 5 — Ориентиры компании при обеспечении ИБ (респонденты могли выбрать несколько вариантов)

Выводы по разделу 1

В данном разделе проведен анализ представленной статистики инцидентов информационной безопасности за 2014 год среди 58 крупнейших организаций из различных отраслей. Выяснилось, что более 50% организаций ежегодно сталкиваются с инцидентами ИБ и при этом испытывают существенные проблемы — несмотря на выстроенные процессы обеспечения безопасности. Также были определены наиболее часто встречающиеся типы инцидентов (DoS-атаки и хакерские атаки на внешние приложения) и выявлены приоритетные проблемы обеспечения ИБ.

Таким образом, результаты опроса дают понять, что проблема своевременного и адекватного реагирования на инциденты ИБ стоит достаточно остро, и многие организации нуждаются в гибком решении, которое позволит точно и своевременно реагировать на возникающие инциденты ИБ.

Ссылка на основную публикацию
Что делать если виснет браузер
Автор Юрий Белоусов · 18.03.2019 Пользователи могут столкнуться с неприятной ситуацией, когда браузер Опера зависает, виснет, подвисает, тормозит, лагает, глючит....
Хранение машины в гараже плюсы и минусы
От того, в каких условиях хранится автомобиль, во многом зависит его техническое состояние, а также внешний вид, а при желании...
Хранилище игр на пк
Играй в любимые игры на любом компьютере без лагов и тормозов Играй в крутые игры Как работает Loudplay Мы предоставляем...
Что делать если винда 10 не запускается
В нашей сегодняшней статье будет рассмотрен ряд случаев, связанных с отказом запуска операционной системы Windows 10 на компьютере или ноутбуке....
Adblock detector