Incident management (part 1)

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 1/431

Управление инцидентамиВерсия 1.1

Алексей Лукацкий

Бизнес-консультант по безопасности


О курсе

Цель курса: Систематизация сведений и понимание конкретных шагов по управлению инцидентами

Определите свою цель

Создать программу управления инцидентами «с нуля»

Улучшить существующую программу управления инцидентами

Оценить существующую программу управления инцидентами в соответствие с лучшими практиками

Мы не рассматриваем

Причины инцидентов и мотивацию злоумышленников

Какие средства защиты позволяют бороться с злоумышленниками

Детали расследования для различных систем и сценариев


О курсе

Мы рассматриваем многие из существующих подходов управления инцидентами

Некоторые могут показаться избыточными

Применение их в конкретной организации зависит от множества условий и целей

Преподаватель

• Рассматривает все альтернативы

Консультант

• Ищет пути решения для конкретной компании


Программа курса


Что нас сподвигает задуматься…о целенаправленной работе с инцидентами?

Что-то произошло?

Что произошло?Это инцидент?

Инцидент опасен или подождет?

Мы с ним справимся самостоятельно?Как это произошло? Детали?

Кто должен с ним бороться?

Должен ли я сообщать в милицию? Или в ФСБ?

Можно ли отследить хакера? Как?Надо ли отпугнуть хакеров или

собрать о них сведения?

Меня взломали! Быстрее вернуть все

в исходное состояние! Или нет? Почему именно я?

Как наказать хакеров?

Что сделать, чтобы не повторилось?

Надо ли сообщать другим компаниям?

Разве IPS и МСЭ не достаточно?


Разве IPS недостаточно?

А это инцидент ИБ, инцидентИТ или просто ложное срабатывание?

Система корреляции поможетвам объединить множествособытий в единуюпоследовательность и устранитьложные срабатывания

А вы знаете, что делать после того, как увидели сигнал тревоги на консоли системы защиты?


Что такое инцидент?



Ситуация, которая может представлять собой нарушение нормального хода бизнеса, убыток, чрезвычайную ситуацию или кризис, либо приводить к их возникновению

BS 25999

Инцидент информационной безопасности - событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ

ГОСТ Р ИСО/МЭК 18044

Любое событие, не являющее частью нормального функционирования сервиса и требующее ответной реакции

ITIL



Действительное, предпринимаемое или вероятное нарушение безопасности, вызванное либо ошибкой людей, либо неправильным функционированием, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, либо нарушением конфиденциальности, целостности, доступности, учетности или бесспорности, влияющие на систему, сервис и/или сеть и их составные части

ISO/IEC TR 18044:2004

Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность

ГОСТ Р ИСО/МЭК 27001-2006, ГОСТ Р ИСО/МЭК 13335-1-2006



Любое событие, которое не является частью стандартного функционирования услуги и которое приводит или может привести к остановке в предоставлении этой услуги или к снижению еѐ качества

ГОСТ Р ИСО/МЭК 20000-200х (проект)

Событие, указывающее на свершившуюся, пред-принимаемую или вероятную реализацию угрозы ИБ

Стандарт Банка России СТО БР ИББС-1.0

Событие, которое может привести к прерыванию операций, разрушениям, потерям, чрезвычайным ситуациям или кризису

ISO/PAS 22399. Guidelines for incident preparedness and operational continuity management


Разница между терминами

ИТ

• Направлены вовнутрь (как правило)

• Событие указывает на причину

• Фокусируются на доступности, производительности, качестве сервиса

ИБ

• Природа источника не важна (внешняя / внутренняя)

• Событие как правило является первым звеном в цепочке

• Фокусируются на поведении, доступе к ресурсам, использовании привилегий субъектов доступа

Событие = причина, факт и следствие


Инцидент: госорганы и коммерсанты

Госорган

• Совершение действий, причинивших ущерб охраняемым законом правам физического или юридического лица

Коммерсант

• Событие, которое может причинить ущерб


От какого термина отталкиваться?

Все зависит от определения ИБ

ИБ – это не универсальное, не стандартное понятие

Оно персонифицировано в каждой конкретной ситуации, для каждой конкретной организации, для каждого конкретного CISO

В одной и той же компании, разные CISO могут по-разному заниматься ИБ

В одной и той же компании при одном и том же CISO, но разных CEO, ИБ может двигаться в разных направлениях

ИБ – это понятие, зависящее от множества факторов/элементов


Термин «безопасность»

Безопасность – отсутствие опасности

В.Даль

Безопасность – состояние, при котором не угрожает опасность

С.Ожегов

Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз

ФЗ «О безопасности»



Безопасность информации - деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию)

ФСТЭК

ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность

А как же борьбы со спамом? Или шантаж DDoS?

Безопасность - состояние защищенности объекта от внешних и внутренних угроз



Безопасность – системное свойство, позволяющее развиваться и процветать в условиях конфликтов, неопределенности и рисков на основе самоорганизации и управления

Безопасность – деятельность людей, общества, государства по выявлению, предупреждению, ослаблению, устранению и отражению опасностей и угроз, способных погубить их, лишить ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития

Информационная безопасность - динамическое состояние сохранения жизненно важных параметров предприятия в информационной сфере


Как я понимаю ИБ?!

Информационная безопасность - состояние защищенности интересов стейкхолдеровпредприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса

Очень емкое и многоуровневое определение

Может без изменения применяться в ЛЮБОЙ организации

Меняться будет только наполнение ее ключевых элементов – стейкхолдеры, информационная сфера, интересы


Стейкхолдеры ИБ

• ИТ

• ИБ

• Юристы

• Служба внутреннего контроля

• HR

• Бизнес-подразделения

• Руководство

• Пользователи

Внутри предприятия

• Акционеры

• Клиенты

• Партнеры

• Аудиторы

Снаружи предприятия

• ФСТЭК

• ФСБ

• Роскомнадзор

• СВР

• МО

• ФАИТ

Регуляторы


Информационная сфера

Информационная сфера - это совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений

В данном определении информационная инфраструктура включает в себя также и технологии обработки информации


Интересы стейкхолдеров

Универсального списка интересов не существует –у каждого предприятия на каждом этапе его развития в различном окружении при различных руководителях интересы различны

ИБ

• Конфиденциальность

• Целостность

• Доступность

Юристы

• Соответствие

• Защита от преследования

• Новые законы

Регуляторы

• Соответствие

Пользователи

• Тайна переписки

• Бесперебойный Интернет

• Комфорт работы

Акционеры

• Рост стоимости акций

• Контроль топ-менеджмента

• Прозрачность

ИТ

• Доступность сервисов

• Интеграция

• Снижение CapEx


Интересы бизнеса

Рост (доли рынка, маржинальности, доходности…)

Экспансия (новые рынки, новые целевые аудитории)

Рост продуктивности сотрудников

Соответствие требованиям

Инновации и новые бизнес-практики

Реинжиниринг бизнес-процессов

Взаимоотношения с клиентами (лояльность)

…


Как минимум, инцидент – это…

Черви, вирусы, ботнеты и иной вредоносный код

Недоступность ресурса в результате DoS или DDoS

Несанкционированный доступ

Злоупотребления сотрудников, включая утечки данных

Модификация команд управления АСУ ТП

Обнаружение уязвимости

Ошибки персонала

Загрузка пиратского ПО


Что такое управление инцидентами?


Ключевые задачи управления инцидентами

Установить способ проникновения в систему

Выяснить мотивацию и цели злоумышленника

Установить личность злоумышленника

Реализовать меры, исключающие повторение инцидента

Возмещение нанесенного ущерба

Устранение уязвимостей, ставших причиной инцидента


О терминологии

Incident handling – обработка инцидентов

Incident management – управление инцидентами

Incident response – реагирование на инциденты


Обработка инцидентов

Обнаружение и составление отчетов

Получение и анализ событий, отчетов об инцидентах и сигналов тревог

Систематизация

Категоризация, приоритезация и связывание событий и инцидентов

Анализ

Что произошло? Каков ущерб? К какой угрозе может привести? Какие шаги надо сделать для отражения и восстановления?

Реагирование на инциденты

Планирование, координация и реализация отражения инцидента, координации и распространения информации, обратной связи и follow-up (чтобы инцидент не повторился)


Управление инцидентами

Управление инцидентами – это не только обработка инцидентов и реагирование на них, но и активность, предотвращающая их

Также включает в себя

Управление уязвимостями

Управление артефактами

Артефакт – явление или объект, наблюдаемые при исследовании объекта, не свойственное этому объекту и искажающее результаты исследования (например, трояны, руткиты, эксплойты)

Часто этот пункт называется сбором доказательств

Обучение и повышение осведомленности пользователей


Связь терминов

Источник: Defining Incident Management Processes for CSIRTs: A Work in Progress.

CMU/SEI-2004-TR-015


Не только управление инцидентами

Эффективные процессы управления инцидентами необходимы, но они не являются единственными, что влияет на уровень защищенности предприятия

Необходимы также

Стратегия информационной безопасности предприятия

Классификатор защищаемых информационных ресурсов

Организационные и технические меры защиты

Выстроенные процессы обеспечения и управления ИБ

Квалифицированный персонал


Управление инцидентами и ИБ


Классические ошибки при расследовании инцидентов

Срочное восстановление работоспособности с попутным уничтожением следов и доказательств

Вина за инцидент без разбора возлагается на ИТ-департамент

Сокрытие ИТ-департаментом инцидента

«Это же регламентные работы!»

Если вина посторонних очевидна, то их все равно никто не ищет

Хакеров в Интернете поймать нереально

К расследованию привлекается малоквалифицированный персонал

Отсутствие мер по профилактике и управлению инцидентами в будущем


Проблемы управления инцидентами

Отсутствие связи с целями организации и бизнеса

Отсутствие поддерживающих управление инцидентами политик и процедур

Основная проблема – неразбериха на стадии развития инцидента, когда от правильности первых действий зависит результативность и эффективность управления

Предоставление избыточных или дублирующих услуг

Неопределенные и неформализованные процессы и роли

Отсутствие контроля

Отсутствие коммуникаций, координации и разделения данных с другими командами


Произошел инцидент! Знаете ли вы что делать или зачем нужна ли формализация процесса управления инцидентами?


Нужна ли формализация?

Управление инцидентами сродни первой помощи

Ценна каждая секунда –промедление смерти подобно

Нельзя суетиться

Важно четкое знание алгоритма действий

Действия не должны быть сложные

Регулярные тренировки и пересмотр алгоритма действий


Процессы управления инцидентами

Одна из первых публикаций по управлению инцидентами появились в 1990-м году

После этого появлялось немало публикаций, описывающих в той или иной степени процессный подход к управлению инцидентами

Число процессов – от 5 до 11

Общие особенности

Не все начинают с подготовки

Не все извлекают уроки

Составление отчетов осуществляется в разном месте жизненного цикла управления инцидентами



Общие

• Подготовка

• Идентификация

• Локализация

• Устранение причин

• Восстановление

• Извлечение уроков

• Follow-up

Редкие

• Подтверждение инцидента

• Координация

• Первичное (экстренное) реагирование

• Дупликация данных

• Коммуникации

• Защита доказательств

• Определение области применения



Институт Карнеги Меллона предложил процессную модель управления инцидентами, которая включает 5 основных процессов

Подготовка (а также поддержка и улучшение)

Защита инфраструктуры

Обнаружение событий

Систематизация событий

Реагирование

В зависимости от задач и структуры CSIRT не все из этих процессов могут быть реализованы на практике

Но стремиться к этому стоит


Процесс «Подготовка»

Планирование управления инцидентами и возможностями CSIRT

Сохранение и поддержание этих возможностей

Совершенствование существующих возможностей на основе «разборов полетов», извлеченных уроков и регулярной оценки деятельности CSIRT и связанных подразделений

Внедрение новых и изменение существующих мер управления инцидентами после «успешного» инцидента

Выработка рекомендаций по улучшению защиты инфраструктуры (для следующего процесса)


Особенности подготовки

Подготовить – значит разработать и выстроить твердый фундамент системы безопасности

Включает технические и не-технические компоненты

Применение лучших методов

Наисложнейшая, но наиболее важная фаза

Без хорошей подготовки вы обречены на провал

Во время отражения масштабной атаки поздно думать о применении лучших фундаментальных методов и процессов


Особенности подготовки (окончание)

Знать врага

Понимать, что движет злоумышленниками

Понимать их технические возможности и приемы

Создать группу реагирования и заранее распределить функции

Обладают ли они нужной квалификацией?

Защитить системы

Подготовить инструменты

Сетевая телеметрия

Инструменты отражения

Четко осознавать свои возможности


Идентификация инцидентов

Идентификация - как Вы узнаете о том, что Вы или Ваш пользователь атакованы ?

Не нужно ждать, пока Ваш пользователь позовет на помощь или пока рухнет Ваша сеть

Какие инструменты доступны?

Что можно сделать сегодня при ограниченном бюджете?


Процесс «Защита инфраструктуры»

Реализация изменений, останавливающих или предотвращающих инциденты или потенциальные возможности для проявления инцидентов (уязвимости и т.п.)

Внедрение улучшений, полученных на предыдущем этапе и в результате иных процессов анализа улучшений

Оценка инфраструктуры путем сканирования или мониторинга сетевого трафика, а также анализа рисков

Составление списка текущих инцидентов, обнаруженных уязвимостей и других событий безопасности, обнаруженных во время оценки (для следующего процесса)


Процесс «Обнаружение событий»

Обнаружение событий и уведомление о них

Получение информации (отчетов) о событиях

Активное слежение за индикаторами (IDS, мониторинг сети и т.п.)

Анализ метрик, демонстрирующих появление рисков и вредоносного поведения на предприятии

Составление списка всех подозрительных событий (для следующего процесса)

Переназначение событий, выходящих за пределы данного процесса

Прекращение обработки событий, не перешедших на следующий этап


Процесс «Систематизация событий»

Классификация и корреляция событий

Приоритезация событий

Связывание событий с соответствующими процедурами обработки инцидентов

Составление перечня категорированных событий (для следующего процесса)


Прекращение обработки событий, не перешедших на следующий этап


Процесс «Реагирование»

Анализ событий

Планирование стратегии реагирования

Координация и реализация технического, административного и юридического реагирования, которое позволяют сдерживать, устранять или отражать инциденты, а также реализация действий по восстановлению пострадавших систем

Общение с внешними сторонами


Прекращение реагирования

«Разбор полетов» и передача информации на первый этап


Связь процессов


Рекомендации NIPC для пострадавших

Реагируйте быстро

Установите контакт с правоохранительными органами

В России это может бесперспективно

Если вы не уверены в своих действиях, то ничего не отключайте и не останавливайте, чтобы не уничтожить следы, артефакты и доказательства

Строго следуйте всем предписаниям и процедурам

Для любых контактов по факту расследования используйте только телефон

E-mail может быть под контролем

Свяжитесь с CSIRT (отделом ИБ)


Рекомендации NIPC для пострадавших

Используйте регистрацию входящих соединений и телефонных звонков

Заранее установите отношения с правоохранительными органами и юридическими конторами

Если вы уверены, что они хоть что-то понимают в расследовании компьютерных инцидентов

Сделайте копии всех файлов, которые злоумышленник мог или может изменить или стереть

Определите основные точки для поиска доказательств. Обеспечьте их сохранность

Не вступайте в контакт с подозреваемым

Вам нужно управление инцидентами!


Пошаговая процедура SANS

SANS – институт подготовки специалистов в области информационной безопасности (США)

В середине 90-х годов подготовил документ «Computer security incident handling. Step by step»

Cisco – один из участников разработки данного документа

6 последовательных процессов обработки инцидента

31 детальная процедура, 97 конкретных действий

Специальные действия для 6 специальных типов инцидентов (вредоносный код, сканирование, DoS, шпионаж, мистификация, неавторизованный код)

10 немедленных действий в ситуации, когда вы готовы и не знаете, что делать (аналог рекомендаций NIPC)


Пошаговая процедура SANS

• Установка политик

• Поддержка руководства

• Организация команды

• План коммуникаций в экстренных случаях

• Простой репортинг

• Тренинг для членов команды

• Руководство для взаимодействия между департаментами

• Добейтесь внимания со стороны системных и сетевых администраторов

• Интерфейс взаимодействия с правоохранительными органами и другими CSIRT

Подготовка

• Выделите персону, ответственную за инцидент

• Какие события относятся к инцидентам

• Будьте осторожны в поддержке доверенной цепочки взаимодействия

• Координация с Интернет-провайдером

• Уведомьте соответствующие структуры (при необходимости)

Идентификация


Пошаговая процедура SANS (продолжение)

• Разверните командный пункт на месте инцидента

• Не привлекайте к себе внимания

• Обходите потенциально скомпрометированный код

• Сделайте резервную копию

• Оцените риск продолжения работы атакованных систем

• Проконсультируйтесь с владельцем системы

• Смените пароли

Локализация

• Определите причины и симптомы инцидента

• Усильте защиту

• Обеспечьте анализ уязвимостей

• Устраните причину инцидента

• Определите последнюю «чистую» резервную копию

Устранения причин


Пошаговая процедура SANS (окончание)

• Восстановите системы

• Проверьте системы

• Решите, когда восстановить бизнес-операции

• Мониторьте системы

Восстановление

• Разработайте отчет об инциденте

Извлечение уроков


Готовы ли вы?

Рекомендации NIPC и SANS просты, но

Знаете ли вы, что скрывается за каждой из них?

Готовы ли вы к их реализации?

Можете ли вы ждать или должны реагировать немедленно?

Доверяете ли вы внешним организациям или правоохранительным органам?

Есть ли специализированные структуры в вашем регионе?

Может быть стоит задуматься о выстраивании процесса управления инцидентами?

В полном или урезанном варианте


Аналогия


Сработала сигнализация автомобиля!

Сел голубь или действительно взлом?

Что делать в первую очередь?

Надо ли отпугнуть грабителей?

Надо ли звонить в милицию? По какому номеру?

Почему именно моя машина?

Что сделать, чтобы не повторилось?

Как наказать грабителей?

Надо ли сообщить о попытке взлома соседям и в милицию?

Может самому найти виновников?


Управление инцидентами важно, но кто должен это делать?


Виды расследования инцидентов

Правоохранительные органы

МВД, Прокуратура, ФСБ…

Как услуга

Детективные агентства, специализированные фирмы, специализированные сервисы…

Корпоративное (собственными силами)

Для традиционных инцидентов

Для выпускаемых продуктов и услуг


Органы расследования инцидентов


Стоит ли звонить в правоохранительные органы?

Квалификация правоохранительных органов в данном вопросе не очень высока

Зависит от региона РФ

Заранее уточните этот вопрос при установлении контакта с правоохранительными органами

Чего вы хотите добиться?

Поимки?

Наказания? Уголовного или административного?

Возмещения ущерба?

Вы обязаны сообщить в правоохранительные органы?

Стоит ли овчинка выделки?


Органы расследования США

U.S. Secret Service

• Основной орган по расследованию «электронных» инцидентов

• Ведет дело на протяжении всего жизненного цикла – от приема заявления до передачи дела в суд

• Обучение

FBI

• Расследование инцидентов ИБ

• Аналитика и подготовка рекомендаций

• Взаимодействие с частными службами компьютерных расследований

• Ведет дело на протяжении всего жизненного цикла

NSA

• Расследование инцидентов, имеющих отношение к национальной безопасности

• В суд дела передаются через ФБР


Органы расследования России

Управление К

• Основной орган по расследованию «электронных» инцидентов

• Ведет дело на протяжении всего жизненного цикла – от приема заявления до передачи дела в суд

УБЭП и др.

• УБЭП

• Уголовный розыск

• ВОХР

• И т.п.

ФСБ

• Расследование инцидентов, имеющих отношение к национальной безопасности

• В суд дела передаются через прокуратуру


Стандартная процедура расследования

Получение сообщения об инциденте

Начало производства по делу в соответствие с действующим законодательством

Установление причины инцидента

Сбор и анализ доказательств

Выявление виновных

Привлечение к ответственности в соответствие с действующим законодательством


Особенности расследований в США

Прецедентное право

Решение суда является указанием для других судов действовать также

Объективное вменение

Нарушитель признается виновным при наступлении в результате его действий общественно опасных последствий


Особенности расследований в РФ

Прецедентного права нет

Есть «судебная практика», сформулированная в указаниях Верховного Суда РФ

Формально, это рекомендация. Фактически – прецедент.

Субъективное вменение

Необходимо доказать объективную сторону преступления (факт преступления и участие конкретного лица) и субъективную (осознание противоправного характера действий подозреваемого, их последствий, а также прямого умысла)

По «компьютерным делам» такой подход часто приводит к прекращению дела


Другие отличия

Роль прокуратуры

Роль адвокатуры

Кадровое обеспечение

Контроль за деятельностью правоохранительной системой

Институт «сделки с правосудием»

США

Институт прекращения уголовного дела на этапе предварительного следствия по нереабилитирующимоснованиям

Россия


Особенности проведения расследования

Если представители правоохранительных органов не имеют опыта работы с компьютернымипреступлениями, то необходимо

Включить (настоять на включении) в первичные следственные действия представителей службы ИБ

Ваши представители должны иметь право решающего голоса

Консультировать правоохранительные органы

Обеспечить качественный сбор и надежное сохранение доказательств

Кто проводит экспертизу?

Экспертов в органах внутренних дел нет

Денег на оплату внешних экспертов нет

Либо личные связи ОВД, либо оплата из внебюджетных средств


Особенности проведения расследования (окончание)

Кто обеспечивает доказательную силу собранных при расследовании материалов?

Отсутствие опыта у правоохранительных органов приводит к ошибкам в сборе доказательств

Оспаривание таких доказательств в суде и на этапе предварительного следствия

Необходимо контролировать и «направлять» сбор доказательств

Надо ли самостоятельно собирать доказательства?

Собранные лично или внешними экспертами доказательства не являются доказательствами в уголовном процессе

Могут поставить под сомнение материалы, собранные правоохранительными органами

Афишировать такие доказательства не стоит


Особенности взаимодействия

Правоохранительные органы обязаны оперативно реагировать на поступающие заявления невзирая на общественную значимость и сумму нанесенного ущерба

На практике, в регионах идет отказ от возбуждения дела или начинается волокита – перенаправление жалобы в другие подразделения ОВД, укрытие жалобы от учета и т.д.

Стоит ли подавать жалобу в прокуратуру или суд на бездействие ОВД

Только если вам важно наказать виновных в бездействии и укрывательстве преступлений, а также вы хотите, чтобы вас признали официально потерпевшим

Если попытаться «идти до конца», то через длительное время дело прекращается в связи с неустановлением лица, подлежащего привлечению к уголовной ответственности


Вас атакуют из-за границы?

Шантаж с помощью бесплатных почтовых сервисов (gmail.com, hotmail.com…)

Загрузка вредоносного ПО с зарубежного Web-сайта

DDoS-атака с зарубежных IP-адресов

Использование зарубежного прокси-сервера

Использование зарубежного анонимайзера

Использование помощи зарубежных коллег/друзей

Атаки на филиал заграницей

Требование перевода денег через WebMoney или в зарубежный банк


Вас атакуют из-за границы? (окончание)

Как получить доказательства?

Собрать самостоятельно – в суде использовать нельзя

Обратиться в правоохранительные органы

Две схемы взаимодействия

Через Следственный комитет при МВД РФ

Через прокуратуру или ФСБ

ОВД СК МВДИнтерпол в России

Интерпол в другой стране

Местная полиция

СледовательГенеральная прокуратура

МИД РФМИД другой

страныПрокуратура

Местная полиция


Как происходит взаимодействие с иностранными государствами

Международное следственное поручение

Подробное описание расследуемого дела

Перечень запрашиваемых следственных действий

Страна, в которой будут проводиться следственные действия

Местная полиция производит следственные действия и отправляет все назад

На все уходит около месяца

Результаты приходят на национальном языке страны

Некоторые страны не считают обязательным исполнять международные следственные поручения

Если подозреваемый относится к национальным или религиозным меньшинствам или состоит в браке с гражданином другой страны, то поручение также может остаться без должного внимания


Как происходит взаимодействие с иностранными государствами (окончание)

Что если атака прошла через несколько государств?

Материалы местной полиции передаются… автору международного поручения, который формирует новое поручение в новую страну…

Полученные результатыдолжны быть переведеныи нотариально заверены

Где взять деньги на перевод инотариальное заверение?

Поручение

США

Чехия

УкраинаАнглия

…


Сложность международного расследования


Кто еще может помочь в расследовании?

Детективные агентства

Специализированные компании

IB Group - http://group-ib.ru/

Операторы связи

Центр независимой комплексной экспертизы и сертификации системи технологий

http://www.cnkes.ru/

CERT


Мировые CERT


Корпоративное или государственное?

Корпоративное расследование Государственное расследование

Проводится силами СБ или

специализированной компанией

Проводится следственными

органами

Сбор доказательств на

добровольной основе

Сбор доказательств в

соответствии с УПК РФ

Доказательства не имеют

доказательной силы в уголовном

процессе

Результаты имеют доказательную

силу

Сохранение в тайне факта

инцидента

Возможен факт утечки

информации

Наказание виновных только среди

сотрудников (гражданская /

дисциплинарная ответственность)

Применение к виновным

уголовного наказания

Ущерб возмещается в порядке

гражданского судопроизводства

или неправовыми методами

Ущерб возмещается по приговору

суда вместе с наказанием

виновных (если их найдут)


Резюме

«Следователь» Достоинства Недостатки

Служба

безопасности

предприятия

• Гарантия сокрытия

факта утечки

• Оперативность

• Низкая стоимость

• Отсутствие опыта

• Невозможность

привлечение к

ответственности

виновного

• Риск использования

неправовых методов

Правоохранитель

ные органы

• Полное

расследование

• Возможность

компенсации ущерба

• Привлечение к


виновного

• Бесплатно

• Риск утечки


• Неоперативность

• Отсутствие

квалификации в

регионах

• Все равно

потребуется что-то

делать до прихода

милиции


Резюме (окончание)

«Следователь» Достоинства Недостатки

Специализирова

нные компании

• Оперативность

• Высокая

квалификация

• Высокая стоимость



• Невозможность

привлечения к


виновного

Друзья и

знакомые

• Низкая стоимость • Риск утечки


• Некомпетентность и

неэффективность




Так может и не стоит создавать свою CSIRT?

Даже в случае приглашения специализированной компании или правоохранительных органов вам потребуется

Сообщить им об инциденте

Собрать первичную информацию

Не дать уничтожить следы нарушителя

Координировать усилия между департаментами компании и внешними специалистами


С чего начать построение программы управления инцидентами?


Какова ваша стратегия?

Защитить и забыть

• Событие – реальный инцидент?

• Если это инцидент, блокируйте вторжение

• Как был получен доступ и сколько систем атаковано?

• Восстановите системы в предатакованноесостояние

• Устраните способ проникновения

• Документируйте инцидент и ваши шаги

• Извлеките уроки

• Уведомьте руководство об инциденте

Задержать и наказать

• Событие – реальный инцидент?

• Если это инцидент, то уведомьте правоохранительные органы

• Документируйте инцидент

• Изолируйте атакованную систему

• Заставьте нарушителя идти в honeypot (если возможно)

• Идентифицируйте личность нарушителя

• Как был получен доступ?

• Устраните проблемы на всех неатакованныхеще системах

• Блокируйте вторжение, когда собраны доказательства или возникла угроза бизнесу

• Документируйте текущее состояние атакованных систем

• Восстановите атакованные системы

• Устраните способ проникновения

• Оцените стоимость обработки инцидента в рублях и человеко-часах

• Защите собранные доказательства

• Извлеките уроки

• Уведомьте руководство об инциденте


С чего начать?

Соберите информацию

Какие из процессов управления инцидентами у вас уже реализованы?

В каком объеме?

Роли и обязанности участников

Описанные процедуры и процессы

Насколько существующие процессы увязаны с целями организации и стратегией ИБ?

Какие технологии, оборудование и оргмеры применяются?

Какие из активностей выполняются в рамках других процессов?


С чего начать? (окончание)

Поймите

Насколько вас устраивают существующие процессы?

Что нуждается в улучшении?

Чего вам не хватает?

Что вы хотите добавить сейчас, а что оставить на потом?

Что вы не будете реализовывать из описываемых далее процессов (например, «защиту инфраструктуры»)?

Может быть вы хотите внедрить только один из подпроцессов(например, расследование или взаимодействие с правоохранительными органами)?

Self Improvement

Incident management (part 1)