Андрей Голов, руководитель отдела информационной безопасности компании TopS BI.
Тема реагирования на инциденты информационной безопасности (ИБ) и их расследования является сегодня одновременно и популярной, и самой щепетильной. Именно во время расследования и реагирования на инцидент проявляются конкретные уязвимости информационной системы, обнаруживаются следы атак и вторжений, проверяется работа защитных механизмов, качество архитектуры системы ИБ и ее управления.
Как правило, о возникновении инцидентов в системе информационной безопасности компании стараются не заявлять открыто, чтобы не дискредитировать себя и не давать дополнительное "оружие" конкурентам или криминальным структурам, которые в последнее время проявляют повышенный интерес к возможностям информационных технологий. В результате, хотя количество инцидентов ИБ постоянно растет, сведения о них, как правило, держатся в секрете, а мы узнаем лишь о тех немногочисленных инцидентах, информация о которых "просочилась" в прессу.
Оборотная сторона такой информационной непрозрачности - трудности при поиске специалистов, которые могли бы провести работы по расследованию компьютерных инцидентов или выстраиванию в компании процесса реагирования на инциденты. По понятным причинам исполнитель не может предоставить отзывы своих клиентов о произведенных работах такого рода. Вместе с тем проведение работ по расследованию инцидентов требует от исполнителя и заказчика очень высокого уровня взаимного доверия.
Вообще, в России существует целый ряд серьезных проблем в этой области: нет единого центра регистрации инцидентов, отстает законодательство, нет открытых методик и стандартов организации процесса реагирования и расследования инцидентов ИБ. Куда обращаться компании, потерпевшей убытки в результате злоумышленного компьютерного инцидента? Как можно подготовиться к такого рода событиям, какие существуют превентивные меры по предотвращению инцидентов?
За рубежом уже существуют стандарты, описывающие процесс реагирования на компьютерные инциденты. В первую очередь это стандарт NIST Special Publication 800-61 "Computer security incident handling guide". К слову, новая версия ISO 17799:2005 требует наличия процесса реагирования на инциденты (раздел 13 - "Information security incident management"). Попробуем коротко рассмотреть основные составляющие процесса реагирования на инцидент.
Что понимается под инцидентом ИБ и процессом реагирования на инцидент?
Инцидентом информационной безопасности называется любое незаконное, неразрешенное (в том числе политикой ИБ) или неприемлемое действие, которое совершается в информационной системе. Организация процесса реагирования на инцидент преследует такие цели.
- Предупредить нескоординированные действия и в кратчайшие сроки восстановить работоспособность компании при возникновении инцидента.
- Подтвердить или опровергнуть факт инцидента ИБ.
- Представить детализированный отчет о произошедшем инциденте и полезные рекомендации. Создать условия для накопления и хранения точной информации о компьютерных инцидентах. Обеспечить быстрое обнаружение и/или предупреждение подобных инцидентов в будущем (путем анализа "прошедших уроков", изменения политики ИБ, модернизации системы ИБ и др.).
- Обеспечить сохранность и целостность доказательств произошедшего инцидента. Создать условия для возбуждения гражданского или уголовного дела против злоумышленника(-ов). Защитить частные права, установленные законом.
- Минимизировать нарушение порядка работы и повреждения данных ИТ-системы. Минимизировать последствия нарушения конфиденциальности, целостности и доступности ИТ-системы.
- Защитить репутацию компании и ее ресурсы.
- Провести обучение сотрудников компании о процессе реагирования на инцидент.
Кто участвует в процессе реагирования на инцидент?
Расследование инцидентов ИБ и реагирование на них - сложный и комплексный процесс, требующий участия сотрудников многих подразделений компании: сотрудников отдела кадров, юристов, технических экспертов ИТ-системы, внешних консультантов по информационной безопасности, бизнес-менеджеров, конечных пользователей информационной системы, сотрудников служб технической поддержки, сотрудников службы безопасности и др. Большинство компаний создают комиссию по расследованию инцидента ИБ (Computer Security Incident Response Team - CSIRT). Эта комиссия должна включать экспертов и консультантов в юридической и технической сферах.
Каковы основные этапы процесса реагирования на инцидент?
Инцидент компьютерной безопасности часто оказывается проявлением комплексной и многосторонней проблемы. Правильный подход к решению этой проблемы - в первую очередь ее декомпозиция на структурные компоненты и изучение входных и выходных данных каждого компонента.
Основные этапы процесса реагирования на инцидент следующие.
- Подготовка к факту возникновения инцидента ИБ. Предпринимаются действия для подготовки компании к ситуации возникновения инцидента (чтобы минимизировать его последствия и обеспечить быстрое восстановление работоспособности компании). Формирование комиссии по расследованию (CSIRT) инцидентов. Этот этап является одним из самых важных, от него зависит успех в проведении расследования потенциального инцидента.
- Обнаружение инцидента - идентификация инцидента ИБ.
- Начальное реагирование - проведение начального расследования, запись основных деталей событий, сопровождающих инцидент, сбор комиссии по расследованию и информирование лиц, которые должны знать о произошедшем инциденте. Пресечение незаконных действий.
- Формулирование стратегии реагирования. Стратегия базируется на всех известных фактах и определяет лучший путь реагирования на инцидент. Подтверждается топ-менеджментом компании. Стратегия также определяет, какие действия будут предприняты по факту возникновения инцидента (возбуждение гражданского или уголовного дела, административное воздействие), в зависимости от предполагаемых причин и последствий возникновения инцидента.
- Расследование инцидента - проводится через сбор и анализ данных. Проверяются все собранные данные о том, что произошло, когда произошло, кто совершил неприемлемые действия, и как все это может быть предупреждено в будущем.
- Отчет - детализированный отчет, содержащий полученную в ходе расследования информацию. Представляется в форме, удобной для принятия решения.
- Решение - применение защитных механизмов и проведение изменений в процедурах ИБ, запись "полученных уроков".
Расследование инцидента
Фаза расследования призвана определить: кто, что, когда, где, как и почему были вовлечены в инцидент. Расследование включает проверку и сбор доказательств с серверов, сетевых устройств, а также традиционные мероприятия нетехнического характера. Оно может быть разделено на два этапа: сбор данных и их криминалистический анализ. Информация, собранная в ходе выполнения первого этапа расследования, служит в дальнейшем для выработки стратегии реагирования на инцидент. На этапе анализа, собственно, и определяется, кто, что, как, когда, где и почему были вовлечены в инцидент.
Анализ собранных данных включает анализ файлов протоколов работы, конфигурационных файлов, истории Интернет-проводников (включая cookies), сообщений электронной почты и прикрепленных файлов, инсталлированных приложений, графических файлов и прочего. Необходимо провести анализ ПО, поиск по ключевым словам, проверить дату и время инцидента. Криминалистический анализ может также включать анализ на "низком" уровне - поиск удаленных файлов и областей, потерянных кластеров, свободного места, а также анализ восстановленных данных с разрушенных носителей (например, по остаточной намагниченности).
При расследовании инцидента сбор данных может быть выполнен с помощью программного обеспечения "Disk Duplicate". Оно позволяет сделать точные копии жестких дисков ("сектор в сектор") автоматизированных рабочих мест пользователей (сотрудников компании) и серверов. Для анализа полученных данных могут использоваться специальные средства эмуляции рабочих машин пользователей, например, "VMware Virtual Machine". Анализ пространств жестких дисков может проводиться с использованием специализированного программного продукта "Encase Enterprise Edition" или экспертных средств компании Vogon International. Эти два продукта - ведущие в мире при проведении расследования инцидентов ИБ. В ряде случаев для обнаружения следов компьютерных инцидентов могут быть использованы разнообразные программно-аппаратные комплексы для "прослушивания" локальной сети компании (часто используется продукт Ettercap - сетевой сниффер), разнообразные программы-ловушки (HoneyPot) и т. д.