More Related Content
Similar to Incident management (part 4)
Similar to Incident management (part 4) (20)
More from Aleksey Lukatskiy
More from Aleksey Lukatskiy (15)
Incident management (part 4)
- 1. Создайте
резервный план
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 242/431
- 2. Резервный план
Определите критичные функции, сервисы и
оборудование CSIRT
Разработайте план обеспечения непрерывности
бизнеса и восстановления для критичных сервисов и
процессов CSIRT
Заранее проработайте сценарии «что если»
В т.ч. и для сотрудников CSIRT
Проведите тестирование возможности CSIRT
функционировать в чрезвычайной ситуации
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 243/431
- 4. Универсального рецепта нет
Не бывает двух одинаковых CSIRT
Важное свойство CSIRT – гибкость и адаптивность
Примеры
CSIRT крупного холдинга или группы компаний осуществляет
только общее руководство процессом и вырабатывает общие
рекомендации для нижележащих CSIRT
ИТ-департамент предприятия успешно справляется с
вирусными атаками. В этом случае CSIRT исключает
реагирование на вредоносное ПО из своего поля
деятельности
CSIRT имеющая максимальные полномочия и, в частности,
доступ к оборудованию для изменения его настроек,
блокирующих развитие инцидента
CSIRT военного ведомства запрещено общаться с СМИ, а
CSIRT университета может делиться техническими деталями
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 245/431
- 5. Будьте готовы к неожиданностям
Фактор неожиданности Влияние на CSIRT
Число отчетов об инцидентах, CSIRT столкнется с неожиданной
полученных CSIRT не может быть пиковой нагрузкой и конфликтом
предсказуемо заранее приоритетов
Злоумышленники постоянно Тип и сложность сообщений об
разрабатывают все новые методы инцидентах, отправляемых в CSIRT
нападения будет меняться с течением времени
Новые технологии дают новые Экспертиза, требуемая CSIRT будет
возможности для проникновения меняться. Сотрудники CSIRT должны
(например, Java или Flash) постоянно поддерживать уровень
своих знаний на высоте
Изменение законодательства, в т.ч. и CSIRT должны постоянно
в части компьютерных преступлений отслеживать новое законодательство
Различные требования со всех Множество ситуаций, когда ресурсов
сторон, с которыми взаимодействует CSIRT будет недостаточно для
CSIRT, в соответствие с их эффективного удовлетворения
пониманием деятельности CSIRT противоречивых требований к CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 246/431
- 6. Не предсказать, но планировать
Будьте готовы к получению и использованию внешних
ресурсов в условиях кризиса или будьте готовы к
пересмотру или снижению уровня обслуживания на
период кризиса
Непрерывное профессиональное развитие в области
существующих и новых технологий
Внедрение программы обучения персонала
Своевременный доступ к информационным ресурсам
Поощрение сотрудников на обмен опытом
Постоянное сотрудничество с руководством,
юристами и правоохранительными органами
Убедитесь что политики, процедуры и услуги гибки к
изменениям
InfoSecurity 2008 247/431
© 2008 Cisco Systems, Inc. All rights reserved.
- 7. Правовые
вопросы
управления
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 248/431
- 8. Юридические вопросы
Национальное
право
Международное Корпоративные
право требования
CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 249/431
- 9. Юридические вопросы
Консультации с юристами важны и обязательны
Можно наделать ошибок (неосознанно)
Правовые вопросы пронизывает практически всю
деятельность CSIRT – от политики до оперативных
вопросов
Чего не делать, чтобы не навлечь на себя ответственность?
Как собрать юридически значимые доказательства?
Какую информацию надо раскрывать?
Что будет, если не раскрывать информацию?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 250/431
- 10. Виды правонарушений
Ст.272. Неправомерный доступ к компьютерной
информации
Ст.273. Создание, использование и
распространение вредоносной программ для ЭВМ
Ст.274. Нарушение правил эксплуатации ЭВМ,
системы ЭВМ или их сети
Статья не работает. Судебная практика отсутствует
Ст.183. Незаконные получение и разглашение
сведений, составляющих коммерческую или
банковскую тайну
Статья не работает. Судебная практика отсутствует
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 251/431
- 11. Виды правонарушений (окончание)
Ст.165. Причинение имущественного ущерба путем
обмана или злоупотребления доверием
Ст.138. Нарушение тайны переписки, телефонных
переговоров, почтовых, телеграфных и иных
сообщений
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 252/431
- 12. Можно ли забрать заявление?
В процессе расследование правоохранительными
органами вы можете принять решение отказаться от
их услуг
Это невозможно!
Ст.272-274 УК РФ относятся к делам публичного
обвинения и не подлежат прекращению в связи с
примирением сторон
Ст.306 Заведомо ложный донос
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 253/431
- 13. Знаете ли вы Гражданский Кодекс?
Статья 1095. Основания возмещения вреда,
причиненного вследствие недостатков товара, работы
или услуги
Вред, причиненный жизни, здоровью или имуществу
гражданина либо имуществу юридического лица вследствие
конструктивных, рецептурных или иных недостатков товара,
работы или услуги, а также вследствие недостоверной или
недостаточной информации о товаре (работе, услуге),
подлежит возмещению продавцом или изготовителем товара,
лицом, выполнившим работу или оказавшим услугу
(исполнителем), независимо от их вины и от того, состоял
потерпевший с ними в договорных отношениях или нет
Правила, предусмотренные настоящей статьей, применяются
лишь в случаях приобретения товара (выполнения работы,
оказания услуги) в потребительских целях, а не для
использования в предпринимательской деятельности
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 254/431
- 14. Что анализируют юристконсульты?
Договора с клиентами
Неправильные или юридически ничтожные разделы
Упущения, вредные для CSIRT
Определение сервисов и контроль качества
Гарантии, ответственность (когда что-то пойдет не так)
Политики и процедуры
Можете ли вы уволить сотрудника за попустительство в
инциденте?
Можете ли вы использовать несертифицированные СКЗИ для
общения с клиентами?
Сколько вы должны хранить доказательства?
Легко ли подделать доказательства при хранении?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 255/431
- 15. Незаконно полученный лог
В США незаконно полученные улики (например,
украденные журналы регистрации) могут быть
использованы в качестве доказательств
Все зависит от позиции судьи
В ряде примеров, на базе таких «улик» строились целые
обвинения
В России такой лог не будет воспринят в качестве
доказательства
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 256/431
- 16. Что анализируют юристконсульты?
Форс-мажор и отказ от ответственности (disclaimer)
Соглашение о неразглашении
При приеме на работу и увольнении
Для контрактников, приглашенных консультантов и т.п.
Без юридической проверки такое соглашение будет скорее
психологической защитой, чем помощью в суде
Другие вопросы
Что вы будете делать, если к вам обратятся
правоохранительные органы?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 257/431
- 17. Ответственность
В отличие от США в России не стоит серьезно
беспокоиться об ответственности за невыполнение
или ненадлежащее выполнение деятельности CSIRT
Но все зависит от ситуации
Проблема Пример
Раскрытие информации CSIRT получила дамп БД с ПДн и не обеспечила
их защиту
Побочные эффекты В новом инциденте вы столкнулись с новой
уязвимостью, о которой забыли уведомить своих
клиентов, которые через месяц столкнулись с
ней и понесли ущерб
Непризнание В ряде случаев вы обязаны информировать
обязательного хранения правоохранительные органы о готовящемся
преступлении в отношении государственных ИС
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 258/431
- 18. Раскрытие информации
Предсказуемое Непредсказуемое
• Отчеты • Судебные решения
• Уведомления • Правоохранительные
• Консультации по органы
телефону • Утечки информации
(от доверенных
экспертов или
бывших сотрудников)
• Утечка во время
вторжения в CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 259/431
- 19. Ответственность (продолжение)
Проблема Пример
Неадекватное Вы не указали в договоре, что в праздничные
определение сервиса дни CSIRT не работает и клиент, обратившись в
этот период, не смог получить в оговоренные
договором сроки помощь (а само понятие
праздничные дни у вас определено?)
Не соблюдается значение Вы пообещали поддержку в реальном времени и
уровня сервиса не смогли обеспечить ее в период кризиса
Не соблюдается значение Вы не отреагировали в течение объявленных
показателя качества вами 4-х часов и клиент потерял деньги
Ссылки на физических Вы делаете заявления, из которых следует что
или юридических лиц некто участвовал в атаке. Это может нанести
ущерб деловой репутации
Раскрытие персональных Наступление ответственности зависит от того,
данных кто запрашивает и кому передаются ПДн
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 260/431
- 20. Ответственность (окончание)
Проблема Пример
Распространение ложной Вы распространяете информацию о серьезной
информации уязвимости в ОС Windows. Microsoft не рада
этому
Вы сообщили об уязвимости, но рекомендация
об устранении не работает. Если это не
очевидно, то в результате клиент мог понести
убытки
Некорректный совет Вы информируете клиента об изменениях в
(неполный, МСЭ, но изменение ACL приводит к
несвоевременный или бесконтрольному открытию границы
неверный) Вы предоставили клиенту устаревшую
информацию, в то время как лучшие
рекомендации уже опубликованы. Клиент мог
пострадать от устаревшего ответа
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 261/431
- 21. Как себя обезопасить?
Используйте юридически «безопасные» фразы из
стандартных договоров
Удалите все определения сервисов или показателей
качества, которые могут быть неверно, трудно
истолкованы или юридически непонятны
Проверьте отказы от ответственности
Определите процессы, политики и процедуры, а также
внедрите процессы документирования, соблюдения
порядка и контроля, чтобы доказать, что принимали
все необходимые меры во время ваших действий
Застрахуйте ваши услуги
Попробуйте оградить CSIRT от ответственности за
ущерб
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 262/431
- 22. Сервис обработки
инцидентов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 263/431
- 25. Функция
«Систематизация»
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 266/431
- 26. Функция «Систематизация»
Функция «Систематизация» является единой точки
контакта и координации для приема, сбора,
классификации и передачи поступающей информации
для дальнейшей обработки
Иногда эта функция является единственным каналом, через
который проходит вся внешняя информация независимо от
метода получения информации (телефон, e-mail, факс и т.д.)
Дополнительные операции, которые могут быть
осуществлены в рамках данной функции
Архивирование
Перевод (например, в штаб-квартиру)
Медиа-подготовка (для журналистов)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 267/431
- 27. Как сделать функцию эффективной?
Обеспечить понятный и простой механизм отчетности
Четко определенная точка контакта
Четкая информация о доступности точки контакта
Простая и четкая процедура контакта
Понятные инструкции по оформлению отчета об инциденте
Что CSIRT будет делать с полученной информацией?
Когда будет ответ?
Будет ли эта информация передана еще кому-нибудь?
Поддерживающие документы (формы, инструкции и т.д.)
Публикация открытых ключей шифрования/ЭЦП
Не забудьте подтвердить получение информации
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 268/431
- 28. Последовательность действий
1. Получение информации
2. Расшифрование информации и проверка ЭЦП
При необходимости
3. Отправка подтверждения
4. Классификация информации
5. Приоритезация информации
6. Определение отношения с текущими или прошлыми
событиями
7. Переход к другой функции CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 269/431
- 29. Успех/неуспех инцидента
Если вас просто сканируют, то стоит ли фиксировать
это как инцидент?
Если ваш сотрудник сообщил вам о подозрительном
звонке, в котором неустановленное лицо пыталось
узнать телефоне или о реквизитах доступа, то стоит
ли инициировать расследование?
Как минимум, поблагодарите за бдительность
Если ваш антивирус отразил вредоносную
программу, то это инцидент или нет?
«Неудачным» инцидентам обычно внимания не
уделяется, т.к. «злоумышленник не достиг своей
цели»
А может это только подготовка к массированной или точечной
атаке?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 270/431
- 30. Аналогия: успех/неуспех инцидента
Ваш автомобиль пытались
вскрыть, но неудачно…
Оставите ли вы это без внимания
или, как минимум, задумаетесь о
защите автомобиля?
А если неудачных попыток было
больше одной?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 271/431
- 31. Время работы
66% CSIRT функционируют только в рабочее время
Если CSIRT централизованная, то она должна учитывать
разные часовые пояса, в которых находятся дочерние
предприятия и офисы
34% CSIRT функционируют и за пределами
рабочего времени
24% CSIRT предлагают режим 24х7х365
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 272/431
- 32. Откуда обычно приходит сигнал
тревоги?
Электронная почта – 93%
Телефон – 79%
Отчеты системы обнаружения атак – 69%
Неожиданно (на улице) – 41%
Форма отчета об инциденте – 17%
Web-сайт – 38%
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 273/431
- 33. Трекинг коммуникаций
Используйте трекинг всех коммуникаций
Это облегчает отслеживание всей информации
Для разных типов коммуникаций используйте разные
префиксы
Например, CSIRT#, VU#, INFO# для разных функций
Уникальная нумерация
Она не должна повторяться даже по прошествии времени
Например, в DFN-CERT за 4 года работы было использовано
только 600 номеров из диапазона от 1 до 65535
Например, CERT/CC использует ДСЧ для генерации номеров
Например, в AusCERT использовалась схема YYMMDDHHMM
по дате «открытия инцидента» (не раскройте чужие секреты)
Уникальными должны быть номера при общении с иными CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 274/431
- 34. Жизненный цикл трекингового номера
Обычно трекинговый номер присваивается
информации и не меняется до завершения процесса
обработки
Но бывают исключения из правил
Информация неправильно категоризирована
Например, событие не новое, а связано с уже известными
Информация неправильно помечена
Например, информация пришла с неправильным номером
Событие открыто повторно
Поступила новая информация к закрытому событию
Событие объединяется
Поступила новая информация, позволяющая объединить его
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 275/431
- 35. Формы отчетности
Заранее подготовленные формы отчетности
облегчают работу CSIRT
В ряде случаев стоит предусмотреть возможность свободного
описания инцидента
Они должны максимально четкими, понятными,
сжатыми и доступными для всех клиентов
Обычно в формы включают следующие данные
Контактная информация
Имена и адреса узлов, участвующих в инциденте
Природа активности
Описание активности и сопутствующей информации (часовые
пояса, журналы регистрации. артефакты…)
Сопутствующие трекинговые номера
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 276/431
- 36. Пример содержания отчета об
инциденте
Дата и время отчета
Время начала и длительность инцидента
Включая часовой пояс (временную зону)
Имя атакованной системы
Местоположение атакованной системы
Тип атакованной системы
ОС и IP-адрес атакованной системы
Контактная информация персоны, зафиксировавшей
инцидент
Контактная информация специалиста по ИБ
Описание и возможные последствия инцидента
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 277/431
- 37. Пример содержания отчета об
инциденте (продолжение)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 278/431
- 38. Пример содержания отчета об
инциденте (окончание)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 279/431
- 39. Об отчетности
Форма отчета может быть представлена как в виде
отдельного документа/файла, так и в виде Web-
формы на портале службы ИБ/ИТ
В зависимости от реализации внутренних процессов
CSIRT данная форма может быть расширена и
внутренними полями, необходимыми для работы
CSIRT
Трекинговый номер
Ущерб от инцидента
Меры по борьбе с инцидентом
Финальные рекомендации
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 280/431
- 41. Как фиксируются инциденты?
СУБД – 76%
Remedy HelpDesk и Action Request System
MS SQL, Oracle, MS Access, Lotus Notes
Бумажные отчеты – 10%
СУБД и бумажные отчеты – 28%
Кастомизированные СУБД – 45%
Специализированное ПО – 28%
Request Tracker for Incident Response (RTIR) у JANET
Vorfallsbearbeitungssystem у DFN-CERT
CERIAS Incident Response Database
Freeman Incident Tracking System от University of Chicago
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 282/431
- 42. ПО для трекинга инцидентов
Модификация первичной категории инцидента
Доступ ко всем связанным e-mail
Реагирование на запрос по e-mail
Связывание действий с инцидентом
Поиск, сортировка, корреляция по различным полям
Генерация отчетов и статистики
Анализ загрузки технических экспертов
Открытие/закрытие/эскалация/смена статуса отчета
Система напоминаний
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 283/431
- 43. Звонят! Кто это? Вы уверены?
Вам может звонить как атакуемый, так и атакующий,
желающий узнать, что вы знаете об инциденте и на
какой стадии расследования он находится
Общие правила
Источник сообщения вам известен и зарегистрирован?
Информация поступает через стандартный канал?
Есть что-то странное в поступившей информации?
Не уверены? Проверьте еще раз!
Для электронной почты
Адрес e-mail вам известен?
ЭЦП под сообщением корректна?
Заголовок электронной почты корректен?
InfoSecurity 2008 Домен отправителя доверенный? (через senderbase.org)
© 2008 Cisco Systems, Inc. All rights reserved. 284/431
- 44. Звонят! Кто это? Вы уверены? (окончание)
Вам может звонить как атакуемый, так и атакующий,
желающий узнать, что вы знаете об инциденте и на
какой стадии расследования он находится
Для Web-формы
Проверьте сертификат браузера при подключении по HTTPS
IP-адрес доверенный (через senderbase.org)
При подозрениях не кликайте на ссылках и не скачивайте ПО
Для телефонного звонка
Вы узнали звонящего по имени или голосу?
Уточните информацию, которую звонящий должен знать
Перезвоните по телефону, связанному с данным контактом
При подозрении говорите только о публично доступной
информации
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 285/431
- 45. Функция
«Обработка»
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 286/431
- 46. Функция «Обработка»
Функция «Обработка» обеспечивает поддержку и
руководство в отношении подозрительных или
подтвержденных инцидентов, угроз и атак
Включает в себя различные мероприятия и операции
Рассмотрение отчетов от внешних контактов и внутренних
клиентов позволяет понять, что произошло
Анализ включает в себя обзор доказательств и артефактов,
чтобы определить, кто вовлечен в инцидент / с кем нужно
контактировать, или какая помощь запрошена / нужна
Определение необходимых мер реагирования
Уведомление пострадавших и(или) связь с автором отчета
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 287/431
- 47. Жизненный цикл обработки инцидента
До получения необходимой информации или
результата определенных действий инцидент может
находиться в состоянии «ожидание»
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 288/431
- 48. Взгляд сверху
Прежде чем заниматься глубоким анализом
необходимо составить для себя картину с «высоты
птичьего полета»
Тенденции
Статистика
Тематические исследования
Позволяет лучше разбираться в будущих инцидентах
и выявить накопленный опыт
Неплохой рекомендацией будет создание баз знаний
Получить сложно из-за разрозненности информации
Необходимы регулярные встречи членов команды
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 289/431
- 49. Анализ
От качества проведенного анализа зависит
эффективность CSIRT
Первичный анализ проводится на этапе
категоризации
Пример: приемное отделение в больнице (или скорая помощь)
осуществляет первичный осмотр, а последующий анализ
(ЭКГ, анализ крови и т.п.) осуществляется специалистами
соответствующих отделений
2 типа анализа - анализ взаимоотношений между
инцидентами и
Анализ непосредственно инцидента
Анализ артефактов (может быть отдельным сервисом)
Анализ окружения, в котором произошел инцидент и т.п.
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 290/431
- 50. Глубина анализа
Фактор глубины анализа Комментарии
Миссия команды и ее Вы занимаетесь защитой или только
технические возможности координацией? Если у вас нет технических
возможностей, то и глубина анализа будет
небольшой.
Приоритет инцидента При нехватке ресурсов анализу подлежат
только высокоприоритетные инциденты.
Шанс повторения Ждете повторения? Подготовьтесь к нему,
проведя глубокий анализ инцидента.
Возможность Если вы столкнулись с чем-то новым, то
идентификации новой изучите это.
активности
Поддержка от клиентов Если клиент только просигналил о
подозрительной активности, но не смог
дать детали, то и глубокого анализа не
получится.
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 291/431
- 51. Если ресурсов не хватает?
Анализ логов
Учитывайте, что почти каждая система генерит свой
собственный лог
Анализ артефактов
Вредоносного ПО, файловой системы и программного
окружения
Обеспечение рекомендаций по борьбе с
инцидентами или предоставление средств борьбы
(например, патчей)
Активное разрешение проблемы
Анализ (аудит) безопасности узлов
Анализ исходного кода
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 292/431
- 52. «Нехорошие» признаки
Неоднократные повторы однотипных негативных
событий
Выход из строя на долгое время информационной
системы
Возникновение негативного события в важные
моменты
Сдача годового отчета, электронные торги
Рост сетевой активности в нерабочее время
Предложение помощи от третьего лица
одновременно с обнаружением негативного события
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 293/431
- 53. Почему в Интернете сложно найти
злоумышленника?
Интернет не был разработан для отслеживания
пользователей
Адрес источника в IP-пакете может быть легко
подменен
Современные угрозы давно превысили параметры,
заложенные при создании Интернет
Экспертиза среднестатистического администратора
продолжает падать
Атаки часто пересекают границы государств и
юрисдикций
При существующих объемах трафика нельзя его
долго хранить для будущих расследований
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 294/431
- 54. Почему в Интернете сложно найти
злоумышленника? (окончание)
Туннелирование и анонимизация скрывает
злоумышленника
Проксирование позволяет выдать себя за другого
пользователя
Динамическая адресация
Отсутствие адекватных механизмов защиты для
современного Интернета
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 295/431
- 55. Отслеживание: основные положения
Если префикс источника не фальшивый:
Таблица маршрутизации
Реестр Интернет-маршрутизации (IRR) — whois
Непосредственный выход на сеть
Если префикс источника фальшивый:
Отследите маршрут потока пакетов по сети
Найдите входящее соединение
Следующий оператор связи должен продолжать поиск
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 296/431
- 56. Отслеживание по подмененным
адресам IPv4
Методы поиска следов:
Примените временные ACL с протоколированием записей и
изучите журнал (Log) (подобно классификации)
Запросите таблицу потоков NetFlow’s
Show ip cache-flow при использовании NetFlow
Команда IP source tracker
Метод поиска следов по обратному распространению
Отслеживание с использованием телеметрии NetFlow
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 297/431
- 57. Документирование инцидента
Информация для контроля Комментарии
Локальный номер инцидента
Глобальный номер
инцидента
Ключевые слова и категория Информация, помогающая установить
связь с другими инцидентами
Контактная информация Контакты всех лиц, задействованных в
инциденте
Политика Какие нормативы регулируют данный
инцидент
Приоритет Приоритет может поменяться в рамках
жизненного цикла инцидента
Другие материалы Местоположение материалов, связанных
с инцидентом
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 298/431
- 58. Документирование инцидента (окончание)
Информация для контроля Комментарии
История инцидента Хроника всех коммуникаций по данному
инциденту (e-mail, телефон, факсы…)
Статус Список прошедших и будущих действий,
каждое из которых связано с конкретным
членом CSIRT
Действия
Координатор
Показатели качества
Текстовое описание Свободное описание информации, не
попавшей в предыдущие поля
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 299/431
- 59. Функция
«Уведомления»
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 300/431
- 60. Функция «Уведомление»
Функция «Уведомление» обеспечивает создание
информации для клиентов о текущих угрозах и шагах,
предпринимаемых для борьбы с ними, а также о
тенденциях в области ИБ
Может быть представлена и как отдельная служба
CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 301/431
- 61. Формы уведомлений
Heads-up
Краткое сообщение, когда дополнительной информации нет
Alert
Краткосрочное сообщение об атаке, уязвимостей,
проникновении
Advisory
Среднесрочное или долгосрочное описание проблемы с
кратким описанием путей решения
FYI
Облегченная версия advisory
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 302/431
- 62. Формы уведомлений
Руководство
Пошаговая процедура действий, устраняющих проблему
Техническая процедура
Руководство с большим количеством технических деталей
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 303/431
- 63. Каналы распространения
Чувствительность информации
Защищенный канал или нет для данной информации?
Аудитория для анонса
Этот канал подходит для данной информации?
Скорость
Этот канал обеспечивает быструю доставку информации?
Цена
Ожидаемые результаты распространения информации стоят
усилий (деньги, время, люди)?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 304/431
- 64. Функция
«Обратная связь»
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 305/431
- 65. Функция «Обратная связь»
Функция «Обратная связь» напрямую не связана с
конкретными инцидентами
Обычно предоставляется
По явному запросу (например, от СМИ)
На регулярной основе (например, в годовых отчетах)
По собственной инициативе (например, с целью повышения
осведомленности СМИ)
Часто представляется также в форме FAQ или
является интерфейсом для взаимодействия со СМИ
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 306/431
- 66. Разбор последствий
Разбор последствий - анализ события
Шаг, который часто забывают
Что работало? Что не работало? Что можно улучшить?
Что может быть сделано для защиты от повторения
подобных происшествий?
Что вы можете сделать, чтобы в будущем отражение атаки
прошло более быстро и менее болезненно?
Пример
Была ли DDоS-атака, с которой Вы только что справились,
действительно реальной угрозой?
Или это было прикрытие для чего-то другого, что только что
случилось?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 307/431
- 67. Как общаться с
внешним миром?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 308/431
- 68. О чем стоит подумать при общении с
внешним миром?
Сообщать об инциденте или нет?
Кому сообщать?
Кто должен сообщать?
Что и в каком объеме сообщать?
Какова процедура взаимодействия с прессой?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 309/431
- 69. Почему это важно
Ущерб от инцидента обычно распадается на 3
основные составляющие
Финансовый урон
Уголовное или административное преследование
Удар по репутации и доверию
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 310/431
- 70. Хороший пример: SANS
Сайт института SANS был взломан в середине 2001
года
Для компании, занимающейся безопасностью, хуже
ситуации не придумаешь
Грамотная работа с прессой позволила
минимизировать ущерб
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 311/431
- 71. Плохой пример: ChoicePoint
ChoicePoint – Зима 2004/2005
Падение курса
Кража отчета с 145,000 акций
именами клиентов, номеров
кредитных карт и т.д.
Воздействие на бизнес
Администрация штата Нью-
Йорка отказалась от контракта
с ChoicePoint на сумму 800
миллионов долларов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 312/431
- 72. Когда не надо сообщать
Небольшая малоизвестная компания
Ущерб не коснулся клиентов и иных третьих лиц
Вы на 100% уверены, что об этом никто не узнает
Когда у вас нет доказательств
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 313/431
- 73. Сообщать или нет?
В ряде стран это является требованием
законодательства
США
Россия – 152-ФЗ
Высока вероятность, что об этом все равно станет
известно из других источников
Хакерские сайты
Информационные агентства
Собственные сотрудники
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 314/431
- 74. К чему это ведет?
Пользователей не вынуждают додумывать «что»,
«когда», «как» и т.д.
Среди пользователей есть и акционеры
Пресса благосклонно относится к признанию своих
ошибок
При правильно построенном процессе
Может привести к росту лояльности клиентов
Они видят, что их не обманывают
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 315/431
- 75. Кому сообщать?
Акционеры
Сотрудники
Клиенты
Регулирующие и правоохранительные органы
Разным аудиториям нужно предоставить разный
объем информации
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 316/431
- 76. Члены CIRT / SIRT / CSIRT
Ядро CSIRT
Департамент ИТ
Отдел информационной
безопасности
Служба безопасности
Юридический департамент
Вспомогательные службы
Public Information Officer / PR
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 317/431
- 77. Кто взаимодействует с внешним
миром
Только не CSIRT
Служба безопасности – только с
регулирующими органами
Юридический департамент –
опосредованно с прессой
Причины
CSIRT и так занята основной
работой
Необходимо умение общаться с
неквалифицированной аудиторией
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 318/431
- 78. Public Information Officer / PR
Единая точка контакта с прессой
Получение совета у юридического департамента
перед любым интервью или публикацией пресс-
релиза
Получение разрешения у CSIRT на то, что пресс-
релиз или интервью не содержат информации,
которая может помешать расследованию
Сообщение всем сотрудникам, что все контакты по
поводу инцидента должны вестись только через PIO /
PR
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 319/431
- 79. Юридический департамент
Выступление в качестве
спикера или
интервьюируемого
Проверка любого пресс-
релиза перед передачей в
прессу
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 320/431
- 80. Что обычно спрашивают?
Что произошло?
Каков ущерб/результат?
Что было причиной?
Это может повториться?
Что надо сделать (что вы
сделаете), чтобы избежать
этого впредь?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 321/431
- 81. Как готовиться к интервью?
Узнайте как можно
раньше об интервью
Определитесь с
основными тезисами
Поставьте себя на место
интервьюера,
предугадайте «сложные»
вопросы и подготовьте на
них ответы
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 322/431
- 82. Как проводить интервью?
Установите
взаимопонимание с
интервьюером
Обеспечьте простые
объяснения сложных
технических подробностей
Ведите интервьюера к
поставленной вами цели и
не давайте вести себя
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 323/431
- 83. Как проводить интервью? (продолжение)
Старайтесь уйти от темы
виноватого или будьте
скупы в ответе на такие
вопросы
Обещайте все исправить в
кратчайшие сроки
И не удивляйтесь, если в
обещанное время вам
позвонят и спросят: «Ну как?»
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 324/431
- 84. Как проводить интервью? (продолжение)
Используйте
предложения, короткие
«как выстрел»
Не знаете что-то, так и
скажите и пообещайте
найти ответ
И не забудьте найти его
Не запугивайте и не
угрожайте
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 325/431
- 85. Как проводить интервью? (продолжение)
Устраните весь негатив
А еще лучше превратите его
в позитив
Будьте дипломатичны и
всегда говорите правду
Оденьтесь
соответственно
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 326/431
- 86. Как проводить интервью? (окончание)
Избегайте психологического
дискомфорта – не виляйте
взглядом, не сутультесь…
Обязательно попросите
прислать готовый материал
для просмотра
Не забывайте, что вы
интервьюируемый – вы
можете прекратить интервью
в любое время
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 327/431