вторник, 22 ноября 2011 г.

Практика ИБ \ CERT - Руководство по обработке инцидентов, связанных с действиями инсайдеров

Перевел еще один документ CERT Societe Generale - Руководство по обработке инцидентов, связанных с действиями внутренних злоумышленников (инсайдеров). Автор документа - David Bizeul. В документе приведены рекомендации по выявлению фактов инсайдерской деятельности и реагированию на эти факты с целью минимизации последствий для компании.

В документе определены 6 этапов обработки инцидентов, связанных с деятельностью инсайдеров:
  • Подготовка: обеспечение готовности к обработке инцидента
  • Выявление: выявление инцидента
  • Снижение воздействия: минимизация воздействия инцидента
  • Исправление: устранение угрозы
  • Восстановление: восстановление нормальной работы
  • Заключительный этап: составление отчета и совершенствование процесса
Далее приведены краткие инструкции для каждого из этапов.


1. Подготовка

Цель: Установить контакты, определить процедуры и собрать информацию, что позволит сэкономить время при обработке инцидента.

Контакты
  • Установите контакты с подразделением по связям с общественностью, кадровой службой, юридическим подразделением.
  • Внедрите централизованную систему сбора журналов регистрации событий.
  • Реализуйте процесс управления правами доступа и допуском. Этот процесс должен  предусматривать, в частности, удаление ранее предоставленных привилегий, которые больше не требуются сотруднику для выполнения своих должностных обязанностей.
  • Обеспечьте выполнение  строгой аутентификации в соответствии с уровнем риска для бизнес-приложений.
2. Выявление

Цель: Выявить инцидент, определить его границы и привлечь соответствующие стороны.

Злоупотребления инсайдеров сложно обнаружить, в этом вопросе не может быть рекомендаций, дающих 100%-ный результат.

Техническая идентификация
  • Сообщение от системы SIEM или иного инструмента корреляции событий. Подозрительное поведение может быть обнаружено в результате корреляции некоторого количества необычных событий.
  • Сообщение о выявлении вторжения системой IDS/IPS. В случае если инсайдер пытается взломать какую-либо систему, IDS (IPS) может выявить это и отправить соответствующее уведомление.
Идентификация человека
  • Руководитель: Руководитель инсайдера при правильной организации контроля может быть первым, кто обнаружит подозрительное поведение и уведомит об этом.
  • Подразделения внутреннего контроля, управления рисками, финансового мониторинга: Эти подразделения имеют собственные системы (методики) для выявления операционных аномалий. Они также могут быть источником уведомления, если заметят что-то необычное.
  • Коллеги: Коллеги инсайдера могут быть самым ценным каналом получения уведомления, поскольку они прекрасно знают задачи, процессы и должностные обязанности. Они легко могут понять происходящее.
  • Внешние стороны: Внешние партнеры или организации могут также иметь собственные средства для выявления необычных действий. Если операции были подделаны внутри компании, такие внешние стороны могут быть источником реальной информации.
3. Снижение воздействия

Цель: Снизить влияние атаки на целевую среду.

Не предпринимайте ничего без письменного требования уполномоченного лица (или CISO). Учитывайте рекомендации юридической службы компании. Письменное разрешение от соответствующих пользователей также должно быть у вас под рукой.
  • Привлечение нужных людей: Следует информировать о злоупотреблении определенных людей в компании, которые могут помочь в этой ситуации. Среди них может быть кадровая служба, юридическое подразделение, служба по связям с общественностью, руководители подозреваемого инсайдера.
  • Встреча: руководителю кадровой службы следует встретиться с подозреваемым инсайдером и объяснить ему, что было обнаружено и что произойдет дальше. Для поддержки тут могут потребоваться представители юридического подразделения, службы безопасности, технические специалисты, а также руководство компании.
  • Понижение привилегий: Если подозреваемому инсайдеру позволено продолжать работать до завершения расследования, предоставьте ему компьютер с минимумом разрешений.
  • Приостановка доступа: Если подозреваемому инсайдеру не дано разрешение на продолжение работы, приостановите его учетную запись и права доступа, включая допуск к приложениям, системные учетные записи, заблокируйте криптографические ключи и, при необходимости, пропуск на территорию компании.
  • Удаленный доступ: Приостановите возможности удаленного доступа подозреваемого инсайдера к информационным ресурсам компании, например, учетные записи для VPN-соединений, токены и т.п.
  • Конфискация: Заберите у подозреваемого инсайдера все компьютерные устройства, принадлежащие компании.
Вариант 1: необычная активность

Если ничего подозрительного или вредоносного пока не подтверждено, следует сразу начать два расследования:
  • экспертиза компьютерных устройств подозреваемого инсайдера
  • исследование журналов регистрации событий из различных источников
Вариант 2: вредоносная / мошенническая активность

Если подозрительное или вредоносное поведение уже подтверждено, подумайте о целесообразности обращения в правоохранительные органы. В этом случае не выполняйте никаких дальнейших технических действий. Позвольте сотрудникам юридического подразделения и/или правоохранительных органов собрать все необходимые доказательства, но будьте готовы помочь им, если это потребуется.

Если злоупотребление может привести к нежелательным побочным последствиям, проанализируйте воздействие инцидента, прежде чем предавать гласности информацию о нем. Обеспечьте информирование уполномоченных лиц, если это необходимо.

4. Исправление

Цель: Выполните действия для устранения угрозы и исключения ее влияния в будущем.


Этап исправления довольно ограничен в случае злоупотребления инсайдера. В зависимости от конкретной ситуации, могут быть рассмотрены следующие действия:
  • Примите дисциплинарные меры против инсайдера (или увольте его), заблокируйте его учетные записи.
  • Удалите все фиктивные или мошеннические операции, сделанные инсайдером.
  • Проанализируйте все программы и скрипты, разработанные инсайдером, удалите весь код, в котором нет необходимости.

5. Восстановление

Цель: восстановление нормальной работы систем.

Если информация об инциденте не была обнародована раньше, не забудьте предупредить все заинтересованные стороны, подверженные влиянию инцидента (клиенты, партнеры и т.д.) и соответствующих уполномоченных лиц. В случае серьезных последствий, заявления (сообщения) о произошедшем должны быть сделаны высшим руководством.

В конце предупредите сотрудников компании или отдельные подразделения (группы) о произошедшем инциденте для повышения их осведомленности и улучшения соблюдения правил безопасности.

6. Заключительный этап

Цель: документируйте детали инцидента, обсудите извлеченные уроки, скорректируйте планы и защитные меры.

Отчет

Должен быть написан отчет по инциденту, который следует предоставить всем заинтересованным лицам. В отчете должно быть описано следующее:
  • Первичное обнаружение
  • Предпринятые действия с указанием времени
  • Что было успешным
  • Что пошло не так
  • Воздействие инцидента
Обратите внимание

В случае злоупотребления инсайдера, особое внимание нужно обратить на следующие улучшения:
  • Улучшение процесса предоставления прав доступа
  • Улучшение защитных мер в компании
  • Осведомленность персонала о мошенничестве и вредоносных действиях

3 комментария:

Andrey Prozorov комментирует...

Хм, странно видеть вот такие моменты "В случае если инсайдер пытается взломать какую-либо систему...". Обычно под понятием "инсайдер" скрывается внутренний нарушитель, имеющий права доступа. Соответственно, если прав нет, то это не инсайдер, а просто "внутренний нарушитель"...

А так документ интересный, коротко и правильно.

eagle комментирует...

Видимо вопрос терминологии. В данном документе под инсайдером понимается именно внутренний нарушитель. Он может иметь ограниченные права в системе или вовсе не иметь к ней доступа.

Александр комментирует...

Александр, где же Ваши прекрасные еженедельные дайджесты?