Upload
alexey-lukatsky
View
6.103
Download
5
Embed Size (px)
DESCRIPTION
Citation preview
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 1/431
Управление инцидентамиВерсия 1.1
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 2/431
О курсе
Цель курса: Систематизация сведений и понимание конкретных шагов по управлению инцидентами
Определите свою цель
Создать программу управления инцидентами «с нуля»
Улучшить существующую программу управления инцидентами
Оценить существующую программу управления инцидентами в соответствие с лучшими практиками
Мы не рассматриваем
Причины инцидентов и мотивацию злоумышленников
Какие средства защиты позволяют бороться с злоумышленниками
Детали расследования для различных систем и сценариев
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 3/431
О курсе
Мы рассматриваем многие из существующих подходов управления инцидентами
Некоторые могут показаться избыточными
Применение их в конкретной организации зависит от множества условий и целей
Преподаватель
• Рассматривает все альтернативы
Консультант
• Ищет пути решения для конкретной компании
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 4/431
Программа курса
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 5/431
Что нас сподвигает задуматься…о целенаправленной работе с инцидентами?
Что-то произошло?
Что произошло?Это инцидент?
Инцидент опасен или подождет?
Мы с ним справимся самостоятельно?Как это произошло? Детали?
Кто должен с ним бороться?
Должен ли я сообщать в милицию? Или в ФСБ?
Можно ли отследить хакера? Как?Надо ли отпугнуть хакеров или
собрать о них сведения?
Меня взломали! Быстрее вернуть все
в исходное состояние! Или нет? Почему именно я?
Как наказать хакеров?
Что сделать, чтобы не повторилось?
Надо ли сообщать другим компаниям?
Разве IPS и МСЭ не достаточно?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 6/431
Разве IPS недостаточно?
А это инцидент ИБ, инцидентИТ или просто ложное срабатывание?
Система корреляции поможетвам объединить множествособытий в единуюпоследовательность и устранитьложные срабатывания
А вы знаете, что делать после того, как увидели сигнал тревоги на консоли системы защиты?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 7/431
Что такое инцидент?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 8/431
Что такое инцидент?
Ситуация, которая может представлять собой нарушение нормального хода бизнеса, убыток, чрезвычайную ситуацию или кризис, либо приводить к их возникновению
BS 25999
Инцидент информационной безопасности - событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ
ГОСТ Р ИСО/МЭК 18044
Любое событие, не являющее частью нормального функционирования сервиса и требующее ответной реакции
ITIL
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 9/431
Что такое инцидент?
Действительное, предпринимаемое или вероятное нарушение безопасности, вызванное либо ошибкой людей, либо неправильным функционированием, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, либо нарушением конфиденциальности, целостности, доступности, учетности или бесспорности, влияющие на систему, сервис и/или сеть и их составные части
ISO/IEC TR 18044:2004
Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность
ГОСТ Р ИСО/МЭК 27001-2006, ГОСТ Р ИСО/МЭК 13335-1-2006
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 10/431
Что такое инцидент?
Любое событие, которое не является частью стандартного функционирования услуги и которое приводит или может привести к остановке в предоставлении этой услуги или к снижению еѐ качества
ГОСТ Р ИСО/МЭК 20000-200х (проект)
Событие, указывающее на свершившуюся, пред-принимаемую или вероятную реализацию угрозы ИБ
Стандарт Банка России СТО БР ИББС-1.0
Событие, которое может привести к прерыванию операций, разрушениям, потерям, чрезвычайным ситуациям или кризису
ISO/PAS 22399. Guidelines for incident preparedness and operational continuity management
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 11/431
Разница между терминами
ИТ
• Направлены вовнутрь (как правило)
• Событие указывает на причину
• Фокусируются на доступности, производительности, качестве сервиса
ИБ
• Природа источника не важна (внешняя / внутренняя)
• Событие как правило является первым звеном в цепочке
• Фокусируются на поведении, доступе к ресурсам, использовании привилегий субъектов доступа
Событие = причина, факт и следствие
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 12/431
Инцидент: госорганы и коммерсанты
Госорган
• Совершение действий, причинивших ущерб охраняемым законом правам физического или юридического лица
Коммерсант
• Событие, которое может причинить ущерб
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 13/431
От какого термина отталкиваться?
Все зависит от определения ИБ
ИБ – это не универсальное, не стандартное понятие
Оно персонифицировано в каждой конкретной ситуации, для каждой конкретной организации, для каждого конкретного CISO
В одной и той же компании, разные CISO могут по-разному заниматься ИБ
В одной и той же компании при одном и том же CISO, но разных CEO, ИБ может двигаться в разных направлениях
ИБ – это понятие, зависящее от множества факторов/элементов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 14/431
Термин «безопасность»
Безопасность – отсутствие опасности
В.Даль
Безопасность – состояние, при котором не угрожает опасность
С.Ожегов
Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз
ФЗ «О безопасности»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 15/431
Термин «безопасность»
Безопасность информации - деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию)
ФСТЭК
ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность
А как же борьбы со спамом? Или шантаж DDoS?
Безопасность - состояние защищенности объекта от внешних и внутренних угроз
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 16/431
Термин «безопасность»
Безопасность – системное свойство, позволяющее развиваться и процветать в условиях конфликтов, неопределенности и рисков на основе самоорганизации и управления
Безопасность – деятельность людей, общества, государства по выявлению, предупреждению, ослаблению, устранению и отражению опасностей и угроз, способных погубить их, лишить ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития
Информационная безопасность - динамическое состояние сохранения жизненно важных параметров предприятия в информационной сфере
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 17/431
Как я понимаю ИБ?!
Информационная безопасность - состояние защищенности интересов стейкхолдеровпредприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса
Очень емкое и многоуровневое определение
Может без изменения применяться в ЛЮБОЙ организации
Меняться будет только наполнение ее ключевых элементов – стейкхолдеры, информационная сфера, интересы
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 18/431
Стейкхолдеры ИБ
• ИТ
• ИБ
• Юристы
• Служба внутреннего контроля
• HR
• Бизнес-подразделения
• Руководство
• Пользователи
Внутри предприятия
• Акционеры
• Клиенты
• Партнеры
• Аудиторы
Снаружи предприятия
• ФСТЭК
• ФСБ
• Роскомнадзор
• СВР
• МО
• ФАИТ
Регуляторы
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 19/431
Информационная сфера
Информационная сфера - это совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений
В данном определении информационная инфраструктура включает в себя также и технологии обработки информации
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 20/431
Интересы стейкхолдеров
Универсального списка интересов не существует –у каждого предприятия на каждом этапе его развития в различном окружении при различных руководителях интересы различны
ИБ
• Конфиденциальность
• Целостность
• Доступность
Юристы
• Соответствие
• Защита от преследования
• Новые законы
Регуляторы
• Соответствие
Пользователи
• Тайна переписки
• Бесперебойный Интернет
• Комфорт работы
Акционеры
• Рост стоимости акций
• Контроль топ-менеджмента
• Прозрачность
ИТ
• Доступность сервисов
• Интеграция
• Снижение CapEx
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 21/431
Интересы бизнеса
Рост (доли рынка, маржинальности, доходности…)
Экспансия (новые рынки, новые целевые аудитории)
Рост продуктивности сотрудников
Соответствие требованиям
Инновации и новые бизнес-практики
Реинжиниринг бизнес-процессов
Взаимоотношения с клиентами (лояльность)
…
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 22/431
Как минимум, инцидент – это…
Черви, вирусы, ботнеты и иной вредоносный код
Недоступность ресурса в результате DoS или DDoS
Несанкционированный доступ
Злоупотребления сотрудников, включая утечки данных
Модификация команд управления АСУ ТП
Обнаружение уязвимости
Ошибки персонала
Загрузка пиратского ПО
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 23/431
Что такое управление инцидентами?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 24/431
Ключевые задачи управления инцидентами
Установить способ проникновения в систему
Выяснить мотивацию и цели злоумышленника
Установить личность злоумышленника
Реализовать меры, исключающие повторение инцидента
Возмещение нанесенного ущерба
Устранение уязвимостей, ставших причиной инцидента
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 25/431
О терминологии
Incident handling – обработка инцидентов
Incident management – управление инцидентами
Incident response – реагирование на инциденты
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 26/431
Обработка инцидентов
Обнаружение и составление отчетов
Получение и анализ событий, отчетов об инцидентах и сигналов тревог
Систематизация
Категоризация, приоритезация и связывание событий и инцидентов
Анализ
Что произошло? Каков ущерб? К какой угрозе может привести? Какие шаги надо сделать для отражения и восстановления?
Реагирование на инциденты
Планирование, координация и реализация отражения инцидента, координации и распространения информации, обратной связи и follow-up (чтобы инцидент не повторился)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 27/431
Управление инцидентами
Управление инцидентами – это не только обработка инцидентов и реагирование на них, но и активность, предотвращающая их
Также включает в себя
Управление уязвимостями
Управление артефактами
Артефакт – явление или объект, наблюдаемые при исследовании объекта, не свойственное этому объекту и искажающее результаты исследования (например, трояны, руткиты, эксплойты)
Часто этот пункт называется сбором доказательств
Обучение и повышение осведомленности пользователей
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 28/431
Связь терминов
Источник: Defining Incident Management Processes for CSIRTs: A Work in Progress.
CMU/SEI-2004-TR-015
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 29/431
Не только управление инцидентами
Эффективные процессы управления инцидентами необходимы, но они не являются единственными, что влияет на уровень защищенности предприятия
Необходимы также
Стратегия информационной безопасности предприятия
Классификатор защищаемых информационных ресурсов
Организационные и технические меры защиты
Выстроенные процессы обеспечения и управления ИБ
Квалифицированный персонал
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 30/431
Управление инцидентами и ИБ
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 31/431
Классические ошибки при расследовании инцидентов
Срочное восстановление работоспособности с попутным уничтожением следов и доказательств
Вина за инцидент без разбора возлагается на ИТ-департамент
Сокрытие ИТ-департаментом инцидента
«Это же регламентные работы!»
Если вина посторонних очевидна, то их все равно никто не ищет
Хакеров в Интернете поймать нереально
К расследованию привлекается малоквалифицированный персонал
Отсутствие мер по профилактике и управлению инцидентами в будущем
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 32/431
Проблемы управления инцидентами
Отсутствие связи с целями организации и бизнеса
Отсутствие поддерживающих управление инцидентами политик и процедур
Основная проблема – неразбериха на стадии развития инцидента, когда от правильности первых действий зависит результативность и эффективность управления
Предоставление избыточных или дублирующих услуг
Неопределенные и неформализованные процессы и роли
Отсутствие контроля
Отсутствие коммуникаций, координации и разделения данных с другими командами
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 33/431
Произошел инцидент! Знаете ли вы что делать или зачем нужна ли формализация процесса управления инцидентами?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 34/431
Нужна ли формализация?
Управление инцидентами сродни первой помощи
Ценна каждая секунда –промедление смерти подобно
Нельзя суетиться
Важно четкое знание алгоритма действий
Действия не должны быть сложные
Регулярные тренировки и пересмотр алгоритма действий
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 35/431
Процессы управления инцидентами
Одна из первых публикаций по управлению инцидентами появились в 1990-м году
После этого появлялось немало публикаций, описывающих в той или иной степени процессный подход к управлению инцидентами
Число процессов – от 5 до 11
Общие особенности
Не все начинают с подготовки
Не все извлекают уроки
Составление отчетов осуществляется в разном месте жизненного цикла управления инцидентами
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 36/431
Процессы управления инцидентами
Общие
• Подготовка
• Идентификация
• Локализация
• Устранение причин
• Восстановление
• Извлечение уроков
• Follow-up
Редкие
• Подтверждение инцидента
• Координация
• Первичное (экстренное) реагирование
• Дупликация данных
• Коммуникации
• Защита доказательств
• Определение области применения
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 37/431
Процессы управления инцидентами
Институт Карнеги Меллона предложил процессную модель управления инцидентами, которая включает 5 основных процессов
Подготовка (а также поддержка и улучшение)
Защита инфраструктуры
Обнаружение событий
Систематизация событий
Реагирование
В зависимости от задач и структуры CSIRT не все из этих процессов могут быть реализованы на практике
Но стремиться к этому стоит
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 38/431
Процесс «Подготовка»
Планирование управления инцидентами и возможностями CSIRT
Сохранение и поддержание этих возможностей
Совершенствование существующих возможностей на основе «разборов полетов», извлеченных уроков и регулярной оценки деятельности CSIRT и связанных подразделений
Внедрение новых и изменение существующих мер управления инцидентами после «успешного» инцидента
Выработка рекомендаций по улучшению защиты инфраструктуры (для следующего процесса)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 39/431
Особенности подготовки
Подготовить – значит разработать и выстроить твердый фундамент системы безопасности
Включает технические и не-технические компоненты
Применение лучших методов
Наисложнейшая, но наиболее важная фаза
Без хорошей подготовки вы обречены на провал
Во время отражения масштабной атаки поздно думать о применении лучших фундаментальных методов и процессов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 40/431
Особенности подготовки (окончание)
Знать врага
Понимать, что движет злоумышленниками
Понимать их технические возможности и приемы
Создать группу реагирования и заранее распределить функции
Обладают ли они нужной квалификацией?
Защитить системы
Подготовить инструменты
Сетевая телеметрия
Инструменты отражения
Четко осознавать свои возможности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 41/431
Идентификация инцидентов
Идентификация - как Вы узнаете о том, что Вы или Ваш пользователь атакованы ?
Не нужно ждать, пока Ваш пользователь позовет на помощь или пока рухнет Ваша сеть
Какие инструменты доступны?
Что можно сделать сегодня при ограниченном бюджете?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 42/431
Процесс «Защита инфраструктуры»
Реализация изменений, останавливающих или предотвращающих инциденты или потенциальные возможности для проявления инцидентов (уязвимости и т.п.)
Внедрение улучшений, полученных на предыдущем этапе и в результате иных процессов анализа улучшений
Оценка инфраструктуры путем сканирования или мониторинга сетевого трафика, а также анализа рисков
Составление списка текущих инцидентов, обнаруженных уязвимостей и других событий безопасности, обнаруженных во время оценки (для следующего процесса)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 43/431
Процесс «Обнаружение событий»
Обнаружение событий и уведомление о них
Получение информации (отчетов) о событиях
Активное слежение за индикаторами (IDS, мониторинг сети и т.п.)
Анализ метрик, демонстрирующих появление рисков и вредоносного поведения на предприятии
Составление списка всех подозрительных событий (для следующего процесса)
Переназначение событий, выходящих за пределы данного процесса
Прекращение обработки событий, не перешедших на следующий этап
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 44/431
Процесс «Систематизация событий»
Классификация и корреляция событий
Приоритезация событий
Связывание событий с соответствующими процедурами обработки инцидентов
Составление перечня категорированных событий (для следующего процесса)
Переназначение событий, выходящих за пределы данного процесса
Прекращение обработки событий, не перешедших на следующий этап
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 45/431
Процесс «Реагирование»
Анализ событий
Планирование стратегии реагирования
Координация и реализация технического, административного и юридического реагирования, которое позволяют сдерживать, устранять или отражать инциденты, а также реализация действий по восстановлению пострадавших систем
Общение с внешними сторонами
Переназначение событий, выходящих за пределы данного процесса
Прекращение реагирования
«Разбор полетов» и передача информации на первый этап
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 46/431
Связь процессов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 47/431
Рекомендации NIPC для пострадавших
Реагируйте быстро
Установите контакт с правоохранительными органами
В России это может бесперспективно
Если вы не уверены в своих действиях, то ничего не отключайте и не останавливайте, чтобы не уничтожить следы, артефакты и доказательства
Строго следуйте всем предписаниям и процедурам
Для любых контактов по факту расследования используйте только телефон
E-mail может быть под контролем
Свяжитесь с CSIRT (отделом ИБ)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 48/431
Рекомендации NIPC для пострадавших
Используйте регистрацию входящих соединений и телефонных звонков
Заранее установите отношения с правоохранительными органами и юридическими конторами
Если вы уверены, что они хоть что-то понимают в расследовании компьютерных инцидентов
Сделайте копии всех файлов, которые злоумышленник мог или может изменить или стереть
Определите основные точки для поиска доказательств. Обеспечьте их сохранность
Не вступайте в контакт с подозреваемым
Вам нужно управление инцидентами!
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 49/431
Пошаговая процедура SANS
SANS – институт подготовки специалистов в области информационной безопасности (США)
В середине 90-х годов подготовил документ «Computer security incident handling. Step by step»
Cisco – один из участников разработки данного документа
6 последовательных процессов обработки инцидента
31 детальная процедура, 97 конкретных действий
Специальные действия для 6 специальных типов инцидентов (вредоносный код, сканирование, DoS, шпионаж, мистификация, неавторизованный код)
10 немедленных действий в ситуации, когда вы готовы и не знаете, что делать (аналог рекомендаций NIPC)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 50/431
Пошаговая процедура SANS
• Установка политик
• Поддержка руководства
• Организация команды
• План коммуникаций в экстренных случаях
• Простой репортинг
• Тренинг для членов команды
• Руководство для взаимодействия между департаментами
• Добейтесь внимания со стороны системных и сетевых администраторов
• Интерфейс взаимодействия с правоохранительными органами и другими CSIRT
Подготовка
• Выделите персону, ответственную за инцидент
• Какие события относятся к инцидентам
• Будьте осторожны в поддержке доверенной цепочки взаимодействия
• Координация с Интернет-провайдером
• Уведомьте соответствующие структуры (при необходимости)
Идентификация
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 51/431
Пошаговая процедура SANS (продолжение)
• Разверните командный пункт на месте инцидента
• Не привлекайте к себе внимания
• Обходите потенциально скомпрометированный код
• Сделайте резервную копию
• Оцените риск продолжения работы атакованных систем
• Проконсультируйтесь с владельцем системы
• Смените пароли
Локализация
• Определите причины и симптомы инцидента
• Усильте защиту
• Обеспечьте анализ уязвимостей
• Устраните причину инцидента
• Определите последнюю «чистую» резервную копию
Устранения причин
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 52/431
Пошаговая процедура SANS (окончание)
• Восстановите системы
• Проверьте системы
• Решите, когда восстановить бизнес-операции
• Мониторьте системы
Восстановление
• Разработайте отчет об инциденте
Извлечение уроков
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 53/431
Готовы ли вы?
Рекомендации NIPC и SANS просты, но
Знаете ли вы, что скрывается за каждой из них?
Готовы ли вы к их реализации?
Можете ли вы ждать или должны реагировать немедленно?
Доверяете ли вы внешним организациям или правоохранительным органам?
Есть ли специализированные структуры в вашем регионе?
Может быть стоит задуматься о выстраивании процесса управления инцидентами?
В полном или урезанном варианте
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 54/431
Аналогия
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 55/431
Сработала сигнализация автомобиля!
Сел голубь или действительно взлом?
Что делать в первую очередь?
Надо ли отпугнуть грабителей?
Надо ли звонить в милицию? По какому номеру?
Почему именно моя машина?
Что сделать, чтобы не повторилось?
Как наказать грабителей?
Надо ли сообщить о попытке взлома соседям и в милицию?
Может самому найти виновников?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 56/431
Управление инцидентами важно, но кто должен это делать?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 57/431
Виды расследования инцидентов
Правоохранительные органы
МВД, Прокуратура, ФСБ…
Как услуга
Детективные агентства, специализированные фирмы, специализированные сервисы…
Корпоративное (собственными силами)
Для традиционных инцидентов
Для выпускаемых продуктов и услуг
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 58/431
Органы расследования инцидентов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 59/431
Стоит ли звонить в правоохранительные органы?
Квалификация правоохранительных органов в данном вопросе не очень высока
Зависит от региона РФ
Заранее уточните этот вопрос при установлении контакта с правоохранительными органами
Чего вы хотите добиться?
Поимки?
Наказания? Уголовного или административного?
Возмещения ущерба?
Вы обязаны сообщить в правоохранительные органы?
Стоит ли овчинка выделки?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 60/431
Органы расследования США
U.S. Secret Service
• Основной орган по расследованию «электронных» инцидентов
• Ведет дело на протяжении всего жизненного цикла – от приема заявления до передачи дела в суд
• Обучение
FBI
• Расследование инцидентов ИБ
• Аналитика и подготовка рекомендаций
• Взаимодействие с частными службами компьютерных расследований
• Ведет дело на протяжении всего жизненного цикла
NSA
• Расследование инцидентов, имеющих отношение к национальной безопасности
• В суд дела передаются через ФБР
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 61/431
Органы расследования России
Управление К
• Основной орган по расследованию «электронных» инцидентов
• Ведет дело на протяжении всего жизненного цикла – от приема заявления до передачи дела в суд
УБЭП и др.
• УБЭП
• Уголовный розыск
• ВОХР
• И т.п.
ФСБ
• Расследование инцидентов, имеющих отношение к национальной безопасности
• В суд дела передаются через прокуратуру
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 62/431
Стандартная процедура расследования
Получение сообщения об инциденте
Начало производства по делу в соответствие с действующим законодательством
Установление причины инцидента
Сбор и анализ доказательств
Выявление виновных
Привлечение к ответственности в соответствие с действующим законодательством
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 63/431
Особенности расследований в США
Прецедентное право
Решение суда является указанием для других судов действовать также
Объективное вменение
Нарушитель признается виновным при наступлении в результате его действий общественно опасных последствий
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 64/431
Особенности расследований в РФ
Прецедентного права нет
Есть «судебная практика», сформулированная в указаниях Верховного Суда РФ
Формально, это рекомендация. Фактически – прецедент.
Субъективное вменение
Необходимо доказать объективную сторону преступления (факт преступления и участие конкретного лица) и субъективную (осознание противоправного характера действий подозреваемого, их последствий, а также прямого умысла)
По «компьютерным делам» такой подход часто приводит к прекращению дела
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 65/431
Другие отличия
Роль прокуратуры
Роль адвокатуры
Кадровое обеспечение
Контроль за деятельностью правоохранительной системой
Институт «сделки с правосудием»
США
Институт прекращения уголовного дела на этапе предварительного следствия по нереабилитирующимоснованиям
Россия
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 66/431
Особенности проведения расследования
Если представители правоохранительных органов не имеют опыта работы с компьютернымипреступлениями, то необходимо
Включить (настоять на включении) в первичные следственные действия представителей службы ИБ
Ваши представители должны иметь право решающего голоса
Консультировать правоохранительные органы
Обеспечить качественный сбор и надежное сохранение доказательств
Кто проводит экспертизу?
Экспертов в органах внутренних дел нет
Денег на оплату внешних экспертов нет
Либо личные связи ОВД, либо оплата из внебюджетных средств
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 67/431
Особенности проведения расследования (окончание)
Кто обеспечивает доказательную силу собранных при расследовании материалов?
Отсутствие опыта у правоохранительных органов приводит к ошибкам в сборе доказательств
Оспаривание таких доказательств в суде и на этапе предварительного следствия
Необходимо контролировать и «направлять» сбор доказательств
Надо ли самостоятельно собирать доказательства?
Собранные лично или внешними экспертами доказательства не являются доказательствами в уголовном процессе
Могут поставить под сомнение материалы, собранные правоохранительными органами
Афишировать такие доказательства не стоит
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 68/431
Особенности взаимодействия
Правоохранительные органы обязаны оперативно реагировать на поступающие заявления невзирая на общественную значимость и сумму нанесенного ущерба
На практике, в регионах идет отказ от возбуждения дела или начинается волокита – перенаправление жалобы в другие подразделения ОВД, укрытие жалобы от учета и т.д.
Стоит ли подавать жалобу в прокуратуру или суд на бездействие ОВД
Только если вам важно наказать виновных в бездействии и укрывательстве преступлений, а также вы хотите, чтобы вас признали официально потерпевшим
Если попытаться «идти до конца», то через длительное время дело прекращается в связи с неустановлением лица, подлежащего привлечению к уголовной ответственности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 69/431
Вас атакуют из-за границы?
Шантаж с помощью бесплатных почтовых сервисов (gmail.com, hotmail.com…)
Загрузка вредоносного ПО с зарубежного Web-сайта
DDoS-атака с зарубежных IP-адресов
Использование зарубежного прокси-сервера
Использование зарубежного анонимайзера
Использование помощи зарубежных коллег/друзей
Атаки на филиал заграницей
Требование перевода денег через WebMoney или в зарубежный банк
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 70/431
Вас атакуют из-за границы? (окончание)
Как получить доказательства?
Собрать самостоятельно – в суде использовать нельзя
Обратиться в правоохранительные органы
Две схемы взаимодействия
Через Следственный комитет при МВД РФ
Через прокуратуру или ФСБ
ОВД СК МВДИнтерпол в России
Интерпол в другой стране
Местная полиция
СледовательГенеральная прокуратура
МИД РФМИД другой
страныПрокуратура
Местная полиция
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 71/431
Как происходит взаимодействие с иностранными государствами
Международное следственное поручение
Подробное описание расследуемого дела
Перечень запрашиваемых следственных действий
Страна, в которой будут проводиться следственные действия
Местная полиция производит следственные действия и отправляет все назад
На все уходит около месяца
Результаты приходят на национальном языке страны
Некоторые страны не считают обязательным исполнять международные следственные поручения
Если подозреваемый относится к национальным или религиозным меньшинствам или состоит в браке с гражданином другой страны, то поручение также может остаться без должного внимания
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 72/431
Как происходит взаимодействие с иностранными государствами (окончание)
Что если атака прошла через несколько государств?
Материалы местной полиции передаются… автору международного поручения, который формирует новое поручение в новую страну…
Полученные результатыдолжны быть переведеныи нотариально заверены
Где взять деньги на перевод инотариальное заверение?
Поручение
США
Чехия
УкраинаАнглия
…
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 73/431
Сложность международного расследования
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 74/431
Кто еще может помочь в расследовании?
Детективные агентства
Специализированные компании
IB Group - http://group-ib.ru/
Операторы связи
Центр независимой комплексной экспертизы и сертификации системи технологий
http://www.cnkes.ru/
CERT
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 75/431
Мировые CERT
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 76/431
Корпоративное или государственное?
Корпоративное расследование Государственное расследование
Проводится силами СБ или
специализированной компанией
Проводится следственными
органами
Сбор доказательств на
добровольной основе
Сбор доказательств в
соответствии с УПК РФ
Доказательства не имеют
доказательной силы в уголовном
процессе
Результаты имеют доказательную
силу
Сохранение в тайне факта
инцидента
Возможен факт утечки
информации
Наказание виновных только среди
сотрудников (гражданская /
дисциплинарная ответственность)
Применение к виновным
уголовного наказания
Ущерб возмещается в порядке
гражданского судопроизводства
или неправовыми методами
Ущерб возмещается по приговору
суда вместе с наказанием
виновных (если их найдут)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 77/431
Резюме
«Следователь» Достоинства Недостатки
Служба
безопасности
предприятия
• Гарантия сокрытия
факта утечки
• Оперативность
• Низкая стоимость
• Отсутствие опыта
• Невозможность
привлечение к
ответственности
виновного
• Риск использования
неправовых методов
Правоохранитель
ные органы
• Полное
расследование
• Возможность
компенсации ущерба
• Привлечение к
ответственности
виновного
• Бесплатно
• Риск утечки
информации
• Неоперативность
• Отсутствие
квалификации в
регионах
• Все равно
потребуется что-то
делать до прихода
милиции
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 78/431
Резюме (окончание)
«Следователь» Достоинства Недостатки
Специализирова
нные компании
• Оперативность
• Высокая
квалификация
• Высокая стоимость
• Риск использования
неправовых методов
• Невозможность
привлечения к
ответственности
виновного
Друзья и
знакомые
• Низкая стоимость • Риск утечки
информации
• Некомпетентность и
неэффективность
• Риск использования
неправовых методов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 79/431
Так может и не стоит создавать свою CSIRT?
Даже в случае приглашения специализированной компании или правоохранительных органов вам потребуется
Сообщить им об инциденте
Собрать первичную информацию
Не дать уничтожить следы нарушителя
Координировать усилия между департаментами компании и внешними специалистами
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 80/431
С чего начать построение программы управления инцидентами?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 81/431
Какова ваша стратегия?
Защитить и забыть
• Событие – реальный инцидент?
• Если это инцидент, блокируйте вторжение
• Как был получен доступ и сколько систем атаковано?
• Восстановите системы в предатакованноесостояние
• Устраните способ проникновения
• Документируйте инцидент и ваши шаги
• Извлеките уроки
• Уведомьте руководство об инциденте
Задержать и наказать
• Событие – реальный инцидент?
• Если это инцидент, то уведомьте правоохранительные органы
• Документируйте инцидент
• Изолируйте атакованную систему
• Заставьте нарушителя идти в honeypot (если возможно)
• Идентифицируйте личность нарушителя
• Как был получен доступ?
• Устраните проблемы на всех неатакованныхеще системах
• Блокируйте вторжение, когда собраны доказательства или возникла угроза бизнесу
• Документируйте текущее состояние атакованных систем
• Восстановите атакованные системы
• Устраните способ проникновения
• Оцените стоимость обработки инцидента в рублях и человеко-часах
• Защите собранные доказательства
• Извлеките уроки
• Уведомьте руководство об инциденте
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 82/431
С чего начать?
Соберите информацию
Какие из процессов управления инцидентами у вас уже реализованы?
В каком объеме?
Роли и обязанности участников
Описанные процедуры и процессы
Насколько существующие процессы увязаны с целями организации и стратегией ИБ?
Какие технологии, оборудование и оргмеры применяются?
Какие из активностей выполняются в рамках других процессов?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 83/431
С чего начать? (окончание)
Поймите
Насколько вас устраивают существующие процессы?
Что нуждается в улучшении?
Чего вам не хватает?
Что вы хотите добавить сейчас, а что оставить на потом?
Что вы не будете реализовывать из описываемых далее процессов (например, «защиту инфраструктуры»)?
Может быть вы хотите внедрить только один из подпроцессов(например, расследование или взаимодействие с правоохранительными органами)?