Представим, компания А стала жертвой атаки шифровальщика. Как и у многих, у А бекапы неполны и не протестированы, и восстановление бизнес-процессов является проблемой. Более того, менеджмент понял, что мы интересны атакующим, и требует чёткого плана действий. Как извлечь максимум для укрепления функции ИБ в такой ситуации?
ОПЕРАЦИОННЫЙ УРОВЕНЬ (РЕАГИРОВАНИЕ)
На операционном и самом срочном уровне нам нужно понять, в какую часть сети проникли атакующие, и вернуть себе контроль над сетью. На практике это означает массовые сбросы паролей по всем учётным записям, перезаливы рабочих станций и ревью конфигурации межсетевого экрана. Довольно часто нам придётся де-факто перестроить сеть практически с нуля, так как в силу нулевых стандартов логирования качественно понять, что произошло, невозможно.
В идеале нам нужно понять:
Организации покрупнее готовятся реагировать (и находить угрозы в сети) заранее – разрабатывая плейбуки и ранбуки. Остальные могут воспользоваться классической шпаргалкой от команды быстрого реагирования глобального банка с французскими корнями Societe Generale, благо она есть и на русском.
Кстати, важной предпосылкой для успешного реагирования будет эффективная организация, в частности, устав команды реагирования, где указаны полномочия команды реагирования. Обычно это право получать информацию, право предпринимать определённые действия или право отдавать ИТ-команды на реагирование. Устав может быть и на 1–2 страницы, но его отсутствие в критический момент плачевно скажется на эффективности команды реагирования.
ТАКТИЧЕСКИЙ УРОВЕНЬ
На тактическом уровне наша задача — не допустить повторения инцидента по уже понятному нам вектору атаки. Если в процессе реагирования стало понятно, что не внедрены базовые встроенные контроли безопасности – нет харденинга, то нужно харденинг реализовать. Как минимум разделение на уровне сети, парольные политики, политики безопасности используемых сервисов – Windows, email и др.
СТРАТЕГИЧЕСКИЙ УРОВЕНЬ
На стратегическом уровне мы используем ситуацию, чтобы выявить бизнес-процессы организации, найти их владельцев, провести с ними интервью, дабы понять цепочку создания ценности организации и требования владельцев процессов к информационной безопасности (например, в разрезе конфиденциальности, целостности и доступности). Конечным результатом может стать securityblueprintвместе с приоритезированным набором проектов со сроками и оценками стоимости реализации.
СЕ ЛЯ ВИ
Инциденты случаются, но наша задача — не только отразить атаку, но и воспользоваться ситуацией для того, чтобы наладить диалог по информационной безопасности в организации и трансформировать информационную безопасность в более гибкую, интегрированную и устойчивую функцию.
.jpg)
