Вновь об управлении инцидентами

Управление инцидентами – это многогранная задача, которая включает в себя различные подзадачи и процессы. Это и расследование инцидентов, и сбор доказательств, и общение с правоохранительными органами (если это нам необходимо), и управление уязвимостями, и патчами, и множество других вещей. И каждая из них важна и нужна. Просто расследование инцидентов без формирования соответствующей группы CSIRT бесполезная трата времени и ресурсов (даже обратиться к специалистам и то надо знать как). А формирование группы CSIRT бесмысленно без наличия прописанных и формализованных процессов управления инцидентами, которые четко определяют шаги участвующих в управлении инцидентами специалистов и не дают им делать хаотические шаги в стороны.

На мой взгляд, основная задача в области управления инцидентами – это как можно большая формализация задач и процессов, чтобы нельзя было делать шаг влево и шаг вправо; чтобы те люди, которые в итоге войдут в группу CSIRT (либо созданную формально, либо неформально), не думали во время инцидента, что им делать, куда им звонить и так далее. Чтобы они четко выполняли шаги, требуемые от них для борьбы с нейтрализацией инцидентов и их последствий (не вдаваясь в терминологические дебри и дискуссии на тему «что такое инцидент»).

Без такой формализации начинается хаос, начинаются метания из стороны в сторону во время инцидента. Кто-то попытался заблокировать злоумышленника или попытался с ним связаться. Кто-то попытался перезапустить систему, которую атаковали. В результате все следы уничтожены, злоумышленник понял, что его обнаружили и прекратил свою несанкционированную деятельность. В итоге, с одной стороны, инцидент прекращен и поверхностная задача решена. А с другой стороны мы столкнулись с ситуацией, в которой возможно повторение этого инцидента, но уже на более глубоком уровне (ведь злоумышленник понял, что его действия обнаружены). Мы не смогли реально идентифицировать злоумышленника, потому что он работал через какой-нибудь прокси. И так далее.

Что в итоге? И действия какие-то произведены. И ущерб предотвращен. Но присутствовало ли тут управление инцидентами? Нет. Потому что мы ничего об этом инциденте не знаем. Ничего не знаем о злоумышленники. Ничего не собрали в качестве доказательств. А вот нарушителю дали понять, что его «пасут», заставив его тем самым предпринять более серьезные действия по скрытию своей активности (правда, может он и отстанет от вас).

На форуме директоров по ИБ, в своей презентации по финансовому измерению ИБ, я показал (слайд 28), что в России проекты по управлению инцидентами экономически неоправданны. И если уж заниматься этой задачей, то делать это надо изначально понимая все особенности; все подводные камни; все достоинства и недоставки каждого из существующих подходов к управлению инцидентами.

К чему я все это пишу, сказав уже что-то в пятницу? Просто навеяло постами Ригеля и Алексея Волкова. Видимо придется уделять этому вопросу больше внимания, коль скоро эта тема стала в России столь популярной 😉

ЗЫ. Коллегам из Leta-IT/Group-IB предлагаю завести отдельный блог/ресурс на эту тему, чтобы сделать эту тему открыто обсуждаемой. Ведь именно в открытой дискуссии и рождается истина. Единого рецепта или сценария может и не найдется, но можно будет увидеть разные подходы к решению данной задачи.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Unknown

    Кстати, реальная тема для книжки, м?

    Ответить
  2. Алексей Лукацкий

    Таки не вопрос — у меня 2/3 даже уже написано ;-))

    Ответить
  3. Unknown

    Ну вот — опоздал 🙁 Доделать ничего не нужно? Работать буду за возможность работы 🙂 (я кстати серьезно — можем обговорить по мылу)

    Ответить
  4. Рустам

    Алексей, планируете ли Вы в 2011 году проведение своего курса "Управление инцидентами ИБ"?

    Я так понимаю у Leta-IT/Group-IB таких мероприятий в планах нет.

    Ответить
  5. Алексей Лукацкий

    Я же человек подневольный 😉 Будут запросы от учебных центров — проведу. Не будет — не проведу. Я же сам не организую группы обучения.

    Ответить
  6. Рустам

    Хорошо:)
    тогда такой вопрос: в сторону каких учебных центров смотреть по данной тематике?

    Ответить
  7. Алексей Лукацкий

    Ну таких нет в России — тема пока невостребованная в массовом порядке, чтобы УЦ создавали собственный курс ;-( Можно порекомендовать УЦ пригласить меня в качестве преподавателя на один курс 😉

    Ответить
  8. Рустам

    В итоге я нашел 4 курса:
    1) "Расследование компьютерных инцидентов" Информзащита

    2) "Расследование инцидентов информационной безопасности" МНУЦИБ

    3) "Управление инцидентами информационной безопасности. Практические аспекты" Академия Информационных Систем

    4) Ваш курс "Управление инцидентами ИБ"

    В самом деле не густо:(

    Ответить
  9. Алексей Лукацкий

    Курс "Информзащиты" обсуждает именно расследование. Причем в контексте только общения с правоохранительными органами.

    О курсе МНУЦИБ ничего не слышал. По опубликованной программе ничего конкретного сказать не могу — очень уж неконкретная.

    Курс АИС тоже касается только расследования и процедуры сбора доказательств.

    Я сторонник мысли о том, что именно расследованием должны заниматься отдельные люди/компании. Собственную службу расследований могут себе позволить иметь единицы компаний. Гораздо важнее управлять инцидентами, выстраивая CSIRT, процедуры получения и обмена информацией, взаимодействия с правоохранителями или специализированными компаниями, ведения инцидентов, их приоритезации и т.д. Мой курс посвящен именно этим аспектам в первую очередь. Хотя и вопросы расследования я тоже рассматриваю.

    Ответить
  10. Рустам

    Спасибо за подробный ответ!

    Ответить