incident management (part 2)

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 84/431

Как создавать CSIRT?


Аббревиатуры CSIRT

Аббревиатура Расшифровка

CSIRT Computer Security Incident Response Team

CIRC Computer Incident Response Capability или Center

CSIRC Computer Security Incident Response Capability

CIRT Computer Incident Response Team

IRCIncident Response Center or Incident Response

Capability

IRT Incident Response Team

IHT Incident Handling Team

SERT Security Emergency Response Team

SIRT Security Incident Response Team

CERT – зарегистрированная торговая марка CERT/CC


План создания CSIRT

Идентифицируйте стейкхолдеров и участников

Получите поддержку руководства

Разработайте план проекта

Соберите информацию

Идентифицируйте клиентов и задачи, решаемые CSIRT

Определите миссию CSIRT

Получите бюджеты для CSIRT

Выберите сервисы, оказываемые CSIRT

Определите модель, место в иерархии и власть CSIRT

Определите требуемые ресурсы


План создания CSIRT (окончание)

Определите взаимодействия, интерфейсы и точки контакта

Определите роли и ответственность

Документируйте процессы

Разработайте политики и процедуры

Создайте план внедрения

Анонсируйте CSIRT, когда будете готовы

Определите методы оценки эффективности CSIRT

Определите резервный план для каждого элемента CSIRT

Будьте гибки


Ключевые элементы работы CSIRT

Сервисы

Политики

Качество


Идентифицируйте участников и стейкхолдеров


Кто отвечает за управление инцидентами?

Служба CSIRT

Служба безопасности

Кто «поговорит по душам» с внешним нарушителем?

Служба персонала

Кто будет взаимодействовать с сотрудниками, виновными в совершении противоправных действий?

Юридическая служба

Кто проконсультирует в отношении законодательства, связанного с компьютерными преступлениями или с нарушением договорных обязательств?

PR-служба

Кто сообщит журналистам новость об утечке информации о клиентах? Кто уменьшит негативный ущерб от публикаций?


Кто отвечает за управление инцидентами? (окончание)

Служба ИТ

Кто обновит систему и устранит уязвимости?

Служба ИБ

Кто разъяснит причину инцидента и сможет изменить политики безопасности?

Рядовые пользователи

Кто сообщит в CSIRT об инциденте?

Управление инцидентами происходит в масштабах

всего предприятия и с участием различных категорий

и ролей сотрудников


Получите поддержку руководства


Получение поддержки

Найдите executive sponsor

Представьте бизней-кейс с преимуществами создания CSIRT

Получите поддержку руководства в части расходования времени и бюджета

Словесная поддержка мало чего стоит

Донесите идею CSIRT и ее преимуществ до бизнес-руководителей

Пусть руководство от своего имени анонсирует проект по созданию CSIRT и попросит сотрудников компании помочь на этапе планирования и внедрения


Бизнес-план CSIRT

В чем проблема?

ИТ/ИБ становится частью бизнеса компании или ИБ-рискистановятся бизнес-рисками

ИТ-инциденты управляются через Service Desk, а ИБ-инциденты управляются неэффективно и на нерегулярной основе

Требуется более структурированных подход и иные знания, чем в управлении ИТ-инцидентами

Чего вы хотите достичь для клиентов?

Снижение бизнес-рисков

Повышение эффективности управления ИБ

Рост культуры ИБ на предприятии и, как следствие, снижение в долгосрочной перспективе затрат на обеспечение ИБ


Бизнес-план CSIRT (окончание)

Что произойдет, если ничего не делать?

Ущерб, регулятивные риски, удар по репутации

Что произойдет, если вы что-то сделаете?

Предотвращение потерь, снижение рисков

Какова стоимость?

Бюджет на CSIRT (обсуждается далее)

Какова прибыль?

В истинном значении этого слова прибыли может и не быть (если не применять специальные методики)

Рост прозрачности управления, снижение затрат на управление инцидентами и ИБ

Когда вы планируете стартовать и когда завершить?


Стоимость инцидентаВ помощь бизнес-кейсу


Проект ICAMP \ ICAMP II

1998 и 2000 года – проект по анализу стоимости инцидента

Компрометация системы - $1800

Вредоносный код - $980

Отказ в обслуживании - $22350

Атака хакеров - $2100

Загрузка нелицензионного ПО и контента - $340

На базе проекта ICAMP Дэвид Диттрих предложил свой подход к оценке стоимости инцидента

Время и деньги, потраченные на расследование и восстановление системы

Замена ПО, оборудования, информации + новые системы защиты

Потеря продуктивности пользователей


Формы потерь от инцидента

• Простои

• Ухудшение психологического климатаПродуктивность

• Расследование инцидента

• PR-активностьРеагирование

• Замена оборудования

• Повторный ввод информацииЗамена

• Судебные издержки, досудебное урегулирование

• Приостановление деятельностиШтрафы

• Ноу-хау, государственная, коммерческая тайна

• Отток клиентов, обгон со стороны конкурентаКонкуренты

• Гудвил

• Снижение капитализации, курса акцийРепутация


Разработайте план проекта


Управление проектом

Команда проекта

Лидер проекта

Применяйте теорию управления проектами при формированииCSIRT

Требуемые время, люди и деньги

Риски и меры по управлению ими


Соберите информацию


Сбор информации

Что нужно клиентам и иным заинтересованным сторонам?

Какие инциденты уже были на предприятии?

Позволит понять, что может делать существующая CSIRT и что еще понадобится

Как предприятие боролось с инцидентами в прошлом?

Определите окружение, в котором будет строиться CSIRT

Политика, бизнес, культура, юридические вопросы

Определить владельцев данных или интеллектуальной собственности, используемой в работе CSIRT


Сбор информации (окончание)

Какие правила влияют на CSIRT?

Открытые, закрытые, государственные, международные, нормативно-правовые акты…

История создания CSIRT в организации

Кто-нибудь уже пытался создать CSIRT ранее?

Ему это удалось? Почему?

Какие технологии используются на предприятии?

ПО, приложения и аппаратное обеспечение

Домены и IP-адреса, принадлежащие предприятию и его контрагентам


Идентифицируйте клиентов, в интересах которых работает CSIRT и ее задачи


Клиенты CSIRT

Определите для себя, кого будет обслуживать CSIRT?

Определение круга клиентов может зависеть от ряда критериев

Национальный

Географический

Политический

Технический

Организационный

Провайдер связи

Контрактный

Самое простое – определить клиентов для корпоративной CSIRT


Задачи CSIRT

Какие типы сервисов будет оказывать CSIRT своим клиентам?

Как клиенты будут получать сервисы CSIRT?

Есть ли клиенты, которых вы не готовы поддерживать сейчас, но готовы поддерживать в будущем?

Что вы ответите клиентам, которых вы не обслуживаете?


Примеры задач CSIRT

Повышение уровня Интернет-безопасностипредприятия

Неконкретно, но хоть что-то

Помощь предприятию в предотвращении инцидентов ИБ

Рост осведомленности предприятия в области ИБ

Реагирование на инциденты ИБ


Определите миссию CSIRT


Миссия CSIRT

Многие CSIRT выполняют свою работу, не задумываясь о своей миссии и целях или не доводят их до заинтересованных сторон

Результат: бесполезные или напрасные трата усилий и ресурсов (это опасно в условиях инцидента) в попытке

Правильно расставить приоритеты в деятельности

Понять, следует ли реагировать в той или иной ситуации

Определить, не пора ли изменить качество и состав реализуемых сервисов

До определения четких и понятных задач и целей ситуация вряд ли улучшится


Миссия CSIRT

Миссия не должна быть неоднозначной

Миссия должна описываться 3-4 предложениями

Миссия должна поддерживаться руководством и заинтересованными сторонами

ИТ, ИБ или иным, в зависимости от места в структуре организации

Пример: улучшить безопасность информационной инфраструктуры предприятия и минимизировать угрозу нанесения ущерба от вторжений и атак


Миссия JA.NET CSIRT

Обеспечить безопасность JA.NET и ее клиентов в настоящем и будущем за счет:

Взятия на себя инициативы в реализации политики ИБ JA.NET

Координации реагирования

Разработки ресурсов ИБ

Поддержки высокой квалификации

В поддержку этой миссии мы предлагаем координацию управления инцидентами, обучение и консультирование для клиентов JA.NET, и сотрудничество с соответствующими организациями за пределами JA.NET


Миссия SingCERT

Единая доверенная точка контакта

Содействие реагированию на угрозы безопасности

Повысить компетенцию в ИТ-безопасности


Получите бюджеты для CSIRT и определите финансовую модель


Бюджетирование

Что включать в бюджет?

Создание CSIRT

Обучение сотрудников CSIRT (включая конференции)

Тренинги для сотрудников CSIRT

Оборудование и ПО для обнаружения, анализа, отслеживание и реагирования на инциденты

Оборудование для защиты данных, систем и персонала CSIRT

Командировки в места инцидентов

Выбивать бюджеты на создание CSIRT непросто

ИБ считается поддерживающей функцией

Необходимо бизнес обоснование (бизнес-кейс)


Финансовые модели

Какова бизнес-модель существования CSIRT?

Спонсорство руководством (55%)

Опирается на время работы сервиса и количество людей

Экономия на оказании услуг вне рабочего времени

Продажа отдельных сервисов CSIRT клиентам

Для внутренних клиентов бесплатно, а для внешних – за деньги

Оплата подписки

Ежегодная или ежеквартальная подписка на базовые сервисы

Дополнительные сервисы за дополнительную плату

Платные CSIRT – 10%


Выберите сервисы, оказываемые CSIRT


Сервисы CSIRT

Слона лучше есть по частям

Наращивать силу лучше постепенно, по мере зарабатываниядоверия со стороны клиентов

Обычно CSIRT предлагает одну или несколько услуг по обработке инцидентов

Анализ инцидентов

Реагирование на инциденты

Поддержка реагирования на инциденты

Координацию реагирования на инциденты

Расследование инцидентов

Часто CSIRT предлагают и другие сервисы

Самостоятельно или во взаимодействии с другими подразделениями или компаниями


Выбор сервисов

Разные сервисы имеют разные приоритеты

Реактивные обычно более приоритетные чем проактивныеили сервисы повышения качества ИБ

Набор предоставляемых сервисов зависит от

Потребностей предприятия

Наличии других подразделений, связанных с ИБ

Квалификации экспертов CSIRT

Ресурсов для качественного оказания сервисов

Как будут оказываться сервисы?

Время работы, методы взаимодействия, распространение информации и т.п.

Как сервисы будут продвигаться на предприятии?



Источник: Defining Incident Management Processes for CSIRTs: A Work in Progress.

CMU/SEI-2004-TR-015

Реактивные

• Сигналы тревоги и предупреждения (72%)

• Обработка инцидентов (97%)

• Обработка уязвимостей (41%)

• Обработка артефактов (66%)

Проактивные

• Уведомления

• Анализ технологий (55%)

• Аудит и оценка защищенности (28%)

• Конфигурация и поддержка

• Разработка средств защиты (34%)

• Обнаружение вторжений (62%)

• Распространение информации по ИБ

Повышение качества управления ИБ

• Анализ рисков

• Планирование непрерывности бизнеса

• Консалтинг ИБ

• Построение программы осведомленности

• Обучение / тренинги (59%)

• Оценка / сертификация продуктов


Сигналы тревоги и предупреждения

Включает описание и рассылку информации о

Вторжении нарушителей, уязвимости, вредоносной программе, оповещении о лживых сообщениях в области ИБ (что-то чего не было или специально распространяется злоумышленниками) и т.п.

Кратких рекомендациях по решению проблемы

Предупреждение направляется как реакция на текущие проблемы и как руководство по защите и восстановлению систем, подвергшихся нападению

Предупреждение создается собственной CSIRT или иными службами CSIRT (включая производителей средств защиты)

Не забывайте про притчу о пастухе, который кричал: «Волки, волки!» - приоритезируйте предупреждения


Сигналы тревоги и предупреждения


Обработка инцидентов

Включает в себя получение информации об инцидентах, их систематизацию, реагирование на запросы и отчеты, а также анализ инцидентов и событий

Обработка инцидентов может включать в себя

Анализ инцидентов

Сбор доказательств

Отслеживание злоумышленника

Реагирование

Поддержка реагирования (например, для удаленных систем)

Координация реагирования

Далее мы детально рассмотрим этот сервис


Реагирование на инциденты

Реагирование на инциденты может включать в себя

Реализация действий для защиты систем, подвергающихся атаке

Реализация рекомендаций из предупреждений

Поиск активностей злоумышленников в других частях системы/сети

Фильтрация сетевого трафика

Перезагрузка (сборка) системы

Установление обновлений и восстановление системы

Разработка других механизмов реагирования


Обработка уязвимостей

Включает в себя получение информации об аппаратных и программных уязвимостях, анализ их природы, механизма использования и эффекта, разработка стратегии обнаружения и устранения


Обработка артефактов

Включает в себя получение информации об артефактах, попытках разведки и других несанкционированных или вредоносных действиях, анализ их природы, механизма действия и использования, разработка стратегии обнаружения, устранения и будущей защиты

Далее мы детально рассмотрим этот сервис


Уведомления

Включает описание и рассылку информации о новых уязвимостях, вредоносных программах, случаях мошенничества

Предупреждение направляется с целью ознакомления и предвосхищения описываемых событий

Уведомления создаются собственной CSIRT или иными службами CSIRT (включая производителей средств защиты)

Рассылаются обычно узкому кругу заинтересованных лиц – ИТ, ИБ и т.п.


Анализ технологий

Мониторинг и анализ новых тенденций в ИТ и ИБ, методов злоумышленников и регулятивных требований для предсказания будущих угроз

Может включать следующие области для контроля

Социальные и политические угрозы (PEST-анализ)

Развивающиеся технологии

Требования регуляторов

Отраслевые требования

Выход: анонсы, руководство, обзоры и рекомендации, фокусирующиеся на средне- и долгосрочных вопросах ИБ


Аудит и оценка защищенности

Обследование и анализ инфраструктуры ИБ предприятия на соответствие требованиям предприятия, регуляторов или отраслевых стандартов

Может быть реализованы следующим образом

Ручной анализ конфигурации инфраструктуры

Обзор лучших практик путем интервьюирования сотрудников

Сканирование

Тесты на проникновение

Может быть отдано на аутсорсинг


Конфигурация и поддержка

Рекомендации и руководства по защищенной настройке, конфигурации и поддержке приложений и инфраструктуры

CSIRT также может воплощать эти рекомендации в жизнь самостоятельно

При наличии таких полномочий и ресурсов


Разработка средств защиты

Разработка новых мер защиты, требуемых в деятельности CSIRT, например

Патчи

Скрипты или средства защиты, расширяющие существующие СЗИ

Новые плагины для сканеров защищенности

Механизмы автоматического распределения патчей

И т.п.


Пример: Вымпелком

Security Log Tracker (SLOT) – система мониторинга активности пользователей, связанной с доступом к данным, критичным с точки зрения ИБ компании


Обнаружение вторжений

Анализ логов IDS, разработка мер реагирования для каждого события/атаки, включая пороговые значения для сигнатур атак и шаблонов аномальной активности, а также пересылка сигналов тревоги согласно политике эскалации или принятому SLA

Ключевая проблема/задача – анализ огромных объемов данных

Во многих случаях требуется опыт и особая экспертиза

Могут потребоваться средства корреляции событий с целью выявления и снижения числа ложных тревог и минимизации числа успешных инцидентов

Может быть отдано на аутсорсинг (SOC)


Событие 3

Событие может быть обычным, а может быть частью

мультивекторной атаки наряду с другими событиями. В отличии

от внешнего корреляционного анализа, локальная корреляция

позволяет IPS предотвращать атаки до достижения ими своей

цели

Обычные IPS могут пропускать

мультивекторные атаки

IPS, выполняющая локальный

корреляционный анализ событий,

блокирует мультивекторные атаки

Событие 1

Событие 3

Событие 2

Событие 1

Событие 2

Локальная корреляция событийЗащита от мультивекторных атак


Низкий

Средний

Высокий

Рейтинг риска

Время: 0 2 4 6 8 10

Событие A Событие

B

СобытиеC

СобытиеD

A + B + C + D = ЧЕРВЬ!

При анализе учитываются:

• Тип события

• Временной интервал

Встроенные средства корреляционного анализа позволяют адаптироваться к новым угрозам в режиме реального времени без участия пользователя

Meta Event Generator


NIMDA

Если сигнатуры 5081, 5124, 5114, 3215 и 3216 произошли в течение 3-х секунд, то срабатывает мета-событие “Nimda”

SIG 5081

Доступ к cmd.exe

SIG 5124Декодирование

IIS CGI

SIG 5114Юникод-атака

на IIS

SIG 3215Выполнение

..

SIG 3216Сбой

..

Временной интервал = 3 сек.

Meta Event Generator в действии


Рейтинг риска: введение

+

+

+

Узел подвержен атаке?

Насколько вероятна ошибка?

Насколько важен атакуемый ресурс?

Приоритет

события

Точность

сигнатуры

Релевантность

атаки

Стоимость

ресурса

РЕЙТИНГ

РИСКА

Применение вариантов реагирования

Насколько опасна атака?

Оценка каждой угрозы с точки зрения бизнеса до применения вариантов реагирования

Сетевой

контекст

+

Какие данные еще доступны?


Приоритет

событияСтоимость

ресурса-цели

Точность

сигнатурыРелевантность

атаки

RR (Risk Rating)

+ + +

Приоритет сигнала тревоги определяется для каждой сигнатуры

Рейтинг риска: приоритет атаки


Приоритет

события

Стоимость

ресурса-целиТочность


атаки

RR (Risk Rating)

+ + +

Точность сигнатуры определяет уровень доверия к точности и качеству сигнатуры

Рейтинг риска: точность сигнатуры


Приоритет

события

Оценка

ресурса-целиТочность

атакиРелевантность

атаки

RR (Рейтинг риска)

+ + +

Снижение количества ложных срабатыванийпутем активного/пассивного анализа цели

Рейтинг риска: релевантность атаки


Сетевой

сканер

A

Сервер (Windows) Сервер (Linux)

Не уязвим

Фильтровать

Уязвим

Поднять рейтинг риска

Фильтрация событий / реагирования

Консоль для мониторинга:

Нерелевантные события фильтруютсяЗлоумышленник

инициирует IIS-атаку на

выбранные сервера

Дополнительные данные по цели атаки используются для уточнения

варианта реагирования

Контекст атаки анализируется на основе:

пассивного определения ОС

статического задания ОС для управления исключениями

интеграции с CSA

Динамический рейтинг риска базируется на релевантности

Результат. Более точное и эффективное реагирование

Анализ релевантности атаки


Приоритет



Точность

атакиРелевантность

атаки

RR (Risk Rating)

+ + +

Большее понимание уязвимости цели через введение понятия стоимости ресурса

Рейтинг риска: ценность для бизнеса


Приоритет



Точность


атаки

RR (рейтинг риска)

+ + +

Настройка порогов рейтинга риска позволяет автоматизировать варианты реагирования для каждогособытия, а не сигнатуры

Рейтинг риска: итоговый результат


Оценка каждой угрозы после отражения ее Cisco IPS

• Атака с высоким рейтингом риска может

быть отражена автоматически

и не требовать внимания оператора

• Концентрация внимания на вариантах

реагирования на события с высоким

остаточным рискомПример:

• Событие 2: Очень высокий рейтинг риска, но

блокируется не требует внимания, низкий рейтинг

угрозы

• Событие 4: Высокий рейтинг риска, но недостаточный

для блокирования Высокое внимание и рейтинг

угрозы

Результат. Рост эффективности реагирования и продуктивности

операций по автоматической приоритезации рисков

Политика IPS:RR > 85 Заблокировать IP

0

10

20

30

40

50

60

70

80

90

100

1 2 3 4 5

Event Number

Risk Rating Threat Rating

85

Измерение рисков базируется на

вариантах реагирования IPS

Рейтинг угрозы (Threat Rating)


Недостаток классических сигнатур

Что находит обычная IPS Вердикт: Неизвестно

Фрагментированные SQL команды

внутри веб-трафикаЧто?


Что находит Cisco IPS v7 Вердикт: блокировать

Фрагменты SQL

внутри веб-трафика

Первое подключение HTTP

Динамический IP адресс

Динамический DNS

История веб-атак

Из скомпрометированной

азиатской сети

Есть история ботнетовской

активности

Только “чистые”

источники

Как?

Кто?

Откуда?

Что?

Репутационные технологии в IPS


Панель инцидентов Агрегация Корреляция Выделение важной информации

15 427 105 событий

40 инцидентов с высоким уровнем опасности

5 666 129 сессий

102 инцидента

• Объединение данных Netflow, Syslog и информации о топологии сети позволяет создать центр управления безопасностью на базе MARS

• Оперативное обнаружение угроз за счет снижения объема данных в режиме реального времени позволяет администраторам сконцентрироваться на решении высокоприоритетных задач

Единая панель управления угрозами


Источник атаки

(коричневый)

Взломанный хост,участвующий в атаке

(сиреневый)

Жертва/зараженный хост

(красный)

Обнаружение угроз и отражение атак Путь распространения атаки и учет топологии сети


Расследование инцидента

Несколько нажатий на кнопки,и вы увидите:

Точку назначения, которой достигает 10.1.1.10

Сеансы интересующей вас точки назначения

Или любую другую информацию, которая вас интересует

10.1.1.10 генерирует атаку, сообщите мне подробности


Распространение информации

Сбор и распространение информации, способствующей повышению защищенности

Контактная информация с CSIRT, как единой точкой контакта

Руководства по безопасности

Архив уведомлений и предупреждений

Лучшие практики

Политики, процедуры и чеклисты

Информация о патчах

Ссылки на вендоров

Текущая статистика по управлению инцидентами

Другая связанная информация


Сервисы повышения качества ИБ

Анализ рисков

Планирование непрерывности бизнеса

Консалтинг ИБ

Построение программы осведомленности

Обучение / тренинги

Оценка / сертификация продуктов


Определите модель, место в иерархии и власть CSIRT


Сценарии существования CSIRT

За функции CSIRT отвечает ИТ-подразделение

За функции CSIRT отвечает служба ИБ

Отсутствие формальной группы реагирования на инциденты

Существующий персонал решает ограниченный спектр задач CSIRT время от времени

Виртуальная CSIRT

Использование существующего персонала для создания виртуальной CISRT и наличие выделенного менеджера группы

Все инциденты напрямую передаются в выделенную структуру CSIRT (34%)

Полностью выделенная группа, реализующая весь спектр задач CSIRT


Сценарии существования CSIRT

Комбинация 3-го и 4-го вариантов в распределенной организации (21%)

Выделенные сотрудники в ИТ и иных подразделениях реагируют на инциденты на местах, а в центре действует основная CSIRT

Инциденты направляются в Help Desk, а затем в CSIRT (по необходимости)

CSIRT является второй линией анализа

Координирующая CSIRT (13%)


Модели существования CSIRT

Полностью независимая CSIRT

При наличии ресурсов на организацию CSIRT


Модели существования CSIRT (продолжение)

Интегрированная CSIRT

При нехватке ресурсов на организацию CSIRT


Модели существования CSIRT (окончание)

Кампусная CSIRT

При холдинговой структуре организации CSIRT


Место в организации

Не важно какое место в организации занимает CSIRT –важна эффективность ее работы

41% - под ИТ-департаментом

24% - независимо от всех

31% рапортуют непосредственно CIO

38% рапортуют не CIO

Какое бы место в организации не занимала CSIRTважно решить следующие вопросы:

Координация с другими подразделениями (ИТ, ИБ, ERM и т.п.)

Четкое описание обязанностей каждого подразделения

Эскалация

Ответственность


Власть CSIRT

Власть Описание

Полная

CSIRT имеют все полномочия для принятия решений

и реализации любых действий от имени их клиентов

(в части касающейся деятельности CSIRT) – 34%

Частичная

CSIRT обеспечивает поддержку своих клиентов и

совместно принимают решения (рекомендуют, но не

могут диктовать) – 24%

ОтсутствуетCISRT не имеет никаких полномочий и действует

только как советник – 24%

Косвенная

CSIRT влияет на принятие решений своих клиентов

косвенно (например, головная организация влияет на

свои дочки или оператор связи на своих клиентов)

Власть ≠ доверие

Заработайте доверие своих клиентов и эффективность работы CSIRT возрастет многократно

incident management (part 2)

Self Improvement