BIS Journal №4(43)/2021

26 января, 2022

Как стать сильнее благодаря атаке. Заметки безопасника

Представим, компания А стала жертвой атаки шифровальщика. Как и у многих, у А бекапы неполны и не протестированы, и восстановление бизнес-процессов является проблемой. Более того, менеджмент понял, что мы интересны атакующим, и требует чёткого плана действий. Как извлечь максимум для укрепления функции ИБ в такой ситуации?

 

ОПЕРАЦИОННЫЙ УРОВЕНЬ (РЕАГИРОВАНИЕ)

На операционном и самом срочном уровне нам нужно понять, в какую часть сети проникли атакующие, и вернуть себе контроль над сетью. На практике это означает массовые сбросы паролей по всем учётным записям, перезаливы рабочих станций и ревью конфигурации межсетевого экрана. Довольно часто нам придётся де-факто перестроить сеть практически с нуля, так как в силу нулевых стандартов логирования качественно понять, что произошло, невозможно.

В идеале нам нужно понять:

  • кто нас атаковал и почему;
  • каков был вектор атаки и цепь атаки;
  • какая часть сети поражена;
  • как мы будем реагировать и у кого авторизовать реагирование.

Организации покрупнее готовятся реагировать (и находить угрозы в сети) заранее – разрабатывая плейбуки и ранбуки. Остальные могут воспользоваться классической шпаргалкой от команды быстрого реагирования глобального банка с французскими корнями Societe Generale, благо она есть и на русском.

Кстати, важной предпосылкой для успешного реагирования будет эффективная организация, в частности, устав команды реагирования, где указаны полномочия команды реагирования. Обычно это право получать информацию, право предпринимать определённые действия или право отдавать ИТ-команды на реагирование. Устав может быть и на 1–2 страницы, но его отсутствие в критический момент плачевно скажется на эффективности команды реагирования.

 

ТАКТИЧЕСКИЙ УРОВЕНЬ

На тактическом уровне наша задача — не допустить повторения инцидента по уже понятному нам вектору атаки. Если в процессе реагирования стало понятно, что не внедрены базовые встроенные контроли безопасности – нет харденинга, то нужно харденинг реализовать. Как минимум разделение на уровне сети, парольные политики, политики безопасности используемых сервисов – Windows, email и др.

 

СТРАТЕГИЧЕСКИЙ УРОВЕНЬ

На стратегическом уровне мы используем ситуацию, чтобы выявить бизнес-процессы организации, найти их владельцев, провести с ними интервью, дабы понять цепочку создания ценности организации и требования владельцев процессов к информационной безопасности (например, в разрезе конфиденциальности, целостности и доступности). Конечным результатом может стать securityblueprintвместе с приоритезированным набором проектов со сроками и оценками стоимости реализации.

 

СЕ ЛЯ ВИ

Инциденты случаются, но наша задача — не только отразить атаку, но и воспользоваться ситуацией для того, чтобы наладить диалог по информационной безопасности в организации и трансформировать информационную безопасность в более гибкую, интегрированную и устойчивую функцию.

Смотрите также