Опубликован: 14.10.2009 | Уровень: специалист | Доступ: платный | ВУЗ: Уральский государственный технический университет
Лекция 10:

Организация реагирования на чрезвычайные ситуации (инциденты)

< Лекция 9 || Лекция 10: 12 || Лекция 11 >

Идентификация нападающего (или источника распространения вредоносных программ) является важным шагом в процессе реагирования, следующим непосредственно за локализацией нападения. В случае если нападение осуществлялось из локальной сети предприятия, при надлежащем соблюдении внутренних режимных правил эта задача может оказаться относительно легкой. В случае если нападение было совершено извне, задача идентификации нападающих принципиально усложняется и в некоторых ситуациях проблема становится практически неразрешимой.

Как правило, для обнаружения источника нападения необходимо:

  • детально изучить все технические аспекты нападения;
  • провести качественный анализ процесса нападения в контексте функционирования атакуемой системы защиты информации;
  • организовать взаимодействие со сторонними организациями, которые могут содействовать в идентификации нападающего.

Одной из наиболее важных задач анализа процесса нападения является установление той информации, которая была известна нападающим до начала нападения и которой они воспользовались для осуществления этого нападения. В частности, в процессе такого анализа с определенной степенью уверенности можно установить, что до начала нападения злоумышленникам были известны:

  • информация о структуре и составе атакуемой информационной системы (используемые программные и аппаратные средства, их архитектура и используемые настройки);
  • сведения о режиме работы организации и функционирования отдельных элементов информационной системы. Сведения о регламенте некоторых бизнес-процессов предприятия;
  • конкретные идентификационные данные (имена пользователей, пароли), необходимые для проникновения в информационную систему и/или правила (алгоритмы) их генерации.

Обобщение всех этих сведений может помочь установить, какие контакты были у нападающих с атакуемой компанией (а каких не было), и, сопоставляя факты, а также пользуясь методом исключения, постараться ограничить круг лиц, которые потенциально могли быть причастны к организации данного инцидента.

В свою очередь, проведение такого анализа будет возможно только в том случае, если все информационные системы и системы защиты информации настроены надлежащим образом (в частности, в них ведутся все необходимые системные журналы) и системные данные не были повреждены в процессе нападения.

Вторым важным направлением организационной и аналитической работы при установлении (идентификации) нападающих, совершивших нападение извне, является взаимодействие с администраторами систем (телекоммуникационных сетей, компьютеров, использовавшихся в качестве прокси-серверов, и т.п.), с использованием которых было осуществлено нападение. Подходы к такому взаимодействию в каждом конкретном случае, скорее всего, будут индивидуальными и могут зависеть от политики раскрытия информации администрации той сети или узла, через который осуществлялась атака. Также могут быть предприняты действия для того, чтобы в судебном порядке или с привлечением правоохранительных органов обязать администрации таких сетей и узлов предоставить необходимую информацию, связанную с произошедшим нападением.

Процесс идентификации должен по возможности проводиться с учетом того, что впоследствии необходимо будет использовать информацию о нападающих как доказательство в уголовном процессе. В частности, при снятии (копировании) необходимых лог-файлов с атакованных компьютеров представителями правоохранительных органов, ведущими следствие по данному делу, должны быть соблюдены все процессуальные формальности, предусмотренные уголовно-процессуальным законодательством. Одной из особенностей процедуры изъятия доказательств у потерпевшей стороны в этом случае является то, что понятые, присутствующие при изъятии, должны по возможности иметь хотя бы общее представление о смысле производимой процедуры2Организация работы следственных органов, занимающихся расследованием подобных преступлений, в данном курсе не рассматривается. . Также на этом этапе при необходимости может быть проведена технико-криминалистическая экспертиза компьютерных систем.

Одним из заключительных шагов процесса реагирования на инцидент является оценка и анализ процесса нападения и его обстоятельств. Этот анализ необходимо проводить в контексте целей и задач функционирования всего предприятия, с учетом результатов работы по идентификации лиц, совершивших нападение. Основные задачи аналитической работы на данном этапе:

  • анализ целей и мотивов нападавших;
  • анализ фундаментальных (организационных и технических) причин, которые сделали нападение возможным и успешным (если оно было успешным);
  • анализ последствий (в том числе и долгосрочных) нападения для всей деятельности предприятия;
  • анализ и оценка работы персонала и взаимоотношений с предприятиями-партнерами (в том числе и с поставщиками информационных систем и средств защиты информации).

Результатом анализа должны быть выводы, которые могут послужить основой для организационной работы в различных направлениях:

  • корректировка и уточнение политики информационной безопасности предприятия;
  • проведение дополнительной работы с персоналом предприятия (наказания, поощрения, дополнительное обучение и т.п.);
  • проведение дополнительной работы с персоналом департамента информационной безопасности предприятия, а также персоналом ИТ-служб;
  • пересмотр взаимоотношений с контрагентами предприятия (покупателями, поставщиками, партнерами по НИОКР и т.п.), имеющими доступ к его защищаемой информации или информационным системам;
  • привлечение сторонних консультантов по информационной безопасности и специалистов по средствам защиты информации;
  • инициирование технического переоснащения отдельных участков информационной инфраструктуры предприятия.

Таким образом, анализ и всесторонняя оценка инцидентов является отправной точкой для реализации комплекса мер по совершенствованию системы обеспечения информационной безопасности на предприятии. Все эти меры должны в будущем снизить вероятность аналогичных инцидентов, а также уменьшить вероятность нанесения существенного ущерба в случае их повторения.

Важной составляющей анализа нападения также является оценка ущерба от произошедшего нарушения информационной безопасности. Ущерб может быть оценен одновременно с нескольких точек зрения и зависит от характера возникшей внештатной ситуации. Наиболее простым для количественной экономической оценки является прямой ущерб: затраты на восстановление утраченной информации (могут быть рассчитаны на основе трудоемкости работ по восстановлению информации и данных о средней стоимости рабочего времени соответствующих специалистов), затраты на замену скомпрометированных паролей, кодов и ключей, стоимость поврежденного оборудования, штрафные санкции за разглашение конфиденциальной информации (если такие санкции, например, были предусмотрены договорами с подрядчиками, поставщиками или заказчиками) и т.п. Также в оценке нуждается упущенная выгода, которая может быть связана как с непосредственным прекращением (приостановкой, замедлением) текущих операций предприятия, так и с долгосрочным (перспективным) негативным влиянием возникшей внештатной ситуации – потерей доверия к предприятию, приводящей к оттоку заказчиков, формированием негативного имиджа предприятия и т.п. Отдельно также может быть оценено падение рыночной стоимости предприятия – его акций (если речь идет о предприятии, акции которого котируются на биржевом рынке).

Наиболее сложным для оценки является моральный ущерб и последствия от разглашения информации личного характера (например, сведений, составляющих врачебную тайну). Конкретные суммы морального ущерба, как правило, могут быть установлены по результатам судебных разбирательств с отдельными лицами, которым такой ущерб был нанесен, либо процедур досудебного урегулирования конфликтов (на основе требований пострадавших лиц).

Заключительным этапом процесса реагирования также является устранение негативных последствий нападения – локализация ущерба, причиненного произошедшим нарушением. Эта работа может включать в себя:

  • смену скомпрометированных паролей отдельных пользователей;
  • переустановку поврежденных операционных систем, а также поврежденного программного обеспечения;
  • восстановление нарушенной конфигурации (настроек) программного обеспечения и операционных систем;
  • восстановление поврежденной информации (баз данных, файлов), как из ранее созданных резервных копий, так и другими способами.

В процессе восстановления работоспособности информационных систем на некоторое время могут быть задействованы резервные (альтернативные) аппаратные и программные платформы.

Кроме того, необходимым завершающим шагом может быть дополнительная информационная работа, которая может в себя включать:

  • рассылку пользователям информации о произошедших инцидентах (в виде специальных писем и бюллетеней);
  • передачу некоторых сведений о нападении в средства массовой информации;
  • передачу сведений о нападении крупным группам реагирования на инциденты, связанные с информационной безопасностью (таким как, например, CERT/CC), а также в научно-исследовательские центры, занимающиеся проблемами защиты информации;
  • дополнительную информационную работу с поставщиками информационных систем и подрядчиками, осуществлявшими их поставку, внедрение и настройку.

С точки зрения распределения обязанностей по выполнению отдельных функций в рамках процесса реагирования на инциденты, одним из эффективных и достаточно широко используемых подходов к организации реагирования на инциденты является построение централизованной системы реагирования на инциденты, когда одна группа реагирования обслуживает несколько подразделений или предприятий. В частности, такой подход реализован в Министерстве обороны США (он был описан в одной из предыдущих лекций), где несколько централизованных групп реагирования на инциденты обслуживают множество войсковых подразделений. Централизованные группы реагирования могут создаваться для обслуживания различных предприятий и организаций. Это могут быть компании, входящие в крупный холдинг, организации, входящие в одну исследовательскую сеть, университеты и исследовательские организации одной страны, клиенты поставщика определенных продуктов или услуг и т.д. Для объединения усилий различных групп реагирования был создан специальный Форум групп реагирования на инциденты и обеспечения безопасности (Forum of Incident Response and Security Teams, FIRST), на интернетсайте которого (http://www.first.org/) можно найти полный список его участников. При этом все функции по реагированию не могут быть переданы в централизованную группу реагирования – в каждом конкретном случае необходимо детально разграничить полномочия, ответственность и функции, выполняемые предприятием самостоятельно, и функции, выполняемые централизованной группой. Договоренность между централизованной группой реагирования и группой реагирования (специалистами по безопасности) самого предприятия должна предусматривать не только разграничение функций, но и описывать основные процедуры взаимодействия в процессе реагирования на инцидент.

< Лекция 9 || Лекция 10: 12 || Лекция 11 >
Александр Медов
Александр Медов

Здравствуйте,при покупке печатной формы сертификата,будут ли выданы обе печатные сторны?

Андрей Стрельников
Андрей Стрельников

Какой документ выдается по программе профпереподготовки Управление ИТ-инфраструктурой? В разделе Дипломы указан сертификат, аналогичный бесплатным курсам.

Денис Овчинников
Денис Овчинников
Россия
Павел Артамонов
Павел Артамонов
Россия, Москва, Московский университет связи и информатики, 2016