На мой взгляд, основная задача в области управления инцидентами – это как можно большая формализация задач и процессов, чтобы нельзя было делать шаг влево и шаг вправо; чтобы те люди, которые в итоге войдут в группу CSIRT (либо созданную формально, либо неформально), не думали во время инцидента, что им делать, куда им звонить и так далее. Чтобы они четко выполняли шаги, требуемые от них для борьбы с нейтрализацией инцидентов и их последствий (не вдаваясь в терминологические дебри и дискуссии на тему «что такое инцидент»).
Без такой формализации начинается хаос, начинаются метания из стороны в сторону во время инцидента. Кто-то попытался заблокировать злоумышленника или попытался с ним связаться. Кто-то попытался перезапустить систему, которую атаковали. В результате все следы уничтожены, злоумышленник понял, что его обнаружили и прекратил свою несанкционированную деятельность. В итоге, с одной стороны, инцидент прекращен и поверхностная задача решена. А с другой стороны мы столкнулись с ситуацией, в которой возможно повторение этого инцидента, но уже на более глубоком уровне (ведь злоумышленник понял, что его действия обнаружены). Мы не смогли реально идентифицировать злоумышленника, потому что он работал через какой-нибудь прокси. И так далее.
Что в итоге? И действия какие-то произведены. И ущерб предотвращен. Но присутствовало ли тут управление инцидентами? Нет. Потому что мы ничего об этом инциденте не знаем. Ничего не знаем о злоумышленники. Ничего не собрали в качестве доказательств. А вот нарушителю дали понять, что его «пасут», заставив его тем самым предпринять более серьезные действия по скрытию своей активности (правда, может он и отстанет от вас).
На форуме директоров по ИБ, в своей презентации по финансовому измерению ИБ, я показал (слайд 28), что в России проекты по управлению инцидентами экономически неоправданны. И если уж заниматься этой задачей, то делать это надо изначально понимая все особенности; все подводные камни; все достоинства и недоставки каждого из существующих подходов к управлению инцидентами.
К чему я все это пишу, сказав уже что-то в пятницу? Просто навеяло постами Ригеля и Алексея Волкова. Видимо придется уделять этому вопросу больше внимания, коль скоро эта тема стала в России столь популярной 😉
ЗЫ. Коллегам из Leta-IT/Group-IB предлагаю завести отдельный блог/ресурс на эту тему, чтобы сделать эту тему открыто обсуждаемой. Ведь именно в открытой дискуссии и рождается истина. Единого рецепта или сценария может и не найдется, но можно будет увидеть разные подходы к решению данной задачи.
Кстати, реальная тема для книжки, м?
Таки не вопрос — у меня 2/3 даже уже написано ;-))
Ну вот — опоздал 🙁 Доделать ничего не нужно? Работать буду за возможность работы 🙂 (я кстати серьезно — можем обговорить по мылу)
Алексей, планируете ли Вы в 2011 году проведение своего курса "Управление инцидентами ИБ"?
Я так понимаю у Leta-IT/Group-IB таких мероприятий в планах нет.
Я же человек подневольный 😉 Будут запросы от учебных центров — проведу. Не будет — не проведу. Я же сам не организую группы обучения.
Хорошо:)
тогда такой вопрос: в сторону каких учебных центров смотреть по данной тематике?
Ну таких нет в России — тема пока невостребованная в массовом порядке, чтобы УЦ создавали собственный курс ;-( Можно порекомендовать УЦ пригласить меня в качестве преподавателя на один курс 😉
В итоге я нашел 4 курса:
1) "Расследование компьютерных инцидентов" Информзащита
2) "Расследование инцидентов информационной безопасности" МНУЦИБ
3) "Управление инцидентами информационной безопасности. Практические аспекты" Академия Информационных Систем
4) Ваш курс "Управление инцидентами ИБ"
В самом деле не густо:(
Курс "Информзащиты" обсуждает именно расследование. Причем в контексте только общения с правоохранительными органами.
О курсе МНУЦИБ ничего не слышал. По опубликованной программе ничего конкретного сказать не могу — очень уж неконкретная.
Курс АИС тоже касается только расследования и процедуры сбора доказательств.
Я сторонник мысли о том, что именно расследованием должны заниматься отдельные люди/компании. Собственную службу расследований могут себе позволить иметь единицы компаний. Гораздо важнее управлять инцидентами, выстраивая CSIRT, процедуры получения и обмена информацией, взаимодействия с правоохранителями или специализированными компаниями, ведения инцидентов, их приоритезации и т.д. Мой курс посвящен именно этим аспектам в первую очередь. Хотя и вопросы расследования я тоже рассматриваю.
Спасибо за подробный ответ!