Очень важно сформулировать, обеспечивать и регулярно тестировать в организации план реагирования на происшествие. Хороший план реагирования на происшествие может снизить не только ущерб от взлома системы безопасности, но и отрицательное общественное мнение.
С точки зрения команды безопасности, не так важно, откуда выполнялся взлом (так как обычно он осуществляется по открытой несущей сети, например Интернету), гораздо важнее, когда он произошёл. Не стоит думать, что ваша система слаба и уязвима; важно понимать, что можно взломать даже самую защищённую систему или сеть, имея достаточно времени и ресурсов. Вам не нужно ходить дальше веб-сайта Security Focus (http://www.securityfocus.com/) за новой и подробной информацией о последних взломах и уязвимостях системы безопасности, начиная с уродования дизайна корпоративных веб-сайтов, и заканчивая атакой на корневые сервера DNS 2002 года [1].
Осознание неизбежности взлома системы имеет и положительный эффект — это позволяет команде безопасности выбрать направление действий по снижению потенциального ущерба. Следуя этому направлению и используя имеющийся опыт, команда может реагировать на чрезвычайную ситуацию быстро и без паники.
Сам план реагирования на происшествие можно разделить на четыре этапа:
Немедленные действия, останавливающие или замедляющие развитие событий
Расследование происшествия
Восстановление затронутых ресурсов
Сообщение о происшествии по соответствующим каналам
Реакция на происшествия должна быть чёткой и быстрой. Ошибки практически недопустимы, поэтому очень важно провести проверить этот план на практике и измерить скорость выполнения действий. Так можно разработать методологию увеличения скорости и точности, снижения ущерба от недоступности ресурсов и реальной компрометации системы.
План реагирования на происшествие должен включать определённые требования, в частности:
Команда экспертов компании (Команда реагирования на компьютерные происшествия)
Юридически обоснованная и одобренная стратегия
Финансовая поддержка компании
Поддержка руководства высокого уровня
Выполнимый и выверенный план действий
Физические ресурсы, например, дублирующие хранилища данных, компьютеры в состоянии готовности и службы резервного копирования
Команда реагирования на компьютерные происшествия (CERT) — это группа экспертов компании, готовых в случае компьютерной катастрофы действовать быстро. Найти ключевые фигуры для команды CERT может быть непростой задачей. Соответствие персонала определяется не только техническим опытом, но также и его размещением, доступностью и готовностью в чрезвычайной ситуации поставить интересы организации на первый план. Чрезвычайная ситуация никогда не планируется, она может произойти в любой момент и все члены команды CERT должны осознавать, что они могут потребоваться в любое время суток.
Команды CERT обычно состоят из системных и сетевых администраторов, а также экспертов по информационной безопасности. Системные администраторы приносят знания и опыт использования системных ресурсов, в том числе резервного копирования данных, имеющегося запасного оборудования и т.д. Сетевые администраторы приносят знания сетевых протоколов и возможность динамически изменять маршрутизацию сетевого трафика. Специалисты по информационной безопасности способны проследить и очертить возникшие проблемы безопасности, а также провести «вскрытие» скомпрометированных систем.
Хотя это не всегда выполнимо, в команду CERT следует включать запасных игроков. Если области знаний ваших сотрудников пересекаются, где это возможно, следует внедрять перекрёстное обучение. Учтите, что если ключом к сохранности и целостности данных владеет только один человек, без него всё предприятие окажется беспомощным.
Среди важных аспектов реагирования на инциденты следует выделить юридические следствия. Планы обеспечения безопасности следует разрабатывать совместно с сотрудниками юридического отдела. Также, как каждая компания должна иметь собственную политику безопасности, она имеет собственные законные методы урегулирования конфликтов. Местное, региональное и федеральное законодательство не будет рассматриваться в этом документе, но упоминается здесь, так как методология проведения анализа после происшествия, по крайней мере, частично, диктуется юристом. Юрист может уведомить технический персонал об уголовной ответственности за взлом системы безопасности, наказании за похищение личной, медицинской и финансовой информации клиентов и значимости восстановления службы в жизненно-важном окружении, например, в больницах и банках.
[1] |