BIS Journal №4(43)/2021

26 января, 2022

Как стать сильнее благодаря атаке. Заметки безопасника

Представим, компания А стала жертвой атаки шифровальщика. Как и у многих, у А бекапы неполны и не протестированы, и восстановление бизнес-процессов является проблемой. Более того, менеджмент понял, что мы интересны атакующим, и требует чёткого плана действий. Как извлечь максимум для укрепления функции ИБ в такой ситуации?

 

ОПЕРАЦИОННЫЙ УРОВЕНЬ (РЕАГИРОВАНИЕ)

На операционном и самом срочном уровне нам нужно понять, в какую часть сети проникли атакующие, и вернуть себе контроль над сетью. На практике это означает массовые сбросы паролей по всем учётным записям, перезаливы рабочих станций и ревью конфигурации межсетевого экрана. Довольно часто нам придётся де-факто перестроить сеть практически с нуля, так как в силу нулевых стандартов логирования качественно понять, что произошло, невозможно.

В идеале нам нужно понять:

  • кто нас атаковал и почему;
  • каков был вектор атаки и цепь атаки;
  • какая часть сети поражена;
  • как мы будем реагировать и у кого авторизовать реагирование.

Организации покрупнее готовятся реагировать (и находить угрозы в сети) заранее – разрабатывая плейбуки и ранбуки. Остальные могут воспользоваться классической шпаргалкой от команды быстрого реагирования глобального банка с французскими корнями Societe Generale, благо она есть и на русском.

Кстати, важной предпосылкой для успешного реагирования будет эффективная организация, в частности, устав команды реагирования, где указаны полномочия команды реагирования. Обычно это право получать информацию, право предпринимать определённые действия или право отдавать ИТ-команды на реагирование. Устав может быть и на 1–2 страницы, но его отсутствие в критический момент плачевно скажется на эффективности команды реагирования.

 

ТАКТИЧЕСКИЙ УРОВЕНЬ

На тактическом уровне наша задача — не допустить повторения инцидента по уже понятному нам вектору атаки. Если в процессе реагирования стало понятно, что не внедрены базовые встроенные контроли безопасности – нет харденинга, то нужно харденинг реализовать. Как минимум разделение на уровне сети, парольные политики, политики безопасности используемых сервисов – Windows, email и др.

 

СТРАТЕГИЧЕСКИЙ УРОВЕНЬ

На стратегическом уровне мы используем ситуацию, чтобы выявить бизнес-процессы организации, найти их владельцев, провести с ними интервью, дабы понять цепочку создания ценности организации и требования владельцев процессов к информационной безопасности (например, в разрезе конфиденциальности, целостности и доступности). Конечным результатом может стать securityblueprintвместе с приоритезированным набором проектов со сроками и оценками стоимости реализации.

 

СЕ ЛЯ ВИ

Инциденты случаются, но наша задача — не только отразить атаку, но и воспользоваться ситуацией для того, чтобы наладить диалог по информационной безопасности в организации и трансформировать информационную безопасность в более гибкую, интегрированную и устойчивую функцию.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

21.05.2024
Запись звонков в режиме реального времени граничит с нарушением неприкосновенности частной жизни
21.05.2024
Банк России рекомендовал финорганизациям усилить контроль за своими платёжными агентами
21.05.2024
Обязательное импортозамещение в организациях затормозилось
21.05.2024
Указания ЦБ РФ свидетельствуют о том, что он контролирует процессы импортозамещения
21.05.2024
Минэк рассказал, как нужно защищать отечественные ИТ-решения
21.05.2024
В Минцифры рассказали о планах на антифрод-направлении
21.05.2024
В России арестовали активы нескольких европейских банков
20.05.2024
«Инициативно на связь ЦБ не выходит». Безопасник — о скамерской нетленке
20.05.2024
В «Тинькофф Банке» рассказали о новой схеме обмана пожилых людей
20.05.2024
Учёные изучили сетевое воздержание на примере президентских выборов

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных