Очень важно сформулировать, обеспечивать и регулярно тестировать в организации план реагирования на инцидент. Хороший план реагирования на инцидент может снизить не только ущерб от взлома системы безопасности, но и отрицательное общественное мнение.
С точки зрения команды безопасности, не так важно, откуда выполнялся взлом (так как обычно он осуществляется по открытой несущей сети, например Интернету), гораздо важнее, когда он произошёл. Не стоит думать, что ваша система слаба и уязвима; важно понимать, что можно взломать даже самую защищённую систему или сеть, имея достаточно времени и ресурсов. Не нужно ходить дальше веб-сайта Security Focus (http://www.securityfocus.com/) за новой и подробной информацией о последних взломах и уязвимостях системы безопасности, в частности, здесь рассказывается о частом искажении дизайна корпоративных веб-сайтов и атаках на корневые сервера DNS в 2002 г. [1].
Осознание неизбежности взлома системы имеет и положительный эффект — это позволяет команде безопасности выбрать направление действий по снижению потенциального ущерба. Следуя этому направлению и используя имеющийся опыт, команда может реагировать на чрезвычайную ситуацию быстро и без паники.
Сам план реагирования на инцидент можно разделить на четыре этапа:
Немедленные действия, останавливающие или замедляющие развитие событий
Расследование инцидента
Восстановление затронутых ресурсов
Сообщение об инциденте по соответствующим каналам
Реакция на инцидент должна быть чёткой и быстрой. Ошибки практически недопустимы, поэтому очень важно проверить этот план на практике и измерить скорость выполнения действий. Так можно разработать методологию увеличения скорости и точности, снижения ущерба от недоступности ресурсов и реальной компрометации системы.
План реагирования на инцидент должен включать определённые требования, в частности:
Команда экспертов компании (Команда реагирования на компьютерные инциденты)
Юридически обоснованная и одобренная стратегия
Финансовая поддержка компании
Поддержка руководства высокого уровня
Выполнимый и выверенный план действий
Физические ресурсы, например, дублирующие хранилища данных, компьютеры в состоянии готовности и службы резервного копирования
Команда реагирования на компьютерные инциденты (CERT) — это группа экспертов компании, готовых быстро реагировать на чрезвычайную ситуацию в компьютерной сфере. Найти ключевые фигуры для команды CERT может быть непростой задачей. Соответствие персонала определяется не только техническим опытом, но также и его размещением, доступностью и готовностью в чрезвычайной ситуации поставить интересы организации на первый план. Чрезвычайная ситуация никогда не планируется, она может произойти в любой момент и все члены команды CERT должны осознавать, что они могут потребоваться в любое время суток.
Команды CERT обычно состоят из системных и сетевых администраторов, а также экспертов по информационной безопасности. Системные администраторы приносят знания и опыт использования системных ресурсов, в том числе резервного копирования данных, имеющегося запасного оборудования и т.д. Сетевые администраторы приносят знания сетевых протоколов и возможность динамически изменять маршрутизацию сетевого трафика. Специалисты по информационной безопасности способны проследить и очертить возникшие проблемы безопасности, а также провести «вскрытие» скомпрометированных систем (после атаки).
Хотя это не всегда выполнимо, в команду CERT следует включать запасных игроков. Если области знаний ваших сотрудников пересекаются, где это возможно, следует внедрять перекрёстное обучение. Учтите, что если ключом к сохранности и целостности данных владеет только один человек, без него всё предприятие окажется беспомощным.
Среди важных аспектов реагирования на инциденты следует выделить юридические следствия. Планы обеспечения безопасности следует разрабатывать совместно с сотрудниками юридического отдела. Так же, как каждая компания должна иметь собственную политику безопасности, она должна иметь собственный законный метод урегулирования конфликтов. Местное, региональное и федеральное законодательство не будет рассматриваться в этом документе, но упоминается здесь, так как методология проведения анализа после инцидента, по крайней мере, частично, диктуется юристом. Юрист может уведомить технический персонал об уголовной ответственности за взлом системы безопасности, наказании за похищение личной, медицинской и финансовой информации клиентов и значимости восстановления службы в жизненно-важном окружении, например, в больницах и банках.
[1] |