Чек-лист готовности для группы по реагированию на инциденты ИБ

Формирование команды по обработке и реагированию на инциденты информационной безопасности (на английском это Computer Security Incident Response Team (CSIRT)) это комплексная и довольно трудная задача. Обычно данный процесс включает в себя комбинацию людей совершенно разных должностей и квалификаций, а также процессов и технологий. Если целью команды является обработка инцидентов, связанных с DDoS атаками, то скорее всего вам потребуются сетевые инженеры, хороший контакт с вашим провайдером и специальные устройства. В случае инцидентов, связанных с фишингом, вы скорее всего сфокусируетесь на технологиях электронной почты.

В любом случае алгоритм реагирования на инцидент ИБ и его обработки практически один и тот же для большинства инцидентов.

Данная статья направлена на то, чтобы отразить список первоочередных вещей, которые должны быть в распоряжении эффективной команды по реагированию на инциденты ИБ

Координация в процессе реагирования на инциденты

Существует большое количество различных программ для управления инцидентами ИБ в процессе жизненного цикла обработки инцидента.

 Отслеживание статуса инцидента

Самым первым шагом является использование ПО для документирования инцидента, отслеживания его статуса и предоставления необходимого доступа коллегам. Такое ПО должно:

  • быть недоступным для остальных сотрудников компании, не входящих в команду (из-за того, что уведомления и “тикеты” могут содержать важную конфиденциальную информацию);
  • иметь функционал для предоставления доступа остальным сотрудникам в случае необходимости;
  • иметь средства визуального отображения различной статистики, чтобы можно было видеть картину по инцидентам в реальном времени.

ПО для генерации сообщений об инцидентах

ПО с функционалом наподобие пэйджера для оповещения команды о новом произошедшем инциденте. Такого рода система может быть установлена отдельно или же являться частью комплексной системы, специально разработанной для нужд специалистов по расследованию инцидентов ИБ.

Так называемая «военная комната» (War Room)

Выделенная переговорная комната для того, чтобы команда собралась в случае особо важных инцидентов. Желательно, чтобы помещение бло свободно в любое время, а также имело хорошую беспроводную связь. Или же можно ограничиться табличкой для определенной переговорки, которая будет гласить что-то вроде — “Не входить. Все запланированные для этого помещения встречи отменены”.

Обмен информацией

Команда не может общаться только между собой, ей может понадобиться контактировать с большим количеством людей как внтури, так и вне организации. Прямые коммуникации это ключ к эффектиной обработке инцидента.

Гаджеты и другие сопутствующие устройства

У всех людей есть личная жизнь, и какой-либо произошедший инцидент может застать ответственного за его обработку сотрудника в дороге, поэтому желательно “иметь на вооружении”:

  • легкий и удобный ноутбук;
  • сумка для ноутбука;
  • usb модем;
  • токен и/или учетные данные для подключение к VPN сети компании;
  • мобильный телефон с громким звонком и большим временем работы;
  • зарядные устройства.

Телефон

Члены команды должны иметь возможность получать уведомления об инцидентах в том числе и посредством обычного телефона:

  • необходим простой номер, закрепленный за Командой;
  • на телефон должен отвечать человек, чьей ролью является оперативное реагирование и первичный анализ возможного инцидента.

Если инцидент требует координации

  • должна быть возможность оперативного конференц-колла.

Командный чат

Облегчает информационный поток между членами команды:

  • эффективное ПО для чата, которое хранит логи и имеет функционал поиска по ним;
  • сообщения должны быть доставленными, если какой-то из членов команды находится офф-лайн во время отправки;
  • члены Команды должны иметь возвомжность легко обмениваться файлами внутри чата.

Листы рассылки

Должен быть приватный лист рассылки по всем членам команды:

  • такой список облегчает коммуникацию внутри команды.

Также должен присутствовать публичный адрес электронной почты:

  • адрес должен быть опубликован внутри компании;
  • на него должны поступать сообщения об инцидентах;
  • средства автоматизации должны автоматически генерировать алерты и отправлять их членам команды;
  • поступающие на данный ящик сообщения должны автоматически генерировать “тикеты” на обработку.

 Список номеров

Членам команды должен быть доступен следующий список контактов:

  • контакты членов команды;
  • контакт члена команды, который непосредственно общается с владельцами бизнеса;
  • контакты отдела кадров;
  • контакты юридического отдела;
  • контакты PR отдела.

Также должен быть быстрый доступ к:

  • телефонной книге компании;
  • организационно-штатной структуре компании;
  • контактам вендров, чье ПО или устройства используются в компании;
  • контактам представтелей интернет-провайдеров.

Электронные адреса, опубликованные для третьих лиц

Cообщения об инцидентах могут приходить от внешних источников, поэтому в компании должны быть специальные электронные адреса для таких случаев, например:

Сообщения с этих ящиков должны автоматически пересылаться по листу рассылки, содержащему адреса членов Команды.

Шаблоны электронных писем

Члены команды могут коммуницировать в формальной или полуформальной манере с остальными работниками организации или с внешними источниками инцидентов ИБ. Команда может предупредить коллег, например, об идущей фишинговой атаке или дать знать внешнему источнику о том, что они работают над инцидентом. Предзаполненные шаблоны электронных писем помогают отвечать на сообщения об инцидентах оперативно и должным образом. Шаблоны должны быть:

  • короткими и информативными;
  • переведенными на иностранные языки, если среди ваших коллег и партнеров есть зарубежные граждане.

Наконец, шаблоны для третьих лиц должны быть согласованными с юридическим отделом и отделом кадров.

Шаблоны пресс-релизов

Попросите PR-отдел подготовить шаблоны пресс-релизов, связанных с произошедшими инцидентами. Рассмотрите основные варианты сценариев инцидентов, например:

  • небольшая утечка данных;
  • серьезная утечка данных, затрагивающая данные владельцев банковских карт;
  • недоступность сервисов и т.д.

Такой тип коммуникаций обычно осуществляет PR отдел, а члены Команды используются для консультаций.

Шифрование электронной почты

Рекомендуется шифровать и/или подписывать переписку с внешними источниками сообщений об инцидентах. Данная процедура обеспечивает приватность и аутентичнсть при контактах с третьими лицами:

  • должно быть предустановлено соответствующее ПО;
  • у членов команды и общего ящика Команды должны быть действующие ключи шифрования.

 Перечень активов компании

Помогает команде быстро найти затронутые конкретным инцидентом активы (как материальные, так и не материальные):

  • ПО;
  • Серверное оборудование;
  • АРМы;
  • Сетевое оборудование;
  • Информационные активы;
  • Бизнес-процессы.

Для того, чтобы вести и поддерживать в актуальном состоянии такого рода перечни, существуют различные программные продукты. На рынке имеются системы, которые позволяют провести техническую инвентризацию сети компании и связать найденное оборудование с критичными информационными активами и бизнес-процессами. Таким образом, команда в короткие сроки может оценить масштаб инцидента, и на сколько критичными будут его последствия для организации.

Перечень “эталонных” настроек ПО

Помогает определить, повлек ли за собой инцидент изменение в ПО:

  • “Золотые” образы операционных систем, используемых в компании;
  • Конфигурации оборудования/инструкции по настройке;
  • Стандартные настройки сетевого оборудования.

Защищенное файловое хранилище

Обеспечивает простую площадку для обмена необходимыми в процессе обработки инцидентов материалами с коллегами внутри организации, а также с третьими лицами:

  • доступ к файлам должен быть разрешен только членам команды;
  • должен быть функционал генерации уникальных ссылок для скачивания;
  • уникальные ссылки для скачивания должны быть доступны из сети Интернет.

Хранилище паролей

Команде желательно иметь свое хранилище паролей:

  • поддерживающее двухфакторную аутентификацию;
  • поддерживающее более одного пользователя, одновременно работающего с ним.

 Обыкновенный сейф

Огнеупорный сейф для хранения важных бумажных документов, жестких дисков, флешек и т.д.

 В заключении

Почти ни для кого не секрет, что эффективная обработка инцидентов ИБ в том числе заключается в вовлечении нужных людей в нужное время. И средства автоматизации такого рода процессов существенно ускоряют время реагирования на инциденты. Работать в одной системе, тем более, если она объединяет в себе большую часть функций, описанных в данной статье, это удобно и продуктивно. Все описанные системы и технологии необходимы в первую очередь для того, чтобы связать аналитиков и тех, кто сообщает об инцидентах (в том числе и автоматизированные средства), настроить эффективный информационный канал между ними.

Публикация подготовлена экспертом компании R-Vision, Андреем Чечёткиным, с использованием материалов с сайта  blog.gaborszathmari.me

Поделиться записью:
Scroll Up