Ранее в своих материалах о том, как защититься от DDoS-атак, мы неоднократно советовали составить план своей инфраструктуры, ее уязвимых мест и первичных действий при кибератаках. Сегодня поговорим о том, что такое план реагирования на киберинциденты, почему он нужен каждой организации, как его составить и что он в себя включает.
По мере развития изощренности кибератак, должна трансформироваться и стратегия их предотвращения. К сожалению, многие компании полагаются на устаревшие планы, а еще большее количество и вовсе их не имеет.
Чтобы увеличить шансы пережить непредвиденную атаку и сохранить репутацию, любому бизнесу, проекту, компании нужно задуматься о создании плана реагирования на инциденты кибербезопасности.
Что такое инцидент кибербезопасности
Инцидент кибербезопасности — это ситуация, которая ведет к нарушению политики информационной безопасности организации и подвергает риску ее конфиденциальные сведения: личные данные клиентов, государственные, коммерческие и врачебные тайны. Далее в тексте вы встретите аббревиатуру КБ — это сокращенный вариант термина «кибербезопасность».
Национальный координационный центр по компьютерным инцидентам (НКЦКИ) выделяет следующие виды инцидентов кибербезопасности:
1. DoS-атаки | 8. несанкционированный вывод объекта из строя |
2. DDoS-атаки | 9. публикация в объекте мошеннической информации |
3. рассылка спама с объекта | 10. использование объекта для распространения вредоносного ПО |
4. захват сетевого трафика объекта | 11. социальная инженерия, направленная на компрометацию объекта |
5. компрометация учетной записи в объекте | 12. публикация в объекте запрещенной законодательством РФ информации |
6. успешная эксплуатация уязвимости в объекте | 13. несанкционированное изменение информации, обрабатываемой в объекте |
7. внедрение в объект модулей вредоносного ПО | 14. несанкционированное разглашение информации, обрабатываемой в объекте |
Атаки могут производиться бесчисленным количеством способов, поэтому невозможно разработать единую инструкцию для решения всех нарушений. Каждый отдельный тип инцидента нуждается в уникальной стратегии реагирования. Далее рассмотрим несколько типов угроз, основанных на общих векторах атак. Они помогут определиться с выбором стратегии реагирования.
Типы инцидентов КБ по вектору атаки:
Внешний или съемный носитель: атака выполняется со съемного носителя (например, флэш-накопителя, компакт-диска) или периферийного устройства.
Истощение: атака, в которой используются методы компрометации, ухудшения качества или уничтожения систем, сетей или сервисов. Механизм заключается в подборе учетных данных пользователя для получения несанкционированного доступа.
Веб: Атака, осуществляемая с сайта или веб-приложения.
Email: атака идет с помощью сообщений на электронную почту или вложения, ее цель — скомпрометировать данные пользователя. Этот вид атаки известен под названием «фишинг» и является одним из наиболее распространенных.
Ненадлежащее использование: любой инцидент, возникший в результате нарушения авторизованным пользователем политики организации.
Потеря или кража оборудования: потеря ноутбука, смартфона или другого носителя информации, используемого организацией.
Эксперт компании DDoS-Guard, руководитель направления защиты L7 Дмитрий Никонов, отмечает: «Мы видим, что атаки становятся более интеллектуальными. Мы активно наблюдаем за созданием геораспределенных ботнет-сетей, которые включают в себя почти все континенты планеты.
Злоумышленники создают и выкладывают проекты с открытым кодом, и инструкцией как развернуть проект у себя на ПК, чтобы стать частью ботнета. Наиболее популярные атаки сейчас: backdoors, malware, ransomware, phishing и website defacement.
Из уникальных примеров можно выделить случай, когда злоумышленники использовали онлайн-игру для атак. Все пользователи, которые заходили в нее, автоматически становились участниками централизованной атаки на определенные веб-ресурсы».
Возможные цели и мотивы злоумышленников:
1. вымогательство | 6. создание нечестной конкуренции |
2. похищение средств | 7. демонстрация силы и возможностей |
3. уничтожение бизнеса | 8. ущерб репутации компании или государства |
4. корпоративный шпионаж | 9. площадка для дальнейших атак на другие компании |
5. государственный шпионаж | 10. похищение ценной информации для ее продажи или использования |
Что такое план реагирования на инцидент кибербезопасности
План реагирования на инциденты кибербезопасности — это свод четко регламентированных правил, где прописаны шаги, которые сотрудники должны выполнять при обнаружении опасности. План разрабатывается совместно с высшим руководством организации и SOC (Центр информационной безопасности). Составляются сценарии по реагированию на самые распространенные методы атак. Это поможет сотрудникам правильно и оперативно действовать в любой критической ситуации.
План реагирования может использоваться в качестве руководства при ряде действий:
- обнаружение угроз;
- реагирование на инциденты;
- анализ и документирование инцидента;
- взаимодействие между подразделениями внутри организации;
- определение необходимых шагов для повышения эффективности процедур реагирования.
Необходимо регулярно проводить тестовый контроль обучения, чтобы план реагирования был знаком команде. Реакция должна быть чёткой и быстрой. Ошибки крайне нежелательны, поэтому важно проверять план на практике и анализировать скорость устранения инцидента.
Почему каждой организации нужен план реагирования
Злоумышленники атакуют как небольшие проекты, так и крупные компании, среди которых банки, энергетические компании, медиаресурсы, ИТ-предприятия и другие. Сегодня кибербезопасность — стратегическая необходимость для каждой организации.
В 2020 году компания IBM опубликовала отчет, согласно которому, лишь 26% компаний имеют четкий план реагирования на киберинциденты. Низкий уровень защищенности чреват для бизнеса и общества серьезными последствиями. Общее число происшествий растет ежеквартально, злоумышленники постоянно совершенствуют атаки, а их эффективность только повышается, поэтому важно быть начеку.
Согласно анализу компании Dragos, которая занимается вопросами кибербезопасности, средняя стоимость одного киберинцидента обходится пострадавшей стороне почти в $3 миллиона. В сумму включены расходы на устранение пришествия, и при этом они не включают упущенную выгоду.
Компания Veeam опубликовала отчет о тенденциях в области защиты данных за 2022 год, согласно которому:
- 76% организаций подверглись хотя бы одной атаке программ-вымогателей;
- 24% либо не подвергались атаке, либо еще не знают об этом;
- 42% сотрудников компаний активировали фишинговые ссылки;
- 43% инцидентов были вызваны невнимательностью со стороны администратора.
По данным опроса, в котором участвовали 1376 непредвзятых организаций, в среднем, пострадавшим удалось восстановить только 64% своих данных. Это означает, что более 1/3 данных невозможно восстановить.
Три причины, почему вам нужен план реагирования на киберинциденты
1. Сотрудники будут готовы к сложным ситуациям. Грамотно составленный план поможет вашей команде чувствовать себя уверенно. В критической ситуации каждый сотрудник будет знать, что ему делать. Это сохранит время и позволит быстро среагировать на инцидент.
2. Сохраните репутацию, деньги и нервы. Чем быстрее обнаружите вторжение злоумышленников, тем безболезненнее предотвратите возможные последствия. Хакеры не смогут завершить процесс взлома, а значит не потребуют выкуп за украденные данные или не навредят другим способом.
3. Компания будет под надежной защитой надолго. Невозможно гарантировать, что после одной атаки не последует следующей. Если у вас будет четкий план реагирования, вы не только сможете им воспользоваться, но и неоднократно улучшить, чтобы все последующие атаки все меньше воздействовали на инфраструктуру компании. Ваша команда разберет все шаги и ошибки, которые привели к атаке, что позволит действовать эффективнее в будущем.
Как составить план реагирования на инциденты кибербезопасности
План реагирования на киберинциденты должен включать в себя понятную схему действий и подробные пошаговые инструкции к ним. Для разработки плана привлекайте специалистов, которые будут участвовать в реагировании и устранении угроз.
План должен быть согласован и утвержден с высшим руководством организации. К разработке и процессу согласования могут быть привлечены также юридические специалисты и другие ответственные лица.
6 этапов создания плана реагирования на киберинциденты
1. Подготовка
На этом этапе строится вся архитектура вашего плана. Формируются основные компоненты процесса реагирования и выполняются следующие задачи:
1.1. Создать и описать стандарты политики безопасности.
1.2. Создать команду реагирования и определить роли сотрудников.
1.3. Создать и описать политику реагирования.
1.4. Определить план коммуникации для команды реагирования и всех заинтересованных сторон.
1.5. Создать журнал документирования инцидентов, в котором каждая ответственная сторона должна описать свои шаги на каждом этапе реагирования:
- кто отреагировал?
- что было затронуто?
- где произошел инцидент?
- почему было принято то или иное действие?
- как действие помогло и если нет, то описать возможную причину.
1.6. Провести обучение команды.
1.7. Проверить контроли доступа.
2. Обнаружение
На этом этапе команда должна оперативно определить, следует ли реализовывать план реагирования. Необходимо тщательно анализировать сообщения об ошибках и следить за состоянием системы.
При обнаружении подозрительной активности, предупредите всех членов команды реагирования как можно скорее. На этом этапе эффективно настроенная коммуникация критически важна.
Следует убедиться, что вся команда после обнаружения угрозы начала документировать свои действия по реагированию в журнале инцидентов (см. раздел 1.5.)
Обнаружение потенциальных угроз является обязанностью всех сотрудников компании вне зависимости, входят они в команду по реагированию на инциденты или нет. Это должно быть четко отражено в политике безопасности и регулярно повторяться на учебных мероприятиях.
Например, отдел маркетинга обнаружил странную активность на своем компьютере после открытия ссылки, которая пришла на почту. Сотрудник должен незамедлительно сообщить ответственному лицу из команды реагирования о ситуации.
3. Сдерживание
Цель данного этапа — оперативно предотвратить повреждение сети, даже если это задерживает основные бизнес-процессы. Сдерживание состоит из следующих шагов:
3.1. Краткосрочное сдерживание. Постарайтесь предотвратить дальнейшее повреждение сети и сделать это быстро. Несколько примеров краткосрочной стратегии сдерживания:
- отключение зараженных устройств из сети;
- изоляция зараженного элемента сети;
- отключение маршрутизатора в зараженных сетях.
3.2. Выполните судебную экспертизу, если того требует устав вашей компании.
3.3. Регулярно делайте резервные копии системы. Это образ диска с программным обеспечением и данные, которые сохранены на нем. Процедура необходима для того, чтобы в случае критических изменений была возможность вернуть систему в исходное рабочее состояние. Также сохраните копию зараженной системы, чтобы в дальнейшем была возможность проанализировать инцидент.
3.4. Долгосрочное сдерживание. Восстановите работоспособность бизнеса путем исправления затронутых систем, удаления backdoor, либо перенаправьте сетевой трафик для очистки систем резервного копирования.
3.5. Протестируйте бизнес-операции, чтобы убедиться, что они вернулись к рабочему состоянию.
4. Ликвидация
Первые шаги по ликвидации киберугрозы предпринимаются уже на 3 этапе (сдерживание). Они продолжаются до завершения этапа ликвидации.
Условия по устранению включают:
- Сканирование зараженных систем на наличие вредоносных программ и их следов.
- Отключение зараженных систем, чтобы защитить сеть.
- Устранение уязвимостей в исправных резервных копиях.
5. Восстановление
На этом этапе идет возвращение систем в их первоначальное состояние. Процесс начинается с замены сред, уже прошедших стадию ликвидации, безопасными резервными копиями.
Важно помнить, что копии могут содержать те же уязвимости, которые и привели к инциденту. Поэтому зараженные файлы необходимо устранить в первую очередь.
Перед повторным подключением всей восстановленной системы рекомендуется проверить журнал событий системы на предмет аномалий, которые укажут на продолжающееся заражение вредоносным ПО или же наличие АРТ-атак (Advanced Persistent Threat).
6. Получение знаний
Цель этапа — завершение документации по прошедшему циклу атаки. В отчете следует четко прописать всю последовательность действий. Описание должно быть понятно заинтересованным сторонам.
Рекомендуется собраться всем участникам инцидента не позднее двух недель после события. На встрече следует обсудить киберинцидент, его обнаружение, обработку и устранение, а также предложить варианты по возможному улучшению каждого из этапов.
На обсуждении участники могут обсудить следующие вопросы:
- Кто обнаружил инцидент?
- Кто сообщил об инциденте?
- Как локализовали инцидент?
- Когда был обнаружен инцидент?
- Кому было сообщено об инциденте?
- Как очищали скомпрометированные системы?
- Какие процессы задействовали для восстановления?
- В какой области команда наиболее эффективно сработала?
- Какие шаги были приняты для анализа успеха мер по ликвидации?
- Как можно улучшить действия по реагированию на возможные киберугрозы?
Подходите к составлению плана как к жизненному циклу, где каждая фаза реагирования идет в правильной последовательности. Шаги должны основываться на понимании и четкой работе.
Что должно быть в плане реагирования: чек-лист из 10 шагов
Когда случается непредвиденная ситуация, нет времени разбирать стратегии реагирования. В таком случае пригодится сжатая и полезная информация о том, какие шаги следует предпринять в кратчайшие сроки, чтобы ликвидировать угрозу.
Используйте инструкцию по контрольному списку действий реагирования на киберинциденты.
Что должен включать в себя план реагирования на инциденты
1. Оценка рисков в масштабе организации
Основной целью является определение вероятности рисков в инфраструктуре кибербезопасности.
2. Анализ инфраструктуры предприятия в ключевых областях
Используйте оценку рисков для выявления уязвимых мест. Определите и опишите приоритет реагирования по низким и средним рискам.
3. Определение членов команды реагирования
Задокументируйте роли и обязанности каждого ключевого лица команды. Проведите обучение, и протестируйте функции команды.
4. Документирование и приоритизация основных типов киберинцидентов
В плане реагирования должно быть определено, что считается инцидентом и кто отвечает за активацию стратегии реагирования. Важно выявить и описать приоритет инцидентов. От этой информации будет зависеть насколько оперативно произойдет обработка угрозы, и какие ресурсы будут задействованы для нормализации и восстановления инфраструктуры компании. Обновляйте информацию в документах, изучайте новые атаки злоумышленников и хакерские тренды.
5. Инвентаризация всех ресурсов и активов компании
- Бизнес-ресурсы: члены команды, отдел кибербезопасности, деловые партнеры.
- Бизнес-процессы: частичное сдерживание, стратегия наблюдения и отключения системы, деактивация, — все эти ресурсы следует включить в ваш план реагирования. Воспользуйтесь ими в зависимости от типа и серьезности нарушения безопасности.
6. Создание блок-схем с иерархией полномочий и последовательностью действий команды реагирования
Определите шаги, которые нужно выполнить на разных этапах реагирования. Выявите, кто является ответственным менеджером на этих этапах, а кто контактным лицом между вами, вашими клиентами, правоохранительными органами, СМИ.
Все данные соберите в единую схему полномочий.
7. Актуализация контактной информации о команде реагирования и всех заинтересованных сторон (страховые компании, юристы и так далее)
Составьте базу контактной информации, которая будет обновляться. Команда сможет обратиться к ней в критической ситуации, чтобы не тратить время на поиски.
8. Подготовка шаблонов публичных заявлений
Заранее спланируйте публичные заявления. Шаблоны должны быть на разные случаи: электронные письма скомпрометированным пользователям, письма для связи со СМИ, шаблоны заявлений о нарушении. Отнеситесь внимательно к информации, которую сообщаете массовой аудитории.
9. Подготовка и ведение журнала инцидента
Во время и после инцидента кибербезопасности вам потребуется отслеживать как, кто, когда и где обнаружил и устранил нарушение. Эта информация должна вноситься в журнал инцидента. Подготовьте шаблон заранее, чтобы его было легко заполнить. Он должен включать:
- место, время и характер обнаружения инцидента;
- детали связи: кто, что и когда;
- релевантные данные вашего ПО для создания актуальных отчетов о безопасности и журналов событий.
10. Разработка и описание стратегии тестирования эффективности мер реагирования
Совместно с командой реагирования пропишите несколько ключевых стратегий реагирования. Регулярно собирайтесь для обсуждения и улучшения данного процесса. Используйте руководства, шаблоны и чек-листы, которые будут дополняться и расширяться в соответствии с актуальными изменениями.
Примеры плана реагирования на инциденты кибербезопасности
В сети есть общедоступные примеры планов реагирования на киберинциденты. Мы собрали несколько полезных и эффективных шаблонов, которые можно использовать как руководство, чтобы создать собственный план реагирования. Изучите примеры и адаптируйте под свою компанию. Обратите внимание, что все документы англоязычны.
1. Шаблон Национального института стандартов и технологий (NIST)
Основные разделы документа:
- организация реагирования;
- регулирование;
- координация и обмен информацией;
- сценарии обработки;
- анализ данных, связанных с инцидентом.
2. Шаблон Калифорнийского института технологий
Файл содержит 17-шаговую базовую процедуру реагирования на инциденты со ссылками на более подробные специализированные планы. Кратко рассмотрены различные типы инцидентов.
3. Шаблон Института передовых технологий (SANS)
Руководство разработано институтом SANS и базируется на общедоступных источниках. SANS является одним из крупнейших в мире исследовательских центров в области кибербезопасности.
В документе представлены подробные рекомендации и стандарты реагирования на различные угрозы. Он доступен для использования, изменения и переформатирования в соответствии с конкретными потребностями вашей организации.
Еще один полезный инструмент — чек-лист Microsoft для подготовки вашей команды безопасности к реагированию на инциденты кибербезопасности.
Является ли план реагирования обязательным
Наличие плана реагирования КБ имеет рекомендательный характер. Российское законодательство не предусматривает обязательным использование и разработку плана реагирования на киберинциденты. Однако ряд законов и ГОСТов регулируют юридическую сторону вопроса обеспечения информационной безопасности.
В частности ГОСТ Р ИСО/МЭК ТО 18044-2007 регулирует вопросы менеджмента инцидентов информационной безопасности, куда входят рекомендации по созданию плана реагирования на инциденты КБ.
Для принятия правильных правовых мер, следует точно определить уровень защиты информации вашей компании.
Выделяют три уровня системы защиты конфиденциальной информации:
- правовой;
- организационный;
- технический.
Важным моментом является не только установление самого перечня конфиденциальной информации, но и порядка ее защиты, а также порядка её использования.
В соответствии со ст. 10 Закона N 98-ФЗ по охране конфиденциальности информации, меры принимаемые ее обладателем, должны включать в себя:
- определение перечня данных, составляющих коммерческую тайну;
- ограничение доступа к таким сведениям путем установления порядка обращения с ними и контроля за соблюдением этого порядка;
- организацию учета лиц, получивших доступ к конфиденциальной информации, или лиц, которым она была предоставлена;
- регулирование отношений по использованию данных, составляющих коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- нанесение на материальные носители и документы, содержащие конфиденциальную информацию грифа «Коммерческая тайна» с указанием владельца такой информации.
В соответствии с ГОСТ Р 50922-2006 можно выделить следующие меры защиты конфиденциальной информации:
- защита от утечки;
- защита от разглашения;
- защита от неправомерного воздействия;
- защита от преднамеренного воздействия;
- защита от несанкционированного доступа;
- защита от несанкционированного воздействия.
Как использовать информацию об инцидентах КБ для избежания их в будущем
Используйте всю собранную информацию по прошедшим инцидентам для регулярного обучения сотрудников. Совместно с командой реагирования разбирайте шаги плана реагирования и пересматривайте действия. Анализ и обсуждение всех инцидентов позволит улучшить и внедрить новые элементы управления. Рекомендуется пересматривать политику реагирования минимум раз в год.
Если у вас еще нет команды реагирования на инциденты кибербезопасности, пришло время ее создать. Включите в команду ключевых членов компании: специалистов отдела безопасности, юристов, PR-специалистов.
Подведем итоги
План реагирования на инциденты кибербезопасности — это необходимая мера защиты, которая поможет пережить эмоциональный хаос, часто сопутствующий атакам. Сценарий реагирования даст понятную стратегию смягчения последствий и минимизирует воздействие активных киберугроз.
Ваш план должен стать четким и действенным документом, который удобно использовать в самых разнообразных сценариях.
Помните, что защита вашей организации от кибератак — это масштабный процесс, который включает в себя различные этапы: от базы, на которой строится защита сетевой инфраструктуры, до создания плана реагирования на киберинциденты.