incident management (part 2)
DESCRIPTION
TRANSCRIPT
![Page 1: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/1.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 84/431
Как создавать CSIRT?
![Page 2: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/2.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 85/431
Аббревиатуры CSIRT
Аббревиатура Расшифровка
CSIRT Computer Security Incident Response Team
CIRC Computer Incident Response Capability или Center
CSIRC Computer Security Incident Response Capability
CIRT Computer Incident Response Team
IRCIncident Response Center or Incident Response
Capability
IRT Incident Response Team
IHT Incident Handling Team
SERT Security Emergency Response Team
SIRT Security Incident Response Team
CERT – зарегистрированная торговая марка CERT/CC
![Page 3: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/3.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 86/431
План создания CSIRT
Идентифицируйте стейкхолдеров и участников
Получите поддержку руководства
Разработайте план проекта
Соберите информацию
Идентифицируйте клиентов и задачи, решаемые CSIRT
Определите миссию CSIRT
Получите бюджеты для CSIRT
Выберите сервисы, оказываемые CSIRT
Определите модель, место в иерархии и власть CSIRT
Определите требуемые ресурсы
![Page 4: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/4.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 87/431
План создания CSIRT (окончание)
Определите взаимодействия, интерфейсы и точки контакта
Определите роли и ответственность
Документируйте процессы
Разработайте политики и процедуры
Создайте план внедрения
Анонсируйте CSIRT, когда будете готовы
Определите методы оценки эффективности CSIRT
Определите резервный план для каждого элемента CSIRT
Будьте гибки
![Page 5: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/5.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 88/431
Ключевые элементы работы CSIRT
Сервисы
Политики
Качество
![Page 6: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/6.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 89/431
Идентифицируйте участников и стейкхолдеров
![Page 7: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/7.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 90/431
Кто отвечает за управление инцидентами?
Служба CSIRT
Служба безопасности
Кто «поговорит по душам» с внешним нарушителем?
Служба персонала
Кто будет взаимодействовать с сотрудниками, виновными в совершении противоправных действий?
Юридическая служба
Кто проконсультирует в отношении законодательства, связанного с компьютерными преступлениями или с нарушением договорных обязательств?
PR-служба
Кто сообщит журналистам новость об утечке информации о клиентах? Кто уменьшит негативный ущерб от публикаций?
![Page 8: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/8.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 91/431
Кто отвечает за управление инцидентами? (окончание)
Служба ИТ
Кто обновит систему и устранит уязвимости?
Служба ИБ
Кто разъяснит причину инцидента и сможет изменить политики безопасности?
Рядовые пользователи
Кто сообщит в CSIRT об инциденте?
Управление инцидентами происходит в масштабах
всего предприятия и с участием различных категорий
и ролей сотрудников
![Page 9: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/9.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 92/431
Получите поддержку руководства
![Page 10: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/10.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 93/431
Получение поддержки
Найдите executive sponsor
Представьте бизней-кейс с преимуществами создания CSIRT
Получите поддержку руководства в части расходования времени и бюджета
Словесная поддержка мало чего стоит
Донесите идею CSIRT и ее преимуществ до бизнес-руководителей
Пусть руководство от своего имени анонсирует проект по созданию CSIRT и попросит сотрудников компании помочь на этапе планирования и внедрения
![Page 11: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/11.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 94/431
Бизнес-план CSIRT
В чем проблема?
ИТ/ИБ становится частью бизнеса компании или ИБ-рискистановятся бизнес-рисками
ИТ-инциденты управляются через Service Desk, а ИБ-инциденты управляются неэффективно и на нерегулярной основе
Требуется более структурированных подход и иные знания, чем в управлении ИТ-инцидентами
Чего вы хотите достичь для клиентов?
Снижение бизнес-рисков
Повышение эффективности управления ИБ
Рост культуры ИБ на предприятии и, как следствие, снижение в долгосрочной перспективе затрат на обеспечение ИБ
![Page 12: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/12.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 95/431
Бизнес-план CSIRT (окончание)
Что произойдет, если ничего не делать?
Ущерб, регулятивные риски, удар по репутации
Что произойдет, если вы что-то сделаете?
Предотвращение потерь, снижение рисков
Какова стоимость?
Бюджет на CSIRT (обсуждается далее)
Какова прибыль?
В истинном значении этого слова прибыли может и не быть (если не применять специальные методики)
Рост прозрачности управления, снижение затрат на управление инцидентами и ИБ
Когда вы планируете стартовать и когда завершить?
![Page 13: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/13.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 96/431
Стоимость инцидентаВ помощь бизнес-кейсу
![Page 14: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/14.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 97/431
Проект ICAMP \ ICAMP II
1998 и 2000 года – проект по анализу стоимости инцидента
Компрометация системы - $1800
Вредоносный код - $980
Отказ в обслуживании - $22350
Атака хакеров - $2100
Загрузка нелицензионного ПО и контента - $340
На базе проекта ICAMP Дэвид Диттрих предложил свой подход к оценке стоимости инцидента
Время и деньги, потраченные на расследование и восстановление системы
Замена ПО, оборудования, информации + новые системы защиты
Потеря продуктивности пользователей
![Page 15: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/15.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 98/431
Формы потерь от инцидента
• Простои
• Ухудшение психологического климатаПродуктивность
• Расследование инцидента
• PR-активностьРеагирование
• Замена оборудования
• Повторный ввод информацииЗамена
• Судебные издержки, досудебное урегулирование
• Приостановление деятельностиШтрафы
• Ноу-хау, государственная, коммерческая тайна
• Отток клиентов, обгон со стороны конкурентаКонкуренты
• Гудвил
• Снижение капитализации, курса акцийРепутация
![Page 16: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/16.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 99/431
Разработайте план проекта
![Page 17: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/17.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 100/431
Управление проектом
Команда проекта
Лидер проекта
Применяйте теорию управления проектами при формированииCSIRT
Требуемые время, люди и деньги
Риски и меры по управлению ими
![Page 18: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/18.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 101/431
Соберите информацию
![Page 19: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/19.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 102/431
Сбор информации
Что нужно клиентам и иным заинтересованным сторонам?
Какие инциденты уже были на предприятии?
Позволит понять, что может делать существующая CSIRT и что еще понадобится
Как предприятие боролось с инцидентами в прошлом?
Определите окружение, в котором будет строиться CSIRT
Политика, бизнес, культура, юридические вопросы
Определить владельцев данных или интеллектуальной собственности, используемой в работе CSIRT
![Page 20: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/20.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 103/431
Сбор информации (окончание)
Какие правила влияют на CSIRT?
Открытые, закрытые, государственные, международные, нормативно-правовые акты…
История создания CSIRT в организации
Кто-нибудь уже пытался создать CSIRT ранее?
Ему это удалось? Почему?
Какие технологии используются на предприятии?
ПО, приложения и аппаратное обеспечение
Домены и IP-адреса, принадлежащие предприятию и его контрагентам
![Page 21: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/21.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 104/431
Идентифицируйте клиентов, в интересах которых работает CSIRT и ее задачи
![Page 22: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/22.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 105/431
Клиенты CSIRT
Определите для себя, кого будет обслуживать CSIRT?
Определение круга клиентов может зависеть от ряда критериев
Национальный
Географический
Политический
Технический
Организационный
Провайдер связи
Контрактный
Самое простое – определить клиентов для корпоративной CSIRT
![Page 23: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/23.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 106/431
Задачи CSIRT
Какие типы сервисов будет оказывать CSIRT своим клиентам?
Как клиенты будут получать сервисы CSIRT?
Есть ли клиенты, которых вы не готовы поддерживать сейчас, но готовы поддерживать в будущем?
Что вы ответите клиентам, которых вы не обслуживаете?
![Page 24: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/24.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 107/431
Примеры задач CSIRT
Повышение уровня Интернет-безопасностипредприятия
Неконкретно, но хоть что-то
Помощь предприятию в предотвращении инцидентов ИБ
Рост осведомленности предприятия в области ИБ
Реагирование на инциденты ИБ
![Page 25: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/25.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 108/431
Определите миссию CSIRT
![Page 26: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/26.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 109/431
Миссия CSIRT
Многие CSIRT выполняют свою работу, не задумываясь о своей миссии и целях или не доводят их до заинтересованных сторон
Результат: бесполезные или напрасные трата усилий и ресурсов (это опасно в условиях инцидента) в попытке
Правильно расставить приоритеты в деятельности
Понять, следует ли реагировать в той или иной ситуации
Определить, не пора ли изменить качество и состав реализуемых сервисов
До определения четких и понятных задач и целей ситуация вряд ли улучшится
![Page 27: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/27.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 110/431
Миссия CSIRT
Миссия не должна быть неоднозначной
Миссия должна описываться 3-4 предложениями
Миссия должна поддерживаться руководством и заинтересованными сторонами
ИТ, ИБ или иным, в зависимости от места в структуре организации
Пример: улучшить безопасность информационной инфраструктуры предприятия и минимизировать угрозу нанесения ущерба от вторжений и атак
![Page 28: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/28.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 111/431
Миссия JA.NET CSIRT
Обеспечить безопасность JA.NET и ее клиентов в настоящем и будущем за счет:
Взятия на себя инициативы в реализации политики ИБ JA.NET
Координации реагирования
Разработки ресурсов ИБ
Поддержки высокой квалификации
В поддержку этой миссии мы предлагаем координацию управления инцидентами, обучение и консультирование для клиентов JA.NET, и сотрудничество с соответствующими организациями за пределами JA.NET
![Page 29: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/29.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 112/431
Миссия SingCERT
Единая доверенная точка контакта
Содействие реагированию на угрозы безопасности
Повысить компетенцию в ИТ-безопасности
![Page 30: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/30.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 113/431
Получите бюджеты для CSIRT и определите финансовую модель
![Page 31: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/31.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 114/431
Бюджетирование
Что включать в бюджет?
Создание CSIRT
Обучение сотрудников CSIRT (включая конференции)
Тренинги для сотрудников CSIRT
Оборудование и ПО для обнаружения, анализа, отслеживание и реагирования на инциденты
Оборудование для защиты данных, систем и персонала CSIRT
Командировки в места инцидентов
Выбивать бюджеты на создание CSIRT непросто
ИБ считается поддерживающей функцией
Необходимо бизнес обоснование (бизнес-кейс)
![Page 32: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/32.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 115/431
Финансовые модели
Какова бизнес-модель существования CSIRT?
Спонсорство руководством (55%)
Опирается на время работы сервиса и количество людей
Экономия на оказании услуг вне рабочего времени
Продажа отдельных сервисов CSIRT клиентам
Для внутренних клиентов бесплатно, а для внешних – за деньги
Оплата подписки
Ежегодная или ежеквартальная подписка на базовые сервисы
Дополнительные сервисы за дополнительную плату
Платные CSIRT – 10%
![Page 33: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/33.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 116/431
Выберите сервисы, оказываемые CSIRT
![Page 34: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/34.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 117/431
Сервисы CSIRT
Слона лучше есть по частям
Наращивать силу лучше постепенно, по мере зарабатываниядоверия со стороны клиентов
Обычно CSIRT предлагает одну или несколько услуг по обработке инцидентов
Анализ инцидентов
Реагирование на инциденты
Поддержка реагирования на инциденты
Координацию реагирования на инциденты
Расследование инцидентов
Часто CSIRT предлагают и другие сервисы
Самостоятельно или во взаимодействии с другими подразделениями или компаниями
![Page 35: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/35.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 118/431
Выбор сервисов
Разные сервисы имеют разные приоритеты
Реактивные обычно более приоритетные чем проактивныеили сервисы повышения качества ИБ
Набор предоставляемых сервисов зависит от
Потребностей предприятия
Наличии других подразделений, связанных с ИБ
Квалификации экспертов CSIRT
Ресурсов для качественного оказания сервисов
Как будут оказываться сервисы?
Время работы, методы взаимодействия, распространение информации и т.п.
Как сервисы будут продвигаться на предприятии?
![Page 36: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/36.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 119/431
Сервисы CSIRT
![Page 37: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/37.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 120/431
Сервисы CSIRT
Источник: Defining Incident Management Processes for CSIRTs: A Work in Progress.
CMU/SEI-2004-TR-015
Реактивные
• Сигналы тревоги и предупреждения (72%)
• Обработка инцидентов (97%)
• Обработка уязвимостей (41%)
• Обработка артефактов (66%)
Проактивные
• Уведомления
• Анализ технологий (55%)
• Аудит и оценка защищенности (28%)
• Конфигурация и поддержка
• Разработка средств защиты (34%)
• Обнаружение вторжений (62%)
• Распространение информации по ИБ
Повышение качества управления ИБ
• Анализ рисков
• Планирование непрерывности бизнеса
• Консалтинг ИБ
• Построение программы осведомленности
• Обучение / тренинги (59%)
• Оценка / сертификация продуктов
![Page 38: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/38.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 121/431
Сигналы тревоги и предупреждения
Включает описание и рассылку информации о
Вторжении нарушителей, уязвимости, вредоносной программе, оповещении о лживых сообщениях в области ИБ (что-то чего не было или специально распространяется злоумышленниками) и т.п.
Кратких рекомендациях по решению проблемы
Предупреждение направляется как реакция на текущие проблемы и как руководство по защите и восстановлению систем, подвергшихся нападению
Предупреждение создается собственной CSIRT или иными службами CSIRT (включая производителей средств защиты)
Не забывайте про притчу о пастухе, который кричал: «Волки, волки!» - приоритезируйте предупреждения
![Page 39: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/39.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 122/431
Сигналы тревоги и предупреждения
![Page 40: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/40.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 123/431
Обработка инцидентов
Включает в себя получение информации об инцидентах, их систематизацию, реагирование на запросы и отчеты, а также анализ инцидентов и событий
Обработка инцидентов может включать в себя
Анализ инцидентов
Сбор доказательств
Отслеживание злоумышленника
Реагирование
Поддержка реагирования (например, для удаленных систем)
Координация реагирования
Далее мы детально рассмотрим этот сервис
![Page 41: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/41.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 124/431
Реагирование на инциденты
Реагирование на инциденты может включать в себя
Реализация действий для защиты систем, подвергающихся атаке
Реализация рекомендаций из предупреждений
Поиск активностей злоумышленников в других частях системы/сети
Фильтрация сетевого трафика
Перезагрузка (сборка) системы
Установление обновлений и восстановление системы
Разработка других механизмов реагирования
![Page 42: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/42.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 125/431
Обработка уязвимостей
Включает в себя получение информации об аппаратных и программных уязвимостях, анализ их природы, механизма использования и эффекта, разработка стратегии обнаружения и устранения
![Page 43: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/43.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 126/431
Обработка артефактов
Включает в себя получение информации об артефактах, попытках разведки и других несанкционированных или вредоносных действиях, анализ их природы, механизма действия и использования, разработка стратегии обнаружения, устранения и будущей защиты
Далее мы детально рассмотрим этот сервис
![Page 44: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/44.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 127/431
Уведомления
Включает описание и рассылку информации о новых уязвимостях, вредоносных программах, случаях мошенничества
Предупреждение направляется с целью ознакомления и предвосхищения описываемых событий
Уведомления создаются собственной CSIRT или иными службами CSIRT (включая производителей средств защиты)
Рассылаются обычно узкому кругу заинтересованных лиц – ИТ, ИБ и т.п.
![Page 45: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/45.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 128/431
Анализ технологий
Мониторинг и анализ новых тенденций в ИТ и ИБ, методов злоумышленников и регулятивных требований для предсказания будущих угроз
Может включать следующие области для контроля
Социальные и политические угрозы (PEST-анализ)
Развивающиеся технологии
Требования регуляторов
Отраслевые требования
Выход: анонсы, руководство, обзоры и рекомендации, фокусирующиеся на средне- и долгосрочных вопросах ИБ
![Page 46: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/46.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 129/431
Аудит и оценка защищенности
Обследование и анализ инфраструктуры ИБ предприятия на соответствие требованиям предприятия, регуляторов или отраслевых стандартов
Может быть реализованы следующим образом
Ручной анализ конфигурации инфраструктуры
Обзор лучших практик путем интервьюирования сотрудников
Сканирование
Тесты на проникновение
Может быть отдано на аутсорсинг
![Page 47: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/47.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 130/431
Конфигурация и поддержка
Рекомендации и руководства по защищенной настройке, конфигурации и поддержке приложений и инфраструктуры
CSIRT также может воплощать эти рекомендации в жизнь самостоятельно
При наличии таких полномочий и ресурсов
![Page 48: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/48.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 131/431
Разработка средств защиты
Разработка новых мер защиты, требуемых в деятельности CSIRT, например
Патчи
Скрипты или средства защиты, расширяющие существующие СЗИ
Новые плагины для сканеров защищенности
Механизмы автоматического распределения патчей
И т.п.
![Page 49: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/49.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 132/431
Пример: Вымпелком
Security Log Tracker (SLOT) – система мониторинга активности пользователей, связанной с доступом к данным, критичным с точки зрения ИБ компании
![Page 50: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/50.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 133/431
Обнаружение вторжений
Анализ логов IDS, разработка мер реагирования для каждого события/атаки, включая пороговые значения для сигнатур атак и шаблонов аномальной активности, а также пересылка сигналов тревоги согласно политике эскалации или принятому SLA
Ключевая проблема/задача – анализ огромных объемов данных
Во многих случаях требуется опыт и особая экспертиза
Могут потребоваться средства корреляции событий с целью выявления и снижения числа ложных тревог и минимизации числа успешных инцидентов
Может быть отдано на аутсорсинг (SOC)
![Page 51: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/51.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 134/431
Событие 3
Событие может быть обычным, а может быть частью
мультивекторной атаки наряду с другими событиями. В отличии
от внешнего корреляционного анализа, локальная корреляция
позволяет IPS предотвращать атаки до достижения ими своей
цели
Обычные IPS могут пропускать
мультивекторные атаки
IPS, выполняющая локальный
корреляционный анализ событий,
блокирует мультивекторные атаки
Событие 1
Событие 3
Событие 2
Событие 1
Событие 2
Локальная корреляция событийЗащита от мультивекторных атак
![Page 52: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/52.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 135/431
Низкий
Средний
Высокий
Рейтинг риска
Время: 0 2 4 6 8 10
Событие A Событие
B
СобытиеC
СобытиеD
A + B + C + D = ЧЕРВЬ!
При анализе учитываются:
• Тип события
• Временной интервал
Встроенные средства корреляционного анализа позволяют адаптироваться к новым угрозам в режиме реального времени без участия пользователя
Meta Event Generator
![Page 53: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/53.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 136/431
NIMDA
Если сигнатуры 5081, 5124, 5114, 3215 и 3216 произошли в течение 3-х секунд, то срабатывает мета-событие “Nimda”
SIG 5081
Доступ к cmd.exe
SIG 5124Декодирование
IIS CGI
SIG 5114Юникод-атака
на IIS
SIG 3215Выполнение
..
SIG 3216Сбой
..
Временной интервал = 3 сек.
Meta Event Generator в действии
![Page 54: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/54.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 137/431
Рейтинг риска: введение
+
+
+
Узел подвержен атаке?
Насколько вероятна ошибка?
Насколько важен атакуемый ресурс?
Приоритет
события
Точность
сигнатуры
Релевантность
атаки
Стоимость
ресурса
РЕЙТИНГ
РИСКА
Применение вариантов реагирования
Насколько опасна атака?
Оценка каждой угрозы с точки зрения бизнеса до применения вариантов реагирования
Сетевой
контекст
+
Какие данные еще доступны?
![Page 55: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/55.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 138/431
Приоритет
событияСтоимость
ресурса-цели
Точность
сигнатурыРелевантность
атаки
RR (Risk Rating)
+ + +
Приоритет сигнала тревоги определяется для каждой сигнатуры
Рейтинг риска: приоритет атаки
![Page 56: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/56.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 139/431
Приоритет
события
Стоимость
ресурса-целиТочность
сигнатурыРелевантность
атаки
RR (Risk Rating)
+ + +
Точность сигнатуры определяет уровень доверия к точности и качеству сигнатуры
Рейтинг риска: точность сигнатуры
![Page 57: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/57.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 140/431
Приоритет
события
Оценка
ресурса-целиТочность
атакиРелевантность
атаки
RR (Рейтинг риска)
+ + +
Снижение количества ложных срабатыванийпутем активного/пассивного анализа цели
Рейтинг риска: релевантность атаки
![Page 58: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/58.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 141/431
Сетевой
сканер
A
Сервер (Windows) Сервер (Linux)
Не уязвим
Фильтровать
Уязвим
Поднять рейтинг риска
Фильтрация событий / реагирования
Консоль для мониторинга:
Нерелевантные события фильтруютсяЗлоумышленник
инициирует IIS-атаку на
выбранные сервера
Дополнительные данные по цели атаки используются для уточнения
варианта реагирования
Контекст атаки анализируется на основе:
пассивного определения ОС
статического задания ОС для управления исключениями
интеграции с CSA
Динамический рейтинг риска базируется на релевантности
Результат. Более точное и эффективное реагирование
Анализ релевантности атаки
![Page 59: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/59.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 142/431
Приоритет
событияСтоимость
ресурса-цели
Точность
атакиРелевантность
атаки
RR (Risk Rating)
+ + +
Большее понимание уязвимости цели через введение понятия стоимости ресурса
Рейтинг риска: ценность для бизнеса
![Page 60: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/60.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 143/431
Приоритет
событияСтоимость
ресурса-цели
Точность
сигнатурыРелевантность
атаки
RR (рейтинг риска)
+ + +
Настройка порогов рейтинга риска позволяет автоматизировать варианты реагирования для каждогособытия, а не сигнатуры
Рейтинг риска: итоговый результат
![Page 61: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/61.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 144/431
Оценка каждой угрозы после отражения ее Cisco IPS
• Атака с высоким рейтингом риска может
быть отражена автоматически
и не требовать внимания оператора
• Концентрация внимания на вариантах
реагирования на события с высоким
остаточным рискомПример:
• Событие 2: Очень высокий рейтинг риска, но
блокируется не требует внимания, низкий рейтинг
угрозы
• Событие 4: Высокий рейтинг риска, но недостаточный
для блокирования Высокое внимание и рейтинг
угрозы
Результат. Рост эффективности реагирования и продуктивности
операций по автоматической приоритезации рисков
Политика IPS:RR > 85 Заблокировать IP
0
10
20
30
40
50
60
70
80
90
100
1 2 3 4 5
Event Number
Risk Rating Threat Rating
85
Измерение рисков базируется на
вариантах реагирования IPS
Рейтинг угрозы (Threat Rating)
![Page 62: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/62.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 145/431
Недостаток классических сигнатур
Что находит обычная IPS Вердикт: Неизвестно
Фрагментированные SQL команды
внутри веб-трафикаЧто?
![Page 63: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/63.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 146/431
Что находит Cisco IPS v7 Вердикт: блокировать
Фрагменты SQL
внутри веб-трафика
Первое подключение HTTP
Динамический IP адресс
Динамический DNS
История веб-атак
Из скомпрометированной
азиатской сети
Есть история ботнетовской
активности
Только “чистые”
источники
Как?
Кто?
Откуда?
Что?
Репутационные технологии в IPS
![Page 64: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/64.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 147/431
Панель инцидентов Агрегация Корреляция Выделение важной информации
15 427 105 событий
40 инцидентов с высоким уровнем опасности
5 666 129 сессий
102 инцидента
• Объединение данных Netflow, Syslog и информации о топологии сети позволяет создать центр управления безопасностью на базе MARS
• Оперативное обнаружение угроз за счет снижения объема данных в режиме реального времени позволяет администраторам сконцентрироваться на решении высокоприоритетных задач
Единая панель управления угрозами
![Page 65: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/65.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 148/431
Источник атаки
(коричневый)
Взломанный хост,участвующий в атаке
(сиреневый)
Жертва/зараженный хост
(красный)
Обнаружение угроз и отражение атак Путь распространения атаки и учет топологии сети
![Page 66: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/66.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 149/431
Расследование инцидента
Несколько нажатий на кнопки,и вы увидите:
Точку назначения, которой достигает 10.1.1.10
Сеансы интересующей вас точки назначения
Или любую другую информацию, которая вас интересует
10.1.1.10 генерирует атаку, сообщите мне подробности
![Page 67: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/67.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 150/431
Распространение информации
Сбор и распространение информации, способствующей повышению защищенности
Контактная информация с CSIRT, как единой точкой контакта
Руководства по безопасности
Архив уведомлений и предупреждений
Лучшие практики
Политики, процедуры и чеклисты
Информация о патчах
Ссылки на вендоров
Текущая статистика по управлению инцидентами
Другая связанная информация
![Page 68: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/68.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 151/431
Сервисы повышения качества ИБ
Анализ рисков
Планирование непрерывности бизнеса
Консалтинг ИБ
Построение программы осведомленности
Обучение / тренинги
Оценка / сертификация продуктов
![Page 69: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/69.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 152/431
Определите модель, место в иерархии и власть CSIRT
![Page 70: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/70.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 153/431
Сценарии существования CSIRT
За функции CSIRT отвечает ИТ-подразделение
За функции CSIRT отвечает служба ИБ
Отсутствие формальной группы реагирования на инциденты
Существующий персонал решает ограниченный спектр задач CSIRT время от времени
Виртуальная CSIRT
Использование существующего персонала для создания виртуальной CISRT и наличие выделенного менеджера группы
Все инциденты напрямую передаются в выделенную структуру CSIRT (34%)
Полностью выделенная группа, реализующая весь спектр задач CSIRT
![Page 71: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/71.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 154/431
Сценарии существования CSIRT
Комбинация 3-го и 4-го вариантов в распределенной организации (21%)
Выделенные сотрудники в ИТ и иных подразделениях реагируют на инциденты на местах, а в центре действует основная CSIRT
Инциденты направляются в Help Desk, а затем в CSIRT (по необходимости)
CSIRT является второй линией анализа
Координирующая CSIRT (13%)
![Page 72: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/72.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 155/431
Модели существования CSIRT
Полностью независимая CSIRT
При наличии ресурсов на организацию CSIRT
![Page 73: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/73.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 156/431
Модели существования CSIRT (продолжение)
Интегрированная CSIRT
При нехватке ресурсов на организацию CSIRT
![Page 74: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/74.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 157/431
Модели существования CSIRT (окончание)
Кампусная CSIRT
При холдинговой структуре организации CSIRT
![Page 75: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/75.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 158/431
Место в организации
Не важно какое место в организации занимает CSIRT –важна эффективность ее работы
41% - под ИТ-департаментом
24% - независимо от всех
31% рапортуют непосредственно CIO
38% рапортуют не CIO
Какое бы место в организации не занимала CSIRTважно решить следующие вопросы:
Координация с другими подразделениями (ИТ, ИБ, ERM и т.п.)
Четкое описание обязанностей каждого подразделения
Эскалация
Ответственность
![Page 76: Incident management (part 2)](https://reader034.vdocuments.site/reader034/viewer/2022051323/549c15caac7959d32a8b4630/html5/thumbnails/76.jpg)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 159/431
Власть CSIRT
Власть Описание
Полная
CSIRT имеют все полномочия для принятия решений
и реализации любых действий от имени их клиентов
(в части касающейся деятельности CSIRT) – 34%
Частичная
CSIRT обеспечивает поддержку своих клиентов и
совместно принимают решения (рекомендуют, но не
могут диктовать) – 24%
ОтсутствуетCISRT не имеет никаких полномочий и действует
только как советник – 24%
Косвенная
CSIRT влияет на принятие решений своих клиентов
косвенно (например, головная организация влияет на
свои дочки или оператор связи на своих клиентов)
Власть ≠ доверие
Заработайте доверие своих клиентов и эффективность работы CSIRT возрастет многократно