Советы от эксперта ИБ: план реагирования на инциденты информационной безопасности
В последнее время инциденты ИБ множатся и усложняются, а компании зачастую не готовы встречать их должным образом. Инциденты, связанные с потерей данных вследствие отказа в обслуживании систем, игнорируют больше остальных. Их компании предпочитают решать штатными методами, иногда в экстренном порядке закупают необходимые средства защиты информации. Утечки и несанкционированный доступ к конфиденциальной информации компании тоже расследуют сами, однако зачастую не добираются до очага инцидента.
Инцидент ИБ – это головная боль CIO и CEO любой организации, которая ценит свои активы. Реакция должна быть четкой и своевременной, но, к сожалению, редко где можно найти универсальный базовый чек-лист, сформулированный простым языком, помогающий бизнесу любого масштаба и отрасли не допустить глобализацию инцидента. Мы подготовили план действий от А и до Я (включающий подготовку, типовой сценарий реагирования и отработку) который поможет грамотно решать инциденты информационной безопасности. Наша статья поможет составить полноценную картину необходимых мер, которые должны быть организованы со стороны топ-менеджмента компании и без скепсиса восприняты рядовыми сотрудниками. Ведь грамотный подход к инцидентам ИБ заключается в проактивных и профилактических мероприятиях, проводимых задолго до часа «X».
ЗАДОЛГО ДО ИНЦИДЕНТА (а также на регулярной основе):
1. Определяем свое место в глобальной системе. Чтобы понимать последовательность своих действий, до наступления инцидента проведите инвентаризацию объектов инфраструктуры, оцените риски и приоритетность активов. Определите являетесь ли вы субъектом КИИ, а также разберитесь, какие требования вам необходимо выполнять в части ИБ перед регуляторами.
2. Вооружаемся «шпаргалками». На случай инцидента ИБ важно иметь план реагирования. Стоит на организационном уровне внедрить правила и политики информационной безопасности и обеспечить контроль их соблюдения. Каждому сотруднику необходимо понимать, какие действия он должен, а главное – НЕ должен совершать, чтобы обеспечить первичную локализацию инцидента. Для этого нужна инструкция с четкими указаниями. Инструкция должна быть неотъемлемой частью общего плана, в котором будут прописаны роли и ответственность участников группы реагирования. Здесь важно оценить компетенции специалистов, а также учесть специфику самой компании. Привлечение сторонних ИБ-компаний к разработке документа поможет более глобально и осмысленно проработать план реагирования и учесть все риски.
3. Готовим команду героев. Во время атаки уже поздно говорить о разделении обязанностей и ответственности участников. Заранее создайте группу реагирования на инцидент ИБ из сотрудников компании, которые 24х7 готовы к защите активов компании. В составе команды должны быть системные и сетевые администраторы и инженеры, специалисты информационной безопасности, а также «запасные игроки» из этих и других подразделений. Работу самой команды следует устремить к принципам взаимодействия с перекрестным обучением и расширенной ответственностью за отработку инцидентов.
4. Репетируем «спектакль» с отложенным действием и непредсказуемой развязкой. Каждый из сценариев плана необходимо тестировать и совершенствовать – лучше всего при участии независимого компетентного наблюдателя, чтобы была возможность объективно оценивать готовность встречать инциденты и заранее восполнять «пробелы». Отработка сценариев также поможет «вжиться» в роли и быстрее координировать действия, когда начнется само «представление».
5. Действуем проактивно. На рынке все большим спросом пользуется возможность тестирования ИТ-инфраструктуры на уязвимости к взлому – PenTest. Белые хакеры – ваши партнеры, играющие на вашем поле роль злоумышленников, чтобы помочь вам подготовиться к реальному проникновению в инфраструктуру. Аудит ИБ, проведенный сторонней организацией, – проактивная мера, которая позволит получить объективную оценку состояния информационной безопасности инфраструктуры в компании, составить приоритетные сценарии для плана реагирования.
6. Дорабатываем план реагирования. Финальной версии плана не существует, а глубина проработки и прозрачность его структуры отвечают за надежность вашего «спасательного круга» при возникновении инцидента. С развитием организации развивается и ее инфраструктура, с появлением новых подразделений и сотрудников растет и вероятность возникновения новых уязвимостей и угроз ИБ. В лучшем случае проводить пересмотр плана реагирования стоит не реже раза в год. Проведенные накануне репетиция сценария и Pentest помогут создать завершенный план реагирования.
7. Раскладываем яйца по корзинам. Резервное копирование данных поможет сохранить ценные нематериальные активы в случае наступления инцидента. Есть возможность организовать резервирование инфраструктуры на внешней площадке или перенести все системы в облако – на катастрофоустойчивую инфраструктуру, разнесенную на два безопасных дата-центра.
8. Активируем набор «минимум» для защиты от инцидентов. Всегда оставайтесь на чеку – не ограничивайтесь лишь антивирусами, используйте системы для обнаружения и предотвращения вторжений (IPS/IDS), а также инструменты контроля движения конфиденциальной информации в организации (DLP-системы), детально и качественно прописывайте политики информационной безопасности в компании. Для проектирования качественной системы ИБ привлекайте профильные организации.
ВО ВРЕМЯ ИНЦИДЕНТА:
9. В момент «Х» решаем проблемы с холодной головой. В случае кибератаки или заражения суть случившегося не всегда очевидна. Заметив неладное, старайтесь следовать типовому сценарию:
1) Идентифицируйте инцидент и убедитесь, что он имеет место быть – для этого при возможности привлекайте специалистов информационной безопасности или ответственных лиц. До момента их подключения к решению проблемы ни в коем случае:
- Не запускайте антивирусные программы и лечебные утилиты самостоятельно.
- Не пытайтесь самостоятельно удалить зловред.
- Не форматируйте жесткий диск.
- Не переустанавливайте операционную систему.
- Не выключайте компьютер.
2) Отключите от корпоративной сети пораженный сегмент инфраструктуры и ограничьте к нему доступ, не выключая само устройство;
3) Если вы являетесь субъектом КИИ, зафиксируйте факт инцидента – дату и время – с этого момента начинается отсчет времени, в течение которого необходимо проинформировать регуляторов – ФИНЦерт и НКЦКИ;
10. Зовем на помощь асов кибербезопасности. Привлеките специалистов, компетентных в вопросе. Когда речь идет об ИБ, каждый должен заниматься тем, в чем он является профессионалом, – действуя интуитивно, можно сделать только хуже. Если у вас в штате нет команды ИБ, имеет смысл привлечь к работе с инцидентами специалистов из профильных организаций, так как они обладают необходимыми инструментами, компетенциями и опытом. Профессионалы знают, что необходимо сделать.
ПОСЛЕ ИНЦИДЕНТА:
11. Реставрируем руины. Разобравшись с инцидентом, реанимируйте пострадавшие ресурсы – восстановите данные из резервных копий, произведите ревизию активов. Оказывайте максимальное содействие в восстановлении ценных активов компании. Здесь не получится экономить. План реагирования на инциденты должен предусматривать альтернативные варианты продолжения бизнеса, включая запасной центр обработки данных или поставщика облачных услуг.
12. Проводим аудит ИБ. После того, как инцидент устранен, необходимо провести комплексный аудит ИБ. Важно привлечь сторонних специалистов для получения независимой и компетентной оценки состояния защищенности ИТ-инфраструктуры, а также для определения уровня квалификации существующих ИБ-специалистов. Аудит ИБ позволит выяснить, до конца ли устранены последствия инцидента, выявить вероятные новые уязвимые места, а также выработать план дальнейших действий по совершенствованию системы информационной безопасности в компании.
ВЫВОДЫ:
При правильном подходе с участием профессионалов можно разработать полный цикл мероприятий, который позволит с холодной головой реагировать на инциденты ИБ, даже если они выходят за рамки прогнозов. Чем глубже будут проработаны детали реагирования, тем быстрее и эффективнее получиться справиться с инцидентом, минимизировать ущерб и получить необходимые данные для расследования.
Чтобы подготовиться не только в организационном плане, но и технически, есть два пути: заручиться поддержкой специалистов из профильных организаций или целенаправленно развивать собственную сильную команду по информационной безопасности, не жалея финансов ни на обучение сотрудников, ни на ИБ-инструменты.
Прибегая к услугам информационной безопасности профильных компаний, можно создать комплексный защищенный периметр с набором всех необходимых инструментов для защиты инфраструктуры по всем параметрам бизнеса. Специалисты помогут протестировать инфраструктуру на устойчивость к взломам и дадут экспертную консультацию по проектированию внутренних политик информационной безопасности, а также по информированию и контролю сотрудников в части ИБ. Не забывайте, человек – самое слабое звено в системе информационной безопасности, и при учете ИБ-рисков никогда не списывайте со счетов социальную инженерию.