Простые шаги в верном направлении. Как правильно организовать и провести расследование инцидента

Простые шаги в верном направлении. Как правильно организовать и провести расследование инцидента

Атаки на информационные ресурсы Российской Федерации могут осуществляться не только извне периметра, но и в самой компании. В этой статье рассмотрим, как расследовать внутренние инциденты информационной безопасности (ИБ) и передавать результаты в ГосСОПКА.

Опишем на примере двух типов популярных инцидентов, абсолютно выдуманных, в которых все совпадения неслучайны. Не стремимся соблюсти хронологию один-в-один, а показываем последовательность действий и результаты, которых хотим добиться.

Предполагаем, что инциденты происходили в среднестатистической организации — субъекте критической информационной инфраструктуры (КИИ), в которой есть ИБ- и ИТ-подразделения, юридическая служба, несколько сотен сотрудников. В организации уже используются инструменты ИТ и внутренней ИБ (например, IRM-систем Staffcop, сервис двухфакторной аутентификации ID от Контур.Эгиды, Security Information and Event Management (SIEM) система), но еще нет Security Operations Center (SOC).

 
Базовая подготовка к расследованию и реагированию

Инциденты проще расследовать, если уже реализована система оповещений о нарушении политик ИТ и ИБ, и сами политики созданы и регулярно обновляются.

Поэтому важно на старте прописать самые главные блоки политик, например, «контроль над передачей критически важной и ДСП (для служебного пользования) информации по каналам передачи» и «аномальная файловая и сетевая активность приложений». В статье ниже мы рассмотрим два инцидента — для обнаружения каждого поможет своя политика.

Политики можно создавать в системах расследования инцидентов, например, Staffcop. Как пример, нужны политики, которые будут анализировать контент на наличие каких-то критически важных слов, терминов, номенклатур. Если на предприятии разрабатывают приборы БСЛ, то создадим поиск по словарю в содержимом перехваченных файлов. Для поиска используем простейшее регулярное выражение «БСЛ*ПЗК».

Для обнаружения аномальной активности можно использовать встроенные в SIEM политики или создать самостоятельно, если их нет. Чтобы политики работали верно, нужно в течение месяца изучить «нормальную» активность на 10% компьютеров, выбранных в случайном порядке и зафиксировать количество файловых и сетевых операций. Затем убрать выходные дни, усреднить значения и разделить пропорционально до одного дня, добавить 30% для потенциала роста. Исходя из полученных данных, создать политики реагирования в случае превышения этих значений.

Затем нужно провести проверку на количество срабатываний. 

Если срабатываний нет, мы, скорее всего, завысили планку, если срабатываний больше десяти, но среди них нет инцидентов, то мы занизили планку.

Инцидент №1

Допустим, что офицер ИБ получает уведомление о том, что на одной из рабочих станций на подключенную флэшку был записан файл, содержащий упоминание о «БСЛ-110-ПЗК».

Шаг 1. Определение атрибутов инцидента

Для этого нужно зафиксировать время инцидента, на каком рабочем компьютере он произошел, кто из сотрудников работал за компьютером, номер съемного накопителя информации, название скопированного файла. Намного удобнее, когда вся подобная информация есть в одном событии, в одной системе, например, в линзе событий Staffcop.

Шаг 2. Подтверждение личности субъекта

Дальше нам нужно подтвердить личность субъекта доступа, осуществившего действия, породившие инцидент. Для этого можно воспользоваться журналом событий из системы двухфакторной аутентификации. Такая система даст точное подтверждение тому, что на компьютере работал определенный сотрудник. Без этого подтверждения доказать причастность сложнее — можно сослаться на то, что кто-то украл, подсмотрел, подобрал пароль.

 
Шаг 3. Истребование объяснений

Для этого нужно зайти в кабинет, где находится персональный компьютер (ПК), с которого зафиксирована утечка информации, сообщить всем присутствующим, что произошел инцидент, запретить покидать помещение и потребовать предъявить все имеющиеся внешние накопители информации. В результате этого у субъекта инцидента изымают флеш-накопитель и просят написать объяснительную об инциденте с записью информации на неразрешенный внешний носитель.

 
Шаг 4. Сбор артефактов

Дальше нужно собрать вместе все накопленные артефакты инцидента:

• выгрузки и скрины из журнала ID об аутентификации при логине на рабочий ПК;
• выгрузки и скрины о подключении флэшки и записи файла на флэшку из Staffcop.

Также необходимо запросить артефакты у юридического или кадрового отдела:

• локальные нормативные акты (ЛНА), регламентирующие использование пароля и второго фактора аутентификации;
• документы о внедрении в организации системы автоматизированного сбора и обработки информации об активности на ПК.

 
Шаг 5. Уведомление об инциденте

После этого нужно заявить об инциденте на сайте Национального координационного центра по компьютерным инцидентам (НКЦКИ). Указываем в форме следующие данные:

• Категория. Выбираем «уведомление о компьютерном инциденте».
• Тип. Выбираем подходящий по смыслу. В данном случае это «несанкционированное разглашение информации».
• Затем указываем информацию об объекте КИИ, местоположении, категоризации.
• Если уже обнаружили инцидент и приняли меры, ставим статус реагирования «меры приняты».
• Если случай локальный, то указываем, что привлекать силы ГосСОПКА не нужно.
• В поле «краткое описание события ИБ» указываем «Сотрудник скопировал на внешний носитель информации документ ДСП».
• В поле «Сведения о средстве или способе выявления» описываем использованные в обнаружении и расследовании инструменты.
• В поле «Ограничительный маркер TLP» указываем нужный.
• Указываем влияние на конфиденциальность, целостность и доступность.
• Если инцидент имел какие-то дополнительные последствия вне компании или затронул другие информационные системы (ИС), нужно описать это.
• В поле «утечка ПДн» обязательно отмечаем были ли в содержимом «утекшей» информации персональные данные, даже если это единичная строка.

Что такое TLP

TLP:RED — крайне конфиденциальная информация, только для конечного получателя;

TLP:AMBER — ограниченное распространение внутри организации в рамках доступа получателям;

TLP:GREEN — широкое распространение в пределах сообщества партнерских компаний или нескольких организаций без публикации в любых внешних источниках;

TLP:WHITE — неограниченное распространение, но передача информации не должна нарушать авторские права.

Таким образом, вы провели расследование инцидента и произвели уведомление НКЦКИ.

Инцидент №2

Предположим, что SIEM система или web-консоль Staffcop присылает уведомление об аномальной активности приложений на нескольких ПК. Из описания срабатывания видно, что всплеск файловой активности производит одно приложение. Через какое-то время в кабинет ИБ приходит сотрудник с жалобой «не могу работать за компьютером, потому что все файлы на рабочем столе изменились». И уже становится ясно, что ПК сотрудника зашифрован.

Важно: приведенный порядок действий не является универсальным. Реальные сроки реагирования и восстановления зависят от зрелости процессов и подготовки команды. Стоит заранее разработать собственный план и провести учения.

Шаг 1. Изоляция устройства

Перезагрузка зашифрованного ПК может быть дорогой ошибкой. Так вы уничтожите следы в памяти и можете сломать картину произошедшего. Правильный ход — изолировать машины от сети, не отключая питание. Проще всего вытащить интернет-кабель, отключить Wi-Fi. Это останавливает распространение по сети и сохраняет артефакты, а файлы на локальном компьютере, если вы уже обнаружили шифрование, — уже не спасти.

Шаг 2. Организация штаба реагирования

Один даже очень квалифицированный офицер ИБ такой инцидент не закрывает. Минимальный состав штаба выглядит так:

• Координатор — ведет процесс, ставит приоритеты, держит связь с руководством.
• Офицер ИБ — отвечает за организацию управления рисками ИБ, и как следствие работает с инцидентами. Эксперт в области ИБ.
• Владельцы ключевых систем — отвечают за контекст и восстановление своих ИС.
• Администраторы — контролируют сети, серверы, домены, хранилища по зонам. Являются экспертами в ИТ.
• Юрист — оценивает обязательства по уведомлениям и фиксирует юридически значимые факты.
• PR или маркетинг — готовят внутренние и, при необходимости, внешние информационные сообщения.

Работа строится короткими циклами. В конце каждого — промежуточный итог: что сделано, результаты, что делаем дальше, что мешает или требуется. Все действия заносятся в общий журнал. Важный принцип — восстановление из резервных копий только после локализации и сбора следов, а не вместо них. Иначе вредоносное программное обеспечение (ПО) может вернуться отложенной задачей или сохраненным доступом.

Шаг 3. Действия по плану

Первый этап. Отмечаем границы поражения. Изолируем сегменты сети и отдельные узлы. Блокируем скомпрометированные учетные записи и ключи. Собираем артефакты: логи, снимки, хэши, копии подозрительных файлов. Организуем отдельный защищенный канал связи штаба. Юрист параллельно оценивает, попадают ли произошедшие события под обязательные уведомления каких-либо регуляторов.

Второй этап. Переходим к стабилизации. Поднимаем критичные процессы — из проверенных копий, с проверкой «чистоты» перед восстановлением. По плану меняем пароли и ключи, убираем лишние права, включаем дополнительный мониторинг на повторное проникновение. Внутреннее сообщение — коротко и по делу: что случилось, что уже сделано, что временно недоступно, куда обращаться, когда будет следующий апдейт.

Третий этап. Контрольная проверка сервисов и телеметрии. Закрываем «дыры», чтобы исключить повтор. Готовим отчет руководству: что произошло, какие меры приняты, что еще предстоит сделать, каковы предварительные сроки. Назначаем ретроспективу с обязательным списком изменений: кто владелец каждого пункта и когда даст результат.

 
Что еще обязательно учесть

Если инцидент затронул ПДн, оператор обязан оперативно уведомить уполномоченного регулятора (Роскомнадзор). По факту события — в течение 24 часов; в течение 72 часов — о результатах внутреннего расследования. Чтобы уложиться в сроки, заранее проверьте, что у ответственного в организации за обработку и защиту ПДн есть доступ к форме, что шаблоны уведомлений готовы, а маршрут согласования короткий. Нужны факты и четкие формулировки.

Для субъектов КИИ действует свое информирование через НКЦКИ. Пример заполнения формы уведомления разобрали в первом инциденте. В этом случае данных будет заметно больше, но и команда реагирования усилена специалистами.

В кризисной ситуации молчание может навредить больше, чем сам факт инцидента. Внешние и внутренние сообщения делаются при осознанной необходимости, по четкой схеме:

• что произошло — понятным языком, без технических деталей;
• что уже сделано — меры по локализации и защите клиентов;
• что будет дальше — расследование, дополнительные проверки, улучшения;
• как себя могут защитить пользователи — поменять пароль, включить многофакторную аутентификацию (MFA), проверить активность;
• когда ждать обновлений — четкие временные рамки.

Важно: не обещать невозможных сроков, не сваливать всю вину на других и не давать противоречивых комментариев. Скорость, простота объяснений, ответственность, эмпатия и конкретные меры — именно эти элементы позволяют снизить панику и сохранить доверие.

Важное про значимые инциденты

Чтобы реагирование на подобный инцидент не парализовало работу всей организации и не вызвало панику у сотрудников, нужно заранее готовить планы реагирования и проводить учения. Пройдите прямо сейчас небольшой чек-лист для своей организации: 

1. У вас есть актуальный список команды реагирования: координатор, владельцы систем, юрист.
2. В организации понятны роли: кто восстанавливает, кто расследует, кто коммуницирует.
3. Проводится прогон процедур уведомления регуляторов и НКЦКИ.
4. Для системы бэкапов определены и исполняются: частота процесса, места хранения, тест восстановления.
5. Еженедельно происходит проверка учетных записей: отсутствие учеток без паролей, защита через MFA, блокировка учеток уволенных сотрудников.
6. Ведется сбор и хранение логов на критичных узлах.
7. Проводятся «настольные» учения с реальными сценариями и ретро по итогам.

Реагирование — это про дисциплину. Про то, что кто-то заранее проверил бэкапы, включил сбор логов, разложил роли, потренировал команду и удостоверился, что процедуры уведомления работают. Тогда в «час П» организация действует эффективно и не усиливает ущерб: быстро локализует, поднимает критичные сервисы, выполняет обязательства перед государством и клиентами, фиксирует уроки и встраивает их в процессы. Когда этого нет — обучение начинается в самый неподходящий момент и обходится дорого.

Реклама. АО «ПФ "СКБ Контур"», ИНН: 6663003127, Erid: 2Vfnxxcvqvi

Cпециализированный Форум по тематике ГосСОПКА состоится 14–15 апреля 2026 года, в кластере «Ломоносов» (Москва). Организатор — НКЦКИ, оператор — Медиа Группа «Авангард». Участников ожидает всецело практико-ориентированная программа. Регистрация уже открыта.