Кибербезопасность. Реагирование на инцидент
Что такое инцидент?
Инцидент можно классифицировать как нечто неблагоприятное, угрозу для наших компьютерных систем или сетей. Подразумевается причинение вреда или попытка кого-либо нанести вред организации. Не все инциденты будут обрабатываться IRT ("Incident Response Team" - "Группа реагирования на инциденты"), поскольку они не обязательно оказывают влияние, но на те, которые это делают, IRT вызывается, чтобы помочь справиться с инцидентом предсказуемым и высококачественным образом.
IRT должна быть тесно связана с бизнес-целями и задачами организации и всегда стремиться обеспечить наилучший исход инцидентов. Обычно это включает уменьшение денежных потерь, предотвращение бокового движения злоумышленников и их остановку до того, как они достигнут своих целей.
IRT - "Incident Response Team" - "Группа реагирования на инциденты"
IRT - это специальная команда для решения проблем кибербезопасности. Команда может состоять только из специалистов по кибербезопасности, но может значительно улучшить взаимодействие, если будут задействованы ресурсы из других групп. Подумайте, как наличие следующих единиц может сильно повлиять на работу вашей команды в определенных ситуациях:
- Специалист по кибербезопасности - мы все знаем, что это место в команде;
- Операции по обеспечению безопасности - они могут иметь представление о происходящем и могут поддержать ситуацию с высоты птичьего полета;
- ИТ-операции;
- Сетевые операции;
- Разработка;
- Юридический;
- HR
PICERL - Методология
Методология PICERL официально называется NIST-SP 800-61 (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) и содержит обзор методологии, которая может быть применена к реагированию на инциденты.
Не рассматривайте эту методологию как каскадную модель, а как процесс, в котором вы можете двигаться вперед и назад. Это важно, чтобы вы в полной мере справлялись с возникающими инцидентами.
6 этапов реагирования на инциденты:
- Подготовка;
- Идентификация;
- Сдерживание;
- Искоренение;
- Восстановление;
- Извлеченные уроки.
Подготовка
Этот этап предназначен для подготовки к реагированию на инциденты. IRT следует учесть множество вещей, чтобы убедиться, что они готовы.
Подготовка должна включать разработку сценариев и процедур, которые диктуют, как организация должна реагировать на определенные виды инцидентов. Правила взаимодействия также должны быть определены заранее: как должна реагировать команда? Следует ли группе активно пытаться сдерживать и устранять угрозы, или иногда допустимо отслеживать угрозу в окружающей среде, чтобы получить ценную информацию, например, о том, как они взломали, кто они и что им нужно?
Команда также должна убедиться, что у них есть необходимые журналы, информация и доступ, необходимые для проведения ответов. Если команда не может получить доступ к системам, на которые она отвечает, или если системы не могут точно описать инцидент, команда настроена на сбой.
Инструменты и документация должны быть актуальными, а безопасные каналы связи уже согласованы. Команда должна гарантировать, что необходимые бизнес-подразделения и менеджеры могут получать постоянную информацию о развитии инцидентов, которые на них влияют.
Обучение как команды, так и вспомогательных частей организации также важно для успеха команды. Специалисты по реагированию на инциденты могут пройти обучение и пройти сертификацию, а команда может попытаться повлиять на остальную часть организации, чтобы не стать жертвами угроз.
Идентификация
Просматривая данные и события, пытаясь указать пальцем на то, что следует классифицировать как инцидент. Эта задача часто поручается SOC, но IRT может принять участие в этой деятельности и с их знаниями попытаться улучшить идентификацию.
Инциденты часто создаются на основе предупреждений от инструментов, связанных с безопасностью, таких как EDR ("Endpoint Detection and Response" - "Обнаружение и реагирование конечных точек"), IDS/IPS ("Intrusion Detection/Prevention Systems" - "Системы обнаружения/предотвращения вторжений") или SIEM ("Security Information Event Management System" - "Система управления информационными событиями безопасности"). Инциденты также могут происходить, когда кто-то сообщает команде о проблеме, например, пользователь звонит в команду, отправляет электронное письмо на почтовый ящик IRT или тикет в системе управления инцидентами.
Цель этапа идентификации - выявить инциденты и определить их влияние и охват. Важные вопросы, которые должна задать себе команда, включают:
- Какова критичность и уязвимость взломанной платформы?
- Используется ли платформа где-либо ещё, а это означает, что существует вероятность дальнейшего компромисса, если ничего не будет сделано вовремя?
- Сколько пользователей и систем задействовано?
- Какие учётные данные есть у злоумышленников и где ещё их можно использовать повторно?
Если необходимо отреагировать на инцидент, команда переходит к следующему этапу сдерживания.
Сдерживание
Сдерживание должно попытаться остановить злоумышленников и предотвратить дальнейшие повреждения. Этот шаг должен гарантировать, что организация больше не будет нести убытки и гарантировать, что злоумышленники не смогут достичь своих целей.
IRT следует как можно скорее решить, нужно ли делать резервную копию и создавать образы. Резервное копирование и создание образов полезно для сохранения доказательств на будущее. Этот процесс должен попытаться защитить:
- Копия жестких дисков, используемых для анализа файлов
- Копия памяти задействованных систем для криминалистической экспертизы памяти
IRT может предпринять множество действий, чтобы остановить злоумышленников, что во многом зависит от рассматриваемого инцидента:
- Блокировка злоумышленников в брандмауэре (файерволе);
- Отключение сетевого подключения к взломанным системам;
- Отключение систем;
- Смена паролей;
- Обращение к ISP ("Internet Service Provider" - "Интернет-сервис провайдер") или другим партнерам с просьбой помочь остановить злоумышленников.
Действия, выполняемые на этапе сдерживания, пытаются быстро устранить злоумышленника, чтобы IRT мог перейти к этапу уничтожения.
Искоренение
Если локализация была проведена должным образом, IRT может перейти в фазу ликвидации, иногда называемую фазой восстановления. На этом этапе цель состоит в том, чтобы удалить артефакты злоумышленников.
Существуют быстрые способы искоренения, например:
- Восстановление из заведомо исправной резервной копии (бэкапа);
- Перестройка сервиса.
Если изменения и конфигурации были реализованы как часть сдерживания, имейте в виду, что восстановление или перестройка может отменить эти изменения, и их придётся применить повторно. Однако иногда IRT приходится вручную пытаться удалить артефакты, оставленные злоумышленником.
Восстановление
Восстановление нормальной работы - это целевое состояние для IRT. Это может включать приёмочное тестирование со стороны бизнес-единиц. В идеале мы добавляем решения для мониторинга с информацией об инциденте. Мы хотим выяснить, не возвращаются ли злоумышленники внезапно, например, из-за артефактов, которые нам не удалось удалить во время уничтожения.
Извлеченные уроки
На заключительном этапе мы извлекаем уроки из инцидента. Из этого инцидента можно извлечь много уроков, например:
- Обладает ли IRT необходимыми знаниями, инструментами и доступом для выполнения своей работы с высокой эффективностью?
- Отсутствовали ли какие-либо журналы, которые могли бы упростить и ускорить работу IRT?
- Есть ли какие-либо процессы, которые можно улучшить, чтобы предотвратить подобные инциденты в будущем?
Этап извлеченных уроков обычно завершается отчетом с подробным резюме и обзором всего, что произошло во время инцидента.