Сергей Романовский, руководитель направления IS&BC компании АМТ GROUP, BSI MS CIS LA, LT
Превентивные мероприятия
Практика превентивных мероприятий в сфере информационной безопасности основана на оценке рисков наступления того или иного события инцидента ИБ. Фиксирование факта наступления события инцидента, очевидно, не может считаться превентивной мерой, поскольку отображает факт уже свершившегося инцидента. Первопричиной наступления события инцидента ИБ является потенциальная способность злоумышленника получить необоснованные привилегии для доступа к активу организации. Оценить риск подобной возможности и принять правильное решение о защите - основная задача команды реагирования.
Каждый риск должен быть приоритизирован и обработан в соответствии с политикой оценки рисков, принятой в организации. Оценка рисков рассматривается как перманентный процесс, целью которого является достижение приемлемого уровня защиты. Иными словами - должны быть внедрены достаточные меры защиты актива от необоснованного или неправомочного использования. Оценка рисков способствует классификации активов. Критичные активы (с точки зрения рисков) в подавляющем большинстве случаев также являются критичными и для бизнеса организации.
Для эффективной работы команды реагирования в организации должны быть предусмотрены процедуры, обеспечивающие описание процессов функционирования подразделений. Особое внимание должно уделяться наполнению документарной базы ИБ.
Обнаружение и анализ инцидентов ИБ
Предположение о том, что в организации произошел инцидент И Б, должно базироваться на трех основных факторах:
сообщения об инциденте ИБ поступают одновременно из нескольких источников (пользователи, IDS, журнальные файлы);
IDS сигнализируют о множественном повторяющемся событии;
анализ журнальных файлов автоматизированной системы дает основание для вывода системным администратором о возможности наступления события инцидента.
Признаки инцидента делятся на две основные категории: сообщения о том, что инцидент происходит в настоящий момент, и сообщения о том, что инцидент, возможно, произойдет в скором будущем. Ниже перечислены некоторые признаки совершающегося события:
IDS фиксирует переполнение буфера;
уведомление антивирусной программы;
крах Web-интерфейса;
сообщения пользователей о крайне низкой скорости при попытке выхода в Интернет;
фиксирование системным администратором наличие файлов с нечитабельными названиями;
сообщения пользователей о наличии в своих почтовых ящиках множества повторяющихся сообщений;
хост производит запись в журнал аудита об изменении конфигурации;
приложение фиксирует в журнальном файле множественные неудачные попытки авторизации;
администратор сети фиксирует резкое увеличение сетевого трафика и т.п.
Примеры событий, которые могут служить источниками сообщений об инцидентах ИБ:
объявление в СМИ о появлении нового вида эксплойта;
открытое заявление об объявлении войны вашей организации и т.п.
Документирование инцидента ИБ
Документирование событий И Б необходимо для сбора и последующей консолидации свидетельств расследования. Документированию подлежат все факты и доказательства злонамеренного воздействия. Различают технические свидетельства и операционные свидетельства воздействия. Типичной практикой является ведение журнала расследования инцидента, который не имеет стандартной формы и разрабатывается командой реагирования. Ключевыми позициями подобных журналов могут служить:
текущий статус расследования;
описание инцидента;
действия, производимые командой реагирования в процессе обработки инцидента;
список участников расследования с описанием их функций и процентом занятости в процедуре расследования;
перечень свидетельств (с обязательным указанием источников), собранных в ходе обработки инцидента;
комментарии участников расследования инцидента;
описание последующих действий и состояние процесса (ожидание ответа на запрос в call center и т.п.).
В ходе расследования инцидента все свидетельства должны быть защищены от дискредитации, поскольку данные могут содержать информацию о действенных уязвимостях информационной системы.
Рассылка уведомлений об инциденте ИБ
В организации должна быть разработана и внедрена система оповещения об инцидентах.
В основе разработки модели оповещения лежит сценарный (ролевой) принцип, суть которого заключается в привлечении, помимо руководства организации, руководящего персонала подразделений, которых затронул инцидент. Лица, входящие в состав команды оповещения, должны пройти соответствующую подготовку и осознавать свою роль в процессе обработки инцидента. •
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2008