Файл: Разработка концепции и структуры построения системы управления инцидентами информационной безопасности в организации с учетом современных требований.pdf
Добавлен: 26.06.2023
Просмотров: 244
Скачиваний: 8
- размер ущерба, нанесенного атакой;
- завершена атака или нет, то есть достиг ли атакующий своей цели;
- временные рамки атаки.
После завершения расследования необходимо разработать и внедрить план восстановления системы, используя информацию, полученную при расследовании. Стоит подчеркнуть, что Политика реагирования на инциденты ИБ разрабатывается с учетом специфики организации, профиля ее деятельности[6].
На рисунке 2 приведен процесс реагирования на инциденты ИБ.
Рисунок 2. Процесс реагирования на инциденты ИБ
На основе информации о жизненном цикле атаки (kill chain), возможно формирование системы защиты. Исходя из анализа стратегии, используемой при атаке на ИС, специалистами ИБ выработана стратегия реагирования на инциденты, которая будет описана ниже.
Подготовка (Preparation). В момент, когда происходит инцидент ИБ, от сотрудников, ответственных за ИБ, требуются моментальные и точные действия. Поэтому для эффективного реагирования требуется предварительная подготовка. Должностные лица, ответственные за ИБ, должны обеспечивать защиту ИС и информировать пользователей, а также ИТ-персонал о важности мер по обеспечению ИБ.
Сотрудники, занимающиеся реагированием на инциденты ИБ, должны пройти соответствующее обучение и регулярно посещать тренинги по ИБ, для того чтобы оперативно и эффективно реагировать на инциденты ИБ.
При этом аудит информационной безопасности позволяет объективно и всесторонне оценить текущее состояние системы обеспечения информационной безопасности компании[7].
Обнаружение (Identification). Сотрудники, занимающиеся реагированием на инциденты, должны определить, является ли обнаруженное ими с помощью различных систем обеспечения ИБ событие инцидентом или нет. Для этого могут использоваться публичные отчеты, потоки данных об угрозах, средства статического и динамического анализа образцов ПО и другие источники информации.
Статический анализ выполняется без непосредственного запуска исследуемого образца и позволяет выявить различные индикаторы, например, строки, содержащие URL-адреса или адреса электронной почты. Динамический анализ (рисунок 3) подразумевает выполнение исследуемой программы в защищенной среде (Песочнице) или на изолированной машине с целью выявления поведения образца и сбора артефактов его работы (IOC).
Сбор индикаторов компрометации является итерационным процессом. На основе исходной информации, полученной от SIEM-системы, формируются сценарии обнаружения, использование которых, как правило, приводит к выявлению новых индикаторов компрометации.
Рисунок 3. Цикл обнаружения индикаторов компрометации
SIEM-система решает задачи по сбору и хранению информации из различных источников, анализу поступающих событий, их корреляции и обработке по правилам, обнаружению инцидентов, их приоритезации и автоматическому оповещению[8].
Полученные показатели помогают определить границы атаки и служат отправной точкой для нового цикла обнаружения. Дальнейшие шаги предпринимаются только в том случае, если событие считается инцидентом информационной безопасности.
Сдерживание (Containment). Сотрудники, ответственные за ИБ, должны идентифицировать скомпрометированные компьютеры и настроить правила безопасности таким образом, чтобы заражение не распространилось дальше по сети. Кроме того, на этом этапе необходимо перенастроить сеть таким образом, чтобы ИС компании могла продолжать работать без зараженных машин.
Удаление (Eradication). Цель этого этапа в приведении скомпрометированной ИС в состояние, в котором она была до заражения. Сотрудники, ответственные за ИБ, удаляют вредоносное ПО, а также все артефакты, которые оно могло оставить на зараженных компьютерах в ИС.
Восстановление (Recovery). Ранее скомпрометированные компьютеры вводятся обратно в сеть. При этом сотрудники, ответственные за ИБ, некоторое время продолжают наблюдать за состоянием этих машин и ИС в целом, чтобы убедиться в полном устранении угрозы.
Выводы (Lessons learned). Сотрудники, ответственные за ИБ, анализируют произошедший инцидент, вносят необходимые изменения в конфигурацию ПО и оборудования, обеспечивающего ИБ, и формируют рекомендации для того, чтобы в будущем предотвратить подобные инциденты.
Для предотвращения возникновения повторных инцидентов в организациях, передающих метаданные инцидентов в систему, данная информация должна передаваться в обезличенном виде по защищенному каналу связи[9]. Тем не менее, для работы системы необходимо наличие координирующей организации.
При невозможности полного предотвращения будущей атаки составленные рекомендации позволят ускорить реагирование на подобные инциденты.
1.3 Жизненный цикл атаки как важный аспект для построения системы управления инцидентами информационной безопасности
В процессе атаки злоумышленники осуществляют структурированную последовательность шагов, называемую kill chain. Первоначально kill chain использовался как военный термин для описания структуры военного вторжения. Зная последовательность действий противника, обороняющаяся сторона может выработать стратегию защиты и противостоять нападению.
Впоследствии термин kill chain стал использоваться для описания компьютерных угроз. Аналогично, на основе информации об этапах компрометации ИС, сотрудники, ответственные за ИБ, могут выстраивать систему защиты ИС. На рисунке 4 представлен жизненный цикл атаки.
Рисунок 4. Жизненный цикл атаки (kill chain)
Поэтому, для принятия адекватных мер, необходимо изучить поведение уязвимости на протяжении всего её жизненного цикла[10].
Отмечу, что от того, на каком этапе kill chain была обнаружена угроза, зависит эффективность расследования и размер материального и репутационного ущерба, нанесённого атакуемой организации. Обнаружение на этапе достижения цели (позднее обнаружение) означает, что система ИБ ИС оказалась неспособна противостоять атаке и злоумышленник достиг поставленных целей.
Наименьший ущерб будет нанесён в случае обнаружения на этапах Доставки или Закрепления (раннее обнаружение). Далее приведем краткое описание каждого этапа стратегии угроз.
Разведка и сбор данных (reconnaissance). На этом этапе происходит сбор информации об организации, которая будет атакована, а также о её информационных активах. Разведка может быть пассивной (passive reconnaissance) и активной (active reconnaissance). Вся собранная злоумышленником информация служит источником знаний для следующего этапа.
Выбор способа атаки (weaponization). Используя информацию, полученную на этапе разведки и сбора данных, злоумышленник определяет способ атаки. При этом злоумышленник может создать новое вредоносное ПО, позволяющее эксплуатировать обнаруженные уязвимости.
Злоумышленник внедряет ПО, которое будет использоваться при атаке, в файлы MS Office (.docx, .xlsx), PDF-документы, электронные письма или на съёмные носители. На этом же этапе происходит выбор способа доставки созданного вредоносного ПО в атакуемую организацию: путем заражения публичного ресурса компании, через одного из сотрудников или путем компрометации субподрядчиков, работающих с атакуемой организацией.
Доставка (delivery). Злоумышленник должен убедиться, что вредоносное ПО, разработанное на предыдущем шаге, попадает в атакуемую организацию. Для этого, как правило, используют вложения электронной почты, вредоносные ссылки и фишинг, watering hole-атаки (заражения сайтов, которые посещают сотрудники атакуемой организации) или зараженные USB-устройства.
Эксплуатация (exploitation). После попадания в ИС атакуемой организации вредоносное ПО, используя уязвимости ИБ, распространяется по сети и закрепляется на зараженных машинах в ожидании команд, поступающих от злоумышленника.
Закрепление (installation). Вредоносная программа заражает ваш компьютер, чтобы не быть обнаруженным или удаленным после перезагрузки или установки обновления, которое блокирует возможность использовать одну из уязвимостей ИС. Как правило, для заражения используются несанкционированные утилиты управления (backdoor).
Исполнение команд (command and control). При использовании соединения, установленного внутри атакуемой организации, вредоносная программа взаимодействует с сервером управления, контролируемым злоумышленником (сервером C&C). Таким образом, злоумышленник получает контроль над компьютером внутри атакуемой организации.
Достижение цели (actions on objective). После управления злоумышленник может управлять данными на взломанном компьютере не только путем несанкционированного доступа, но и путем их изменения или удаления. Кроме того, злоумышленник может попытаться заразить другие машины в ИС, чтобы увеличить объем доступной информации.
Вывод. Реагирование на инцидент со стороны ИБ включает в себя технические мероприятия по обеспечению целостности криминалистических данных и возможности судебно-медицинской экспертизы этих данных в будущем, а также организационные мероприятия, позволяющие уменьшить ущерб от инцидента и составить необходимые документы для правоохранительных органов.
Российский стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007[11] регламентирует необходимость применения структурного подхода к управлению инцидентами информационной безопасности. Основная задача процесса управления инцидентами информационной безопасности - это устранение/локализация появившихся в информационной системе инцидентов[12].
На практике поток событий информационной безопасности, зарегистрированных системой, может достигать нескольких тысяч в день на человека. Возникает необходимость не только в средствах регистрации событий и инцидентов, но и в средствах управления ими.
Единой методики управления инцидентов не существует, каждая компания должна «затачивать» под себя общие рекомендации. Детали процесса выявления и реагирования будут зависеть от многих факторов, например, от общей культуры и политики ИБ в компании, роли и места подразделения ИБ в системе безопасности компании.
-
Глава 2. Разработка концепции и структуры системы управления инцидентами информационной безопасности организации с учетом современных требований
2.1 Особенности построения структуры системы управления инцидентами информационной безопасности организации
Современная система обеспечения информационной безопасности характеризуется ростом числа инцидентов и, как результат, повышение темпов наносимого ущерба по сравнению с финансовыми затратами на информационную защиту организаций[13].
Основная задача службы ИБ заключается в предотвращении реализации возможных рисков, связанных с утечкой или потерей информации для компании, которая основана на понимании, формулировании и удовлетворении осознанных пожеланий бизнеса.
Деятельность компании в области информационной безопасности описывается в документе «Политика ИБ», в котором прописаны все общие принципы и правила, а также формализованы задачи на текущий горизонт планирования в компании. В приложении к данному документу необходимо четко и пошагово прописать общий алгоритм действий сотрудников ИБ в случае наступления инцидента информационной безопасности.
Чтобы защитить корпоративную сеть от различных угроз, многие организации применяют классические средства: антивирусные решения, сканеры безопасности, а также системы обнаружения и предотвращения вторжений. Однако указанные системы не всегда в состоянии обнаружить сложные целевые атаки или предоставить достаточное количество информации для приоритизации и расследования инцидентов ИБ, которые были обнаружены.