Мониторинг всех событий в корпоративной сети играет важную роль для каждой компании. Любые события (входы в систему, загрузки, скрипты, обновления, изменения конфигурации и т.д.), которые отслеживаются и происходят на рабочих станциях, серверах, роутерах, коммутаторах и других объектах инфраструктуры в вашей сети создают журналы событий, которые быстро превращаются в большие объемы данных для обработки
Неизбежным является ряд определенных событий, которые могут вызвать негативные последствия для безопасности вашей компании. Например, нежелательную активность может вызвать подключение сотрудником персональной USB-флешки, которая заражена сетевым червем, к своему рабочему устройству. Однако, возникает вопрос правильно ли настроены ваши инструменты для реагирования на подобные события? И какие меры необходимо принять в случае кибератаки?
Не каждое нежелательное событие требует рассмотрения полной командой реагирования на инциденты компьютерной безопасности. В таких случаях большую роль в управлении ресурсами и временем, которые доступны для вашей ИТ-безопасности, играют автоматизированные процессы реагирования. Поэтому часто достаточно одного ИТ-администратора, у которого есть базовые инструменты реагирования, чтобы успешно избежать опасности от нежелательного события.
Однако, в случае обнаружения более коварной схемы и намерений воспользоваться единичными нежелательными событиями или в случае внезапного сбоя системы, вероятно, вы стали жертвой кибератаки и несомненно нуждаетесь в обращении к команде реагирования на инциденты компьютерной безопасности. Если у вас есть план действий для таких случаев и эффективная команда реагирования на инциденты, то такие кибератаки не станут проблемой для вашей сети.
Важным стандартом для проверки плана реагирования на инциденты является публикация NIST под названием «Руководство по управлению инцидентами компьютерной безопасности», которое подробно описывает 4 этапа реагирования на чрезвычайные события: подготовка, обнаружение и анализ, сдерживание, ликвидация последствий и восстановление, а также дальнейшая деятельность после кибератаки.
Обработка инцидентов безопасности в соответствии с этими 4 шагами может помочь обеспечить успешное возвращение к обычным бизнес-операциям.
1. Подготовка
Прежде чем произойдет любой инцидент, важно установить необходимые меры безопасности для уменьшения рисков заражения уже известными угрозами. В частности, это обновление серверов, операционных систем и приложений до актуальных версий, настройка усиленной защиты от вредоносных программ. Также корпоративная сеть должна быть защищена через брандмауэры и VPN. Кроме этого, не стоит забывать об улучшении осведомленности сотрудников в области информационной безопасности для уменьшения количества инцидентов, поскольку именно они часто поддаются на манипуляции хакеров.
Важной частью настройки вашей сети является наличие всех необходимых инструментов мониторинга и введение журналов для сбора и анализа событий в вашей сети. Доступны различные варианты: инструменты удаленного мониторинга и управления (RMM), инструменты управления информационной безопасностью и событиями безопасности (SIEM), инструменты организации и автоматизации процессов реагирования на инциденты безопасности (SOAR), системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS), а также решение для обнаружения и реагирования на события безопасности на рабочих станциях (EDR).
Все больше организаций, которые чаще всех подвергаются атакам (например, банки и правительственные учреждения) используют информационные сервисы, такие как ESET Threat Intelligence. Этот сервис предоставляет актуальную информацию об индикаторах компрометации, что позволит быстро реагировать на новые угрозы и атаки в случае их обнаружения в реальной среде.
Создание команды реагирования на инциденты компьютерной безопасности
Еще одним важным шагом является создание и обучение команды реагирования на инциденты компьютерной безопасности в соответствии с требованиями вашего предприятия. Компании малого бизнеса могут создать временную команду, которая будет состоять из существующих ИТ-администраторов. Однако в организациях больших размеров должна быть постоянная команда, которая будет привлекать других ИТ-администраторов компании исключительно для помощи в определенных атаках, например, администратора базы данных, чтобы помочь проанализировать атаку типа SQL injection.
Альтернативой является привлечение команды реагирования на инциденты компьютерной безопасности на аутсорсинге, хотя это может стоить дороже. Если вы рассматриваете такой вариант, вы должны быть готовы к более длительному времени для реагирования. Некоторых членов команды реагирования на инциденты, возможно, придется ждать из других регионов, что значительно увеличивает время для воздействия угроз на вашу сеть.
Самое главное, что в составе любой команды должны быть сотрудники, которые понимают, как строится корпоративная сеть, что является нормальным для нее, а что необычным.
Руководство также должно играть активную роль, в частности, предоставлять необходимые ресурсы и средства для эффективного выполнения работы команды реагирования на инциденты. Это означает обеспечение инструментами и устройствами, которые нужны вашей команде реагирования, а также принятие жестких управленческих решений относительно инцидента.
Представьте, что команда реагирования на инциденты компьютерной безопасности обнаруживает компрометацию сервера электронной коммерции, что является важным элементом ведения бизнеса, и требует его отключения. Руководство компании должно быстро понять влияние на бизнес-процессы в случае отключения или изоляции сервера и сообщить команде реагирования на инциденты.
Другие сотрудники и отделы компании также предоставляют важную поддержку команде реагирования. ИТ-специалисты могут помочь выключить и заменить серверы, восстановить данные из резервных копий и очистить систему в соответствии с требованиями команды. Юристы и отдел по связям с общественностью нужны для управления любыми коммуникациями относительно инцидента, например, со СМИ, партнерами, клиентами и правоохранительными органами.
2. Обнаружение и анализ
На этом этапе аналитики с помощью своих знаний и необходимых инструментов должны обнаружить, что происходит в сети и какие меры нужно принять. Задача аналитика — сопоставить события, чтобы отобразить их последовательность до момента заражения, и определить основную причину, чтобы как можно скорее перейти к действиям этапа 3.
Однако, как показано на схеме выше, 2 и 3 этапы имеют цикличный характер, что означает реагирование на инциденты может переключиться обратно на второй этап для проведения дальнейшего анализа причин. Например, нахождение и анализ некоторых данных на этапе 2 приводит к необходимости принять конкретные меры относительно смягчения последствий на этапе 3. Затем на 3 этапе могут оказаться определенные дополнительные данные, требующие анализа, то есть переход к этапу 2.
Стоит отметить, что инструмент для обнаружения и отслеживания событий на рабочих станциях — ESET Enterprise Inspector — позволяет автоматически определить подозрительную активность, исследовать и мгновенно отреагировать на инцидент безопасности, который помогает специалистам на 2 этапе.
3. Сдерживание, ликвидация последствий и восстановление
На 3 этапе команда реагирования на инциденты компьютерной безопасности должна принять решение во избежание распространения выявленных угроз, например, отключение сервера, изоляция рабочей станции или прекращения использования некоторых сервисов. Выбранная стратегия сдерживания должна учитывать возможный вред в будущем, хранение доказательств компрометации и продолжительность сдерживания. Как правило, это означает изолировать скомпрометированные системы, сегментировать части сети или разместить пораженные устройства в песочнице.
Преимуществом песочницы есть возможность дальнейшего мониторинга угрозы, а также сбор дополнительных доказательств. Однако существует опасность, что скомпрометированный хост может быть дополнительно поврежден, находясь в песочнице.
Юрист может определить, что команда реагирования должна собирать и фиксировать как можно больше доказательств. В этом случае передача доказательств от одного человека к другому должна тщательно регистрироваться.
В случае обнаружения вредоносного программного обеспечения нужно удалить его из скомпрометированных систем. После этого нужно будет отключить, закрыть или сбросить учетные записи пользователей. Также следует исправить уязвимости, восстановить системы и файлы из чистых резервных копий, изменить пароли, усилить правила брандмауэра и тому подобное.
Полное возвращение к обычным бизнес-операциям может занять месяцы в зависимости от кибератаки. Для начала следует установить улучшенную систему ведения журналов и мониторинга, чтобы ИТ-администраторы могли предотвратить повторение той же кибератаки. В перспективе нужно принять более масштабные изменения, которые помогут сделать корпоративную сеть безопасной.
4. Дальнейшая деятельность после кибератаки
Команда реагирования на инциденты компьютерной безопасности должна фиксировать и предоставлять данные по изменению событий и их хронологию. Это помогает понять основную причину кибератаки и предотвратить повторный или подобный инцидент безопасности. Кроме этого, все команды должны пересмотреть эффективность процессов и операций, которые выполняются, обнаружить недостатки в общении и сотрудничестве и найти возможности для улучшения текущего плана реагирования на подобные инциденты.
Важным моментом является определение политики сохранения доказательств, собранных во время инцидента безопасности. Поэтому перед очисткой жестких дисков обратитесь в юридический отдел. Как правило, большинство организаций сохраняют записи о таких случаях в течение двух лет в соответствии с нормами.