BIS Journal №4(43)/2021

26 января, 2022

Как стать сильнее благодаря атаке. Заметки безопасника

Представим, компания А стала жертвой атаки шифровальщика. Как и у многих, у А бекапы неполны и не протестированы, и восстановление бизнес-процессов является проблемой. Более того, менеджмент понял, что мы интересны атакующим, и требует чёткого плана действий. Как извлечь максимум для укрепления функции ИБ в такой ситуации?

 

ОПЕРАЦИОННЫЙ УРОВЕНЬ (РЕАГИРОВАНИЕ)

На операционном и самом срочном уровне нам нужно понять, в какую часть сети проникли атакующие, и вернуть себе контроль над сетью. На практике это означает массовые сбросы паролей по всем учётным записям, перезаливы рабочих станций и ревью конфигурации межсетевого экрана. Довольно часто нам придётся де-факто перестроить сеть практически с нуля, так как в силу нулевых стандартов логирования качественно понять, что произошло, невозможно.

В идеале нам нужно понять:

  • кто нас атаковал и почему;
  • каков был вектор атаки и цепь атаки;
  • какая часть сети поражена;
  • как мы будем реагировать и у кого авторизовать реагирование.

Организации покрупнее готовятся реагировать (и находить угрозы в сети) заранее – разрабатывая плейбуки и ранбуки. Остальные могут воспользоваться классической шпаргалкой от команды быстрого реагирования глобального банка с французскими корнями Societe Generale, благо она есть и на русском.

Кстати, важной предпосылкой для успешного реагирования будет эффективная организация, в частности, устав команды реагирования, где указаны полномочия команды реагирования. Обычно это право получать информацию, право предпринимать определённые действия или право отдавать ИТ-команды на реагирование. Устав может быть и на 1–2 страницы, но его отсутствие в критический момент плачевно скажется на эффективности команды реагирования.

 

ТАКТИЧЕСКИЙ УРОВЕНЬ

На тактическом уровне наша задача — не допустить повторения инцидента по уже понятному нам вектору атаки. Если в процессе реагирования стало понятно, что не внедрены базовые встроенные контроли безопасности – нет харденинга, то нужно харденинг реализовать. Как минимум разделение на уровне сети, парольные политики, политики безопасности используемых сервисов – Windows, email и др.

 

СТРАТЕГИЧЕСКИЙ УРОВЕНЬ

На стратегическом уровне мы используем ситуацию, чтобы выявить бизнес-процессы организации, найти их владельцев, провести с ними интервью, дабы понять цепочку создания ценности организации и требования владельцев процессов к информационной безопасности (например, в разрезе конфиденциальности, целостности и доступности). Конечным результатом может стать securityblueprintвместе с приоритезированным набором проектов со сроками и оценками стоимости реализации.

 

СЕ ЛЯ ВИ

Инциденты случаются, но наша задача — не только отразить атаку, но и воспользоваться ситуацией для того, чтобы наладить диалог по информационной безопасности в организации и трансформировать информационную безопасность в более гибкую, интегрированную и устойчивую функцию.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных