четверг, 25 августа 2011 г.

Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с утечкой внутренней информации

Переведен еще один документ CERT Societe Generale - Руководство по обработке инцидентов, связанных с утечкой внутренней информации. Авторы документа - Cédric Pernet и David Bizeul. В документе приведены рекомендации по выявлению фактов утечек информации, проведению расследования, а также по действиям, которые нужно предпринять для минимизации воздействия произошедшей утечки информации на компанию.

В документе определены 6 этапов обработки инцидентов, связанных с утечками информации:
  • Подготовка: обеспечение готовности к обработке инцидента
  • Выявление утечки: выявление инцидента
  • Снижение воздействия: минимизация воздействия инцидента
  • Исправление: удаление утекшей информации
  • Восстановление: восстановление скомпрометированных систем, повышение осведомленности
  • Заключительный этап: составление отчета и совершенствование процесса
Далее приведены краткие инструкции для каждого из этапов.




1. Подготовка

Цель: Установить контакты, определить процедуры и собрать информацию, что позволит сэкономить время при обработке инцидента.

Контакты
  • Определите контактных лиц во внутренних подразделениях и группах, связанных с безопасностью (подразделение внутренней безопасности, группа реагирования на инциденты и т.п.).
  • Установите контакты с внутренними подразделениями компании, такими как подразделение по связям с общественностью, кадровая служба, юридическая служба.
  • Определите внешних контактных лиц, которые могут понадобиться при обработке инцидента (в основном в целях расследования инцидента), например, контактных лиц в правоохранительных органах.
Политика безопасности
  • Убедитесь, что во внутренних документах компании (политиках, правилах, процедурах), а также в программах повышения осведомленности и тренингах по безопасности, в достаточной степени объясняются вопросы ценности корпоративной информации.
  • Проведите идентификацию всех ценных информационных активов компании, убедитесь, что все они идентифицированы должным образом.
  • Установите процедуру эскалации инцидентов безопасности, назначьте участников этой процедуры.
2. Выявление утечки

Цель: Обнаружение инцидента, определение его масштабов, привлечение к обработке инцидента всех необходимых сторон.

Утечка данных может произойти где угодно. Помните, что причиной утечки может быть отдельный сотрудник, умышленно или неумышленно нарушающий требования безопасности, либо скомпрометированный компьютер.

Шаг 1: Выявление проблемы
  • Получение уведомления об инциденте. Внутренняя информация может быть хорошим источником для выявления инцидента: сообщения от доверенных сотрудников, выявление проблемы группой безопасности и т.п.
  • Мониторинг общедоступной информации. Использование поисковых средств сети Интернет и анализ общедоступных баз данных могут иметь большое значение для выявления факта утечки информации.
  • Система DLP (система предотвращения утечек информации). Если в компании внедрена система DLP, анализ сформированных ей уведомлений, а также хранящегося в ней архива передававшейся информации может дать ценные сведения для выявления факта утечки информации и для последующей обработки инцидента.
Шаг 2: Подтверждение проблемы

Не предпринимайте ничего без письменного требования уполномоченного лица (или CISO). Учитывайте рекомендации юридической службы компании. Письменное разрешение от соответствующих пользователей также должно быть у вас под рукой.


Электронная почта. Данные могли быть отправлены с корпоративного адреса электронной почты.
  • В почтовой системе проверьте сообщения электронной почты, отправленные с подозреваемого адреса отправителя или на подозреваемый адрес получателя. С помощью поиска или фильтрации найдите и проверьте сообщения с подозрительным заголовком (темой), текст которого похож на описание утекших данных.
  • В почтовой программе на рабочей станции подозреваемого (при наличии возможности) с помощью средств фильтрации исключите из проверки личные сообщения пользователя. Если вам все же потребуется проверить личные сообщения, руководствуйтесь местным законодательством и рекомендациями юридической службы (например, запросите у пользователя письменное согласие, либо попросите, чтобы он показал эти сообщения самостоятельно).
  • При наличии возможности, просмотрите соответствующие лог-файлы.
Веб-сайты. Данные могли быть отправлены через веб-почту / форумы / сайты социальных сетей / специальные веб-сайты (например, файловые хранилища).
  • На прокси-сервере проверьте логи соединений с использованием учетной записи подозреваемого на подозрительные адреса, которые могли использоваться для кражи данных.
  • На рабочей станции подозреваемого (по возможности), проверьте историю просмотра веб-страниц в веб-браузере. Учтите, что пользователь может работать на одной рабочей станции с несколькими различными веб-браузерами. Если это так, вам нужно проверить историю во всех установленных на его компьютере веб-браузерах. 
  • Используя специальные криминалистические утилиты (forensic tools) проверьте удаленную историю просмотра веб-страниц, а также все содержимое кэша веб-браузера, содержащего контент, сохранившийся в процессе просмотра веб-страниц.
  • Если момент времени, когда произошла утечка данных, известен более-менее точно, это существенно упростит задачу анализа лог-файлов и истории просмотра веб-страниц.
Внешние накопители. Данные могли быть скопированы на различные внешние устройтсва: USB-накопители, компакт-диски, внешние жесткие диски, смартфоны, карты памяти и т.п. При этом на компьютере останется очень мало информации в отношении копирования данных.
  • Подтверждение использования USB-накопителя, с помощью которого могли быть украдены данные, можно найти в операционной системе. Однако криминалистический анализ в таком случае может подтвердить только факт использования такого устройства, но не факт копирования данных.
Локальные файлы. Если на предыдущих этапах ничего не было найдено, остается шанс найти следы в локальной файловой системе компьютера подозреваемого.
  • Аналогично анализу сообщений электронной почты, используйте инструменты поиска и фильтрации, которые позволят исключить из проверки личные данные пользователя. Если вам все же потребуется проверить личные файлы пользователя, руководствуйтесь местным законодательством и рекомендациями юридической службы (например, запросите у пользователя письменное согласие, либо попросите, чтобы он показал эти файлы самостоятельно).
Передача по сети. Для передачи данных за пределы компании может использоваться множество различных способов: FTP, средства обмена мгновенными сообщениями (IM), VPN-туннель, SSH и т.д.
  • Попытайтесь обнаружить подтверждения использования подобных средств в лог-файлах.
  • Учтите, что при использовании таких средств лог-файлы смогут подтвердить использование соответствующих соединений, но они не покажут переданной информации.
Принтер. Данные могут быть распечатаны на сетевом принтере.
  • Проверьте наличие следов в спулере печати на компьютере подозреваемого и непосредственно на самом принтере, т.к. устройства некоторых производителей сохраняют распечатываемые документы на встроенном жестком диске.
Вредоносный код. Если ничего не было найдено, подумайте о возможности заражения компьютера вредоносным кодом.
Примечание. Даже если вы нашли достаточно доказательств, продолжайте поиски. Например, может оказаться, что в момент, когда произошла утечка, сотрудник отсутствовал на рабочем месте и его компьютером воспользовался кто-то другой.

3. Снижение воздействия

Цель: минимизировать влияние утечки на компанию.

Уведомите руководство, юридическую службу и службу по связям с общественностью, чтобы они могли учитывать этот факт в своей работе и планировать соответствующие меры.

В зависимости от способа, использованного для кражи информации, заблокируйте доступ к адресу веб-ресурса или серверу, через который произошла утечка, источнику утечки или получателю информации. Это действие должно быть выполнено для всех компонентов инфраструктуры.

Приостановите действие логических и физических реквизитов доступа инсайдера, если утечка подтвердилась. Обратитесь в юридическую и кадровую службы, прежде, чем предпринимать какие-либо действия.

Изолируйте компьютерную систему (рабочую станцию, принтер), использованную для кражи данных, чтобы провести детальный криминалистический анализ позднее. Следует использовать для этого жесткий вариант выключения – отключите компьютер от электрической сети (для ноутбука – дополнительно извлеките аккумуляторную батарею).

4. Исправление

Цель: Предпринять действия для исправления ситуации.

Если данные были отправлены на публичные сервера, обратитесь к их владельцу (или веб-мастеру) для удаления украденных данных. Сформулируйте свой запрос с учетом того, кому вы его направляете (например, формулировка запроса для администратора хакерского ресурса будет отличаться от формулировки запроса для администратора обычного ресурса).

Если удалить украденные данные невозможно, предоставьте полный анализ ситуации службе по связям с общественностью и руководству. Отслеживайте распространение украденных документов по веб-сайтам, страницам социальных сетей (Facebook, Twitter, Вконтакте и т.д.), обращайте внимание на комментарии и реакцию интернет-пользователей.

Предоставьте собранную информацию по инциденту кадровой и юридической службам, чтобы они могли предпринять юридические действия против инсайдера.

5. Восстановление

Цель: Восстановление нормального функционирования.

Если компьютер пользователя был скомпрометирован, полностью восстановите его.

Информируйте об инциденте сотрудников компании или отдельные подразделения, чтобы повысить их осведомленность и подчеркнуть обязательность соблюдения правил безопасности.

6. Заключительный этап

Цель: Документация детальной информации об инциденте, обсуждение урока на будущее, корректировка планов, внесение изменений в организацию защиты.


Информируйте отдельных сотрудников подразделений компании, филиалов, дочерних структур, партнеров, чтобы разделить с ними лучшие практики, которые оказались эффективны при обработке инцидента, и реализовать похожие подходы на других площадках.

Отчет

Следует написать отчет по результатам обработки инцидента и предоставить его всем заинтересованным лицам. В отчете должно быть описано следующее:
  • Первичное обнаружение
  • Предпринятые действия с указанием времени
  • Что было успешным
  • Что пошло не так
  • Воздействие инцидента
Продумайте, какие действия нужно предпринять для улучшения процессов обработки инцидентов, связанных с утечками информации.

Комментариев нет: