Краткий конспект выступления Всеслава Соленика на интенсиве для CISO Код ИБ Профи
Всеслав Соленик
Директор центра экспертизы в R-Vision
Систематизация процесса очень важна и этот момент очень хорошо показывает то, что зачастую люди, которым я задавал один простой вопрос, забывали о некоторых этапах работы с инцидентом. А вопрос был такой: «Представьте, что в разгар рабочего дня вам звонит админ Core-системы и говорит, что наблюдает как файлы на сервере на его глазах превращаются в «абракадабру. Ваши действия?»
Некоторые вещи, о которых обычно забывали люди в такой ситуации:
• Забуду уведомить пользователей
• Отключу и забуду о «бизнесе»
• Не уточню, что папка сервера является сетевой
• Восстановлю из бэкапа – победа!
• Не догадаюсь о сетевом трафике
• Забуду вернуть в изначальное состояние
• Снова забуду уведомить пользователей
• Не проведу расследование пути заражения
• Никаких мер по неповторению
• Не подготовлю отчет для руководства/регулятора
Поэтому человек, который не видит хотя бы ключевых и базовых моментов реагирования на инцидент ИБ - не подойдёт на должность специалиста по ИБ.
На сегодняшний день мы все озаботились SOC, и такому серьёзному отношению к SOC поспособствовали ряд динамичных процессов в бизнесе, которые вводят нас, как службу ИБ, в режим круглосуточного приоритетного реагирования на широкий спектр инцидентов:
Переход на цифровые каналы и 24/7 доступность для партнеров и клиентов
Инциденты недоступности сервисов в любое время суток
Аутсорсинг «не-основных» бизнес процессов
Инциденты взаимодействия с третьими сторонами
Удаленные сервисы (биометрия для клиентов, работа из дома для сотрудников)
Инциденты удаленной авторизации и аутентификации, утечки данных
Фокус на скорости вывода сервисов на рынок
Инциденты, связанные с принятием рисков и недостаточной проработкой решений
Краеугольный процесс ИБ – управление инцидентами
• Он привлекает СМИ и пестрит в новостях
• Он важен топ-менеджменту, им обосновывается ИБ
• На основе него и для чего проводится риск-анализ и аудиты
• Это основная функция средств защиты
• Для этого выявляются уязвимости и угрозы
Вы управляете (или думаете, что…):
• Сбором части событий
•
Действиями вашего персонала (частично)
• Конфигами ИБ-систем
• Правилами
выявления подозрительных событий
• Информативностью метрик
Но вы не управляете:
• Самими инцидентами
Таким образом, наши цели управления инцидентами и реагирования на них:
Обеспечить оперативное выявление любых событий, способных повлиять на безопасность организации
Обеспечить необходимую реакцию на произошедшие события
Обеспечить быстрое устранение последствий реализации инцидента
Извлечь уроки и устранить причины, способные привести к повторной реализации инцидента (как технические, так и организационные)
Реагирование на инцидент подразумевает поиск ответов на
следующие вопросы:
1. Кто ответственный? (рабочая группа и ответственный
специалист)
2. Это точно инцидент? (проверка на false-positive)
3. Как
остановить распространение инцидента? (локализация)
4. Как вернуться к
нормальной работе? (ликвидация)
5. Почему произошел инцидент? (расследование)
6. Как не допустить в будущем? (Выводы)
Основные задачи автоматизации реагирования на инциденты это: агрегация информации обо всех инцидентах в едином окне оперативного реагирования, контроль активов и всех компонентов инфраструктуры для принятия решений и реагирования на кибератаки, оркестрация средств и технологий управления командой реагирования и процессами, а также отчетность и визуализация данных
Основные выводы:
Управление инцидентами – ключевой процесс ИБ
Необходимо стратегическое и тактическое планирование
Технологии и люди в SOC – вызов CISO как менеджеру и эксперту
Автоматизация – наше все - важен правильный выбор решения
Изучайте кейсы и обменивайтесь экспертизой
Настройте процесс обработки и реагирования на инциденты
Если вас заинтересовала это тема - можете посмотреть полную запись выступления:
Case Study: Управление инцидентами ИБ как самый простой и самый комплексный из процессов ИБ
Выступление Всеслава Соленика на интенсиве для CISO Код ИБ Профи