Готов ли администратор (или отдел ИТ) вашей организации к реагированию на происшествия в сфере безопасности? К сожалению, многим компаниям приходится осваивать меры по устранению последствий атак по факту их обнаружения. При таком подходе затраты, связанные с происшествиями, зачастую многократно возрастают. Эффективная модель реагирования на происшествия должна стать неотъемлемой составляющей общей политики безопасности и стратегии минимизации рисков.
Оперативное реагирование на происшествия, безусловно, приносит прямые выгоды. Более того, не исключены косвенные финансовые выгоды. К примеру, если вам удастся продемонстрировать страховой компании навыки оперативного и эффективного противодействия атакам, она может предложить скидку. Если же ваша компания является поставщиком услуг, то официальный план реагирования на происшествия, свидетельствующий о серьезном отношении к обеспечению информационной безопасности, превращается в конкурентное преимущество.
В настоящем документе изложены рекомендуемые приемы и методики реагирования на атаки, происходящие в сетевых средах малых и средних организаций. Автор объясняет, почему в организации следует сформировать группу реагирования на происшествия в сфере безопасности, четко распределив в ней роли, и как составить план подобных мер.
Для эффективного реагирования на происшествия необходимо:
свести к минимуму число и степень серьезности таких происшествий;
сформировать базовую группу реагирования на происшествия в сфере информационной безопасности (Computer Security Incident Response Team — CSIRT);
составить план реагирования на происшествия;
научиться сдерживать разрастание ущерба и сократить риски.
Системные администраторы уделяют значительную часть своего времени сетевым средам и прекрасно осведомлены о принципах организации сетей. Они документируют существующие среды и создают резервные копии. Таким образом, процесс аудита, позволяющий отслеживать производительность и загрузку сетевых ресурсов, присутствует по умолчанию. Перед формированием группы реагирования на происшествия должен быть накоплен определенный массив знаний.
Вне зависимости от того, насколько подробно вы знакомы с сетевой средой, риск атаки остается неизменным. В любой осмысленной стратегии безопасности должны быть предусмотрены подробные процедуры реагирования на атаки разных типов.
Минимизация числа и степени серьезности происшествий
Практически во всех сферах деятельности профилактика оказывается эффективнее лечения, и безопасность — не исключение. При любой возможности происшествия нужно предотвращать. Впрочем, далеко не во всех случаях это возможно. Если происшествие все же случилось, необходимо свести к минимуму его последствия. Для этого нужно предпринять следующие меры.
Утвердить четкие политики и процедуры, а затем воплотить их в жизнь. Многие происшествия в сфере безопасности становятся результатом невнимательности ИТ-специалистов, которые не соблюдают либо не понимают процедуры управления изменениями и неверно настраивают устройства защиты — в частности, межсетевые экраны и системы проверки подлинности. Политики и процедуры должны быть тщательнейшим образом апробированы на предмет применимости, ясности и обеспечения надлежащего уровня безопасности.
Заручиться поддержкой руководства в части политик безопасности и методик реагирования на происшествия.
Регулярно анализировать среду на предмет уязвимостей. Анализ должен проводиться надежным специалистом в вопросах безопасности, наделенным необходимыми административными полномочиями.
Регулярно проверять все вычислительные системы и сетевые устройства на наличие новейших исправлений.
Разработать тренинги по безопасности — как для ИТ-специалистов, так и для конечных пользователей. Самую серьезную уязвимость любой системы создают неопытные пользователи. Именно благодаря неосмотрительности ИТ-специалистов и конечных пользователей стало возможным широкое распространение вируса-червя ILOVEYOU.
Вывесить объявления с указанием обязанностей пользователей, ограничений, которые они должны соблюдать, и возможного наказания. Подобные объявления упрощают сбор доказательств и преследование злоумышленников. По поводу формулировок объявлений лучше проконсультироваться с юристом.
Разработать, реализовать и следить за соблюдением политики надежных паролей. Подробные инструкции по управлению паролями содержатся в разделе «Обеспечение надежности паролей в масштабе организации» комплекта документации по вопросам безопасности.
Регулярно проводить мониторинг и анализировать сетевой трафик и производительность систем.
Регулярно проводить проверку всех журналов и механизмов их ведения — в частности, журналов событий ОС, отдельных приложений и системы обнаружения вторжений.
Проверять процедуры резервирования и восстановления. Следует знать, где хранятся резервные копии и кто имеет к ним доступ. Процедуры восстановления данных и систем должны быть четко прописаны. Регулярно проверяйте резервные копии и их носители путем выборочного восстановления данных.
Создайте группу реагирования на происшествия в сфере информационной безопасности (CSIRT). Более подробно функции этой группы описаны в следующем разделе настоящего документа.
Формирование базовой группы реагирования на происшествия в сфере информационной безопасности (CSIRT)
Группа CSIRT должна стать центром противодействия нарушениям защиты организационной среды. Ее участники должны уметь справляться с любыми происшествиями в сфере безопасности. Совершенно необходимо четко регламентировать обязанности подобной группы, не упустив ни единой мелочи.
Собрав группу реагирования загодя, вы сможете наладить механизм противодействия нарушениям. Эффективная группа должна:
проводить мониторинг систем с целью выявления нарушений безопасности;
служить центром информационного обмена, обрабатывая поступающие отчеты о происшествиях в сфере безопасности и рассылая важнейшие данные о них соответствующим инстанциям;
документировать и каталогизировать происшествия в сфере безопасности;
повышать уровень знаний сотрудников компании об обеспечении безопасности, тем самым уменьшая вероятность новых происшествий в организационной среде;
подкреплять аудит систем и сети за счет таких процессов, как анализ уязвимостей и проверка на проникновение;
собирать сведения о новых уязвимостях и стратегиях атак, практикуемых злоумышленниками;
изучать новейшие исправления ПО;
анализировать и разрабатывать новые методики минимизации рисков и уязвимостей системы безопасности;
предоставлять консультативные услуги по вопросам безопасности;
регулярно корректировать и обновлять существующие системы и процедуры.
Участников группы CSIRT в ходе ее формирования нужно подготовить к реагированию на происшествия. Эта задача решается принятием следующих мер.
Проведите учебные занятия по вопросам эксплуатации и обнаружения важнейших средств безопасности. Имеет смысл предоставить участникам группы портативные компьютеры с установленными и настроенными средствами безопасности; в этом случае специалисты смогут, не отвлекаясь на настройки, незамедлительно приступить к реагированию на происшествие. Когда эти системы и средства не эксплуатируются, они должны быть надежно защищены.
Соберите все необходимые контактные данные. В вашем распоряжении должны быть имена и номера телефонов всех сотрудников организации, которые будут получать оповещения об экстренных ситуациях (в частности, речь идет об участниках группы CSIRT, специалистах по обслуживанию систем и ответственных за взаимодействие со СМИ). Кроме того, следует иметь контактную информацию поставщика услуг Интернета, местных и центральных правоохранительных органов. По поводу обращения в местные правоохранительные органы следует заранее проконсультироваться с юристом. Так вы сможете уяснить процедуры оповещения о происшествиях и сбора данных. Юриста нужно ставить в известность о любых контактах с правоохранительными органами.
Разместите все экстренные данные о системах в одном автономном источнике (например, в скоросшивателе или в памяти компьютера, отключенного от всех компьютерных сетей). Среди экстренных данных должны фигурировать пароли систем, IP-адреса, сведения о конфигурации маршрутизаторов, списки наборов правил межсетевого экрана, копии ключей, выданных органом сертификации, имена и телефоны контактных лиц, процедуры перераспределения ответственности и т.д. Эти сведения должны быть подготовлены заранее и надежно защищены. В частности, экстренные данные можно сохранить в зашифрованном виде на специальном портативном компьютере, поместить этот компьютер в сейф и ограничить список лиц, имеющих доступ к содержимому сейфа, руководителем группы CSIRT, начальником информационного отдела или техническим директором.
Состав и структура группы CSIRT зависит от типа организации и принятой стратегии управления рисками. Как бы то ни было, в большинстве случаев группа CSIRT должна входить в состав группы безопасности организации или заменять ее. В базовой группе должны состоять специалисты по вопросам безопасности, ответственные за координацию мер в связи с любыми происшествиями. Численность группы CSIRT, как правило, обусловлена размером и структурой организации. Участников группы должно быть достаточно для того, чтобы все ее обязанности могли быть выполнены в полной мере и в любое время.
Распределение ролей внутри группы
В составе эффективной группы CSIRT должно быть выделено несколько основных ролей.
Руководитель группы CSIRT. В группе CSIRT должен быть человек, несущий ответственность за всю ее деятельность. Обычно руководитель не только отвечает за предпринимаемые группой меры, но и проводит анализ этих мер. В результате анализа в политики и процедуры реагирования на происшествия могут вноситься изменения.
Координатор группы. В случае происшествия один из специалистов назначается координатором и занимается организацией защитных мер. Координатор группы CSIRT, таким образом, ответственен за устранение последствий конкретного происшествия или набора связанных друг с другом происшествий. Процесс передачи информации о происшествии осуществляется через координатора, а при контактах с внешними структурами он выступает от имени всей группы. Личность координатора зависит от характера происшествия; зачастую координатор и руководитель группы оказываются разными лицами.
Привлеченные участники. Помимо основного состава группы CSIRT, к устранению последствий тех или иных происшествий привлекаются сторонние специалисты. Они могут привлекаться из разных отделов организации. Привлеченные участники специализируются в сферах, затрагиваемых происшествиями, которые не входят в круг прямых обязанностей группы CSIRT. Привлеченные участники реагируют на происшествия собственными силами или выступают посредниками, через которых соответствующие полномочия передаются более компетентным специалистам их отделов. В нижеследующей таблице приведены предложения по составу привлеченных участников и их ролям.
Привлеченные участники группы CSIRT
Привлеченный участник
Описание роли
Посредник отдела ИТ
Этот специалист организует обмен информацией между координатором группы CSIRT и остальной частью группы ИТ. Наличие технических знаний, необходимых для реагирования на происшествия того или иного типа, не является обязательным требованием к посреднику; в то же время именно он несет основное бремя ответственности за поиск в группе ИТ специалистов, способных устранить последствия определенных событий безопасности.
Юридический представитель
Этот участник группы — юрист, который разбирается в действующих политиках реагирования на происшествия. Юридический представитель определяет в связи с происшествием порядок действий, который позволит свести к минимуму правовую ответственность организации и повысить шансы преследования нарушителей.
В первую очередь, прежде чем произойдет первое происшествие, юридический представитель должен ознакомиться с политиками мониторинга и реагирования, убедившись в том, что операции очистки и сохранения не подвергают организацию риску, связанному с нарушением закона. Крайне важно осознавать правовые последствия выключения систем и, следовательно, нарушения договоров об уровне обслуживания или членства, заключенных с клиентами, и, наоборот, продолжения работы атакованной системы и ответственности за повреждения в результате атак, инициированных через эту систему.
Любое взаимодействие с правоохранительными и следственными органами должно согласовываться с юридическим представителем.
Ответственный за связи с общественностью
Как правило, этот участник группы привлекается из отдела по связям с общественностью. Его задача — охранять и совершенствовать репутацию компании.
Непосредственным общением со СМИ и клиентами могут заниматься и другие лица, а ответственный за связи с общественностью должен формулировать ту информацию, которую компания желает довести до сведения публики (содержание и цели подобных посланий обычно определяет руководство). Все вопросы, поступающие от СМИ, должны перенаправляться в отдел по связям с общественностью.
Руководство
К устранению последствий того или иного происшествия, в зависимости от его характера, могут привлекаться руководители конкретного отдела или менеджеры всей организации. Оптимальная кандидатура представителя руководства зависит от последствий, локализации, степени серьезности и типа происшествия.
При наличии контакта с руководством вы сможете быстро подобрать подходящего специалиста с учетом конкретных обстоятельств. Руководство утверждает политику безопасности и формулирует ее направления.
Кроме того, руководство определяет общую степень влияния (финансового и иного) происшествия на деятельность организации. Руководство указывает специалисту по внешним связям, какую информацию можно передать в СМИ, определяет уровень взаимодействия между юридическим представителем и правоохранительными органами.
Реагирование на происшествие
В случае происшествия группа CSIRT координирует ответные действия своей базовой части и взаимодействует с привлеченными участниками. В приведенной ниже таблице указаны обязанности лиц, исполняющих в группе различные роли, в ходе реагирования на происшествия.
Обязанности группы CSIRT в процессе реагирования на происшествия
Действие
Роль
Координатор группы
Посредник отдела ИТ
Юридический представитель
Специалист по внешним связям
Руководство
Первоначальная оценка
Ответственный
Консультирование
Нет
Нет
Нет
Первоначальные меры
Ответственный
Реализация
Доработка
Доработка
Доработка
Сбор свидетельств для суда
Реализация
Консультирование
Ответственный
Нет
Нет
Реализация временных исправлений
Ответственный
Реализация
Доработка
Доработка
Консультирование
Передача информации
Консультирование
Консультирование
Консультирование
Реализация
Ответственный
Взаимодействие с местными правоохранительными органами
Доработка
Доработка
Реализация
Доработка
Ответственный
Реализация непрерывных исправлений
Ответственный
Реализация
Доработка
Доработка
Доработка
Определение финансовых последствий для предприятия
Доработка
Доработка
Консультирование
Доработка
Ответственный
[](#mainsection)[К началу страницы](#mainsection)
### Составление плана реагирования на происшествия
Все участники ИТ-среды должны знать порядок действий в случае происшествия. Большую часть мер реагирования выполняет группа CSIRT, однако ИТ-специалисты всех уровней должны иметь представление о процедуре внутренней отчетности о происшествиях. Конечные пользователи должны сообщать о подозрительных операциях напрямую ИТ-специалистам или в службу поддержки; обращение в группу CSIRT по таким вопросам не приветствуется.
Каждый участник группы должен внимательно изучить план реагирования на происшествия. Если план непосредственно доступен всем ИТ-специалистам, есть основания рассчитывать на то, что в случае происшествия утвержденный порядок действий будет соблюден.
Согласно эффективному плану реагирования на происшествия нужно предпринять следующие меры:
- провести первоначальную оценку;
- сообщить о происшествии;
- сдержать разрастание ущерба и сократить риски;
- определить тип и серьезность нарушения системы безопасности;
- собрать данные о происшествии;
- при необходимости оповестить компетентные органы;
- восстановить системы;
- собрать и структурировать документацию по происшествию;
- оценить ущерб, нанесенный происшествием, и затраты на устранение его последствий;
- пересмотреть политики реагирования и обновления.
Эти меры не всегда предпринимаются в четкой последовательности. Некоторые из них проходят через весь жизненный цикл происшествия. К примеру, документирование начинается с первых шагов и продолжается вплоть до завершения работы в связи с происшествием; обмен информацией также носит непрерывный характер.
Другие составляющие данного процесса тесно связаны друг с другом. К примеру, в ходе первоначальной оценки формируется общее представление о характере атаки. На основе полученных данных следует как можно быстрее ограничить распространение ущерба и свести к минимуму риски. Оперативные действия сокращают временные и финансовые затраты, а кроме того, уберегают репутацию компании.
В то же время, пока тип и степень серьезности нарушения системы безопасности не установлены, осуществить локализацию ущерба и сокращение рисков наиболее эффективным способом не удастся. Чрезмерно активные ответные действия способны принести больший ущерб, чем первоначальная атака. Тесная связь составляющих процесса позволяет достичь компромисса между оперативностью и эффективностью действий.
**Примечание.** Процесс реагирования на происшествия необходимо тщательно проверить заранее. Без полноценной проверки нельзя быть уверенным в том, что предусмотренные меры окажутся эффективными при устранении последствий реальных происшествий.
#### Проведение первоначальной оценки
Многие операции содержат признаки атаки. К примеру, таковые могут прослеживаться в действиях сетевого администратора, проводящего штатное обслуживание систем. В иных случаях из-за неверных настроек происходит ложное срабатывание системы обнаружения вторжений, что затрудняет идентификацию настоящих, серьезных происшествий.
В рамках первоначальной оценки нужно выполнить следующие действия.
- Выяснить характер события, классифицировав его как происшествие либо ложное срабатывание.
- Определить в общих чертах тип и серьезность атаки. Необходимо собрать информацию в объеме, достаточном для ее передачи на подробный анализ, а также для принятия мер по локализации ущерба и минимизации рисков.
- Тщательно фиксировать предпринимаемые меры. Впоследствии на основе этих записей происшествие (будь оно реальным или ложным) будет документировано.
**Примечание.** По мере возможности следует избегать ложных срабатываний; в то же время лучше уж реагировать на них, чем пропустить серьезное происшествие. Результаты первоначальной оценки, таким образом, должны быть как можно более краткими, но в то же время достаточными для отбраковки очевидных ложных срабатываний.
#### Передача информации о происшествии
При первом подозрении на происшествие в сфере безопасности все сведения о нем нужно оперативно донести до остальных участников группы CSIRT. После этого группа под руководством координатора должна быстро определиться с перечнем лиц за пределами базового состава, которых нужно проинформировать о случившемся. Это позволит организовать надлежащий контроль и координацию действий в связи с происшествием, а также свести к минимуму ущерб.
Стоит иметь в виду, что ущерб принимает самые разные формы — скажем, статья в газете с описанием бреши в системе безопасности по своим разрушительным последствиям может дать фору многим вторжениям. По этой причине до того момента, пока брешь не будет устранена, сведения о ней не должны распространиться за пределы группы реагирования на происшествия. Впоследствии, исходя из характера ситуации, группа сможет определиться с перечнем лиц, которых следует проинформировать. Это может быть кто угодно — от отдельных сотрудников до всей компании и ее клиентов. Взаимодействие со сторонними лицами и организациями должно согласовываться с юридическим представителем.
[](#mainsection)[К началу страницы](#mainsection)
### Локализация ущерба и минимизация рисков
Оперативные действия, направленные на минимизацию непосредственных и потенциальных последствий атаки, позволяют предотвратить расширение масштабов проблемы. Конкретные меры по реагированию зависят от особенностей организации и характера атаки. Перечисленные ниже действия в общем случае предлагаются в качестве приоритетных.
1. **Предпримите все меры к защите жизни и безопасности людей.** Это безусловно приоритетное направление деятельности во всех ситуациях.
2. **Организуйте защиту данных ограниченного доступа и конфиденциальных данных.** В ходе планирования мер реагирования на происшествия нужно четко идентифицировать данные ограниченного доступа и секретные данные. В результате можно будет выстроить систему приоритетных операций по защите данных.
3. **Организуйте защиту других данных, в том числе производственной, научной и управленческой информации.** Данные, хранящиеся в организационной среде, даже если они не относятся к категории конфиденциальных, вероятно, представляют ценность. В первую очередь нужно защитить наиболее ценные данные, постепенно переходя к менее ценным.
4. **Защитите аппаратное и программное обеспечение от атаки.** В частности, следует обеспечить защиту от потери и модификации системных файлов, а также от физического повреждения оборудования. Помните, что повреждение систем приводит к простою, который, в свою очередь, сопряжен с существенными затратами.
5. **Сведите к минимуму сбои вычислительных ресурсов (в том числе процессов).** В большинстве сред пребывание систем в работоспособном состоянии крайне актуально, однако если оставить их в таком состоянии во время атаки, впоследствии могут возникнуть более серьезные проблемы. Впрочем, как правило, минимизация сбоев вычислительных ресурсов считается относительно низкоприоритетной задачей.
Для локализации ущерба и минимизации рисков в организационной среде можно предпринять определенный комплекс мер. Как минимум, следует сделать следующее.
- Попытайтесь не дать злоумышленникам понять, что вы в курсе их действий. Это трудная задача, так как некоторые важнейшие меры, предпринятые в ответ на происшествие, могут выдать ваши намерения. К примеру, проведение экстренного совещания группы CSIRT или требование о незамедлительной смене всех паролей не оставит у злоумышленника сомнений в вашей информированности, если он действует изнутри организации.
- Сопоставьте затраты, сопряженные с переводом скомпрометированных и родственных им систем в автономный режим, с рисками продолжения их работы. В абсолютном большинстве случаев такие системы нужно срочно отключить от компьютерных сетей. В то же время, возможно, в заключенных вашей организацией договорах на обслуживание предусматривается поддержание систем в доступном состоянии даже при наличии риска дальнейшего повреждения. В таких условиях разумно оставить систему в оперативном режиме, но с ограничениями связи; одновременно у вас появится возможность собрать дополнительные данные об атаке.
В некоторых случаях ущерб и масштаб происшествия оправдывают меры, влекущие за собой предусмотренные договорами штрафные санкции в пользу контрагентов. Как бы то ни было, меры, направленные на противодействие атаке, должны быть намечены заранее и зафиксированы в плане реагирования; в таком случае по факту происшествия можно будет действовать немедленно.
- Определите точки доступа, эксплуатируемые злоумышленником, и примите меры к предотвращению подобных действий в дальнейшем. Среди возможных мер в этом направлении — отключение модема, создание в настройках маршрутизатора или межсетевого экрана новых элементов управления доступом и повышение физической безопасности.
- Рассмотрите возможность компоновки новой системы с новыми жесткими дисками (старые жесткие диски следует извлечь и направить на хранение, так как в случае судебного преследования злоумышленников они станут вещественными доказательствами). Обязательно смените все локальные пароли. Кроме того, в масштабе всей среды нужно сменить административные пароли и пароли учетных записей служб.
#### Определение степени серьезности компрометации
Для эффективного восстановления после атаки необходимо определить, серьезно ли скомпрометированы системы. В результате вы получите представление о путях дальнейшей локализации ущерба и минимизации риска, методах и временных параметрах восстановления, перечне лиц, которые должны быть информированы о произошедшем, и обоснованности возмещения по суду.
Предпримите следующие действия.
- Определите характер атаки (результаты могут отличаться от выводов, сделанных в ходе первоначальной оценки.
- Определите точку происхождения атаки.
- Уясните цель атаки. Была ли атака организована для получения конкретных данных о деятельности вашей организации или она носила случайный характер?
- Учет скомпрометированных систем.
- Выявление файлов, к которым злоумышленник получил доступ, и определение конфиденциальности содержащейся в них информации.
Выполнив эти действия, вы сможете выработать тактику реагирования, адаптированную к конкретной среде. В эффективном плане реагирования на происшествия должны быть предусмотрены процедуры, актуальные после выяснения подробных характеристик атаки. Как правило, порядок выполнения процедур, описанных в плане, обуславливается симптомами атаки. Поскольку время становится критичным фактором, как правило, быстрые процедуры имеет смысл выполнять в первую очередь. Для определения степени серьезности компрометации нужно выполнить следующие действия.
- Свяжитесь с другими участниками группы реагирования и расскажите им о своих наблюдениях, после этого они должны проверить правильность ваших выводов. Узнайте, оповещены ли они о связанных и потенциальных действиях злоумышленника, и определитесь с тем, не является ли зафиксированное событие ложным срабатыванием системы защиты. В некоторых случаях событие, которое в ходе первоначальной оценки показалось серьезным происшествием, на поверку оказывается случаем ложного срабатывания.
- Выясните, подключено ли к сети стороннее оборудование и есть ли следы несанкционированного доступа путем компрометации физических средств защиты.
- Исследуйте основные группы пользователей (администраторы домена, администраторы и т.д.) на предмет несанкционированных учетных записей.
- Проведите поиск ПО анализа системы безопасности и эксплуатации уязвимостей. В ходе сбора доказательств в скомпрометированных системах зачастую обнаруживаются средства взлома.
- Проведите поиск несанкционированных процессов и приложений, исполняемых в данный момент или настроенных при помощи папок автозапуска и записей реестра.
- Проверьте, есть ли бреши в системных журналах и сохранились ли эти журналы вообще.
- Проанализируйте журналы системы обнаружения вторжений на предмет свидетельств вторжения, перечня систем, на которые распространилась атака, методов, времени и длительности атаки, а также общих масштабов потенциального ущерба.
- Исследуйте другие файлы журналов на предмет нестандартных соединений, ошибок и необычно успешных результатов аудита безопасности, ошибок при входе, попыток выполнить вход с данными учетных записей по умолчанию, активности в нерабочие часы, коррекции разрешений доступа к файлам, каталогам и общим ресурсам, расширенных и измененных разрешений пользователей.
- Сравните характеристики систем с результатами ранее проведенных проверок целостности этих систем и файлов. В результате вы сможете выявить случаи добавления, удаления, изменения, а также коррекции разрешений и полномочий управления в файловой системе и реестре. Точно определив перечень скомпрометированных систем и масштаб работ по восстановлению, вы сможете сэкономить массу времени.
- Проведите поиск конфиденциальных данных (например, номеров кредитных карт, информации о сотрудниках и клиентах), перемещенных или скрытых для последующего извлечения или изменения. Кроме того, имеет смысл проверить системы с целью поиска некоммерческих данных, нелегальных копий ПО, адресов электронной почты и других записей, которые могут помочь в расследовании. Если в ходе поиска в системе для целей расследования существует возможность нарушения режима конфиденциальности или иных законодательных норм, предварительно проконсультируйтесь с юридическим отделом.
- Сравните производительность систем, находящихся под подозрением, с базовыми показателями. Подразумевается, что базовые показатели измерены и надлежащим образом обновляются.
Определяя перечень скомпрометированных систем и методы их компрометации, вы должны сравнить их работу с базовыми показателями тех же систем, зафиксированными до происшествия. Применение в качестве эталона недавней теневой копии системы не рекомендуется — может оказаться, что к моменту создания этой копии система уже была атакована.
**Примечание.** В определении масштаба компрометации систем вам помогут такие инструментальные средства, как EventCombMT, DumpEL и Microsoft Operations Manager (MOM). Системы обнаружения вторжений сторонних производителей оповещают об атаках заранее, а некоторые другие инструментальные средства позволяют отслеживать изменение файлов в системах.
#### Сбор и хранение доказательств
Во многих случаях после преднамеренной атаки организационной среды имеет смысл инициировать судебное преследование злоумышленников. Для того чтобы сохранить возможность подобных действий, необходимо собрать данные, свидетельствующие против злоумышленников; такие меры актуальны даже в том случае, если в конечном итоге будет принято решение об отказе от преследования. Скомпрометированные системы крайне важно как можно быстрее резервировать. Резервные копии нужно создать до принятия любых мер, воздействующих на целостность данных на исходном носителе.
Специалист, компетентный в вопросах компьютерной криминалистики, должен создать не менее двух полных, точных резервных копий всей системы на новых, никогда не бывших в употреблении носителях. По меньшей мере одна из резервных копий должна быть размещена на носителе однократной записи (например, CD-R или DVD-R). Эта резервная копия должна применяться исключительно в целях обвинения, и до того момента, когда она для этого потребуется, ее нужно хранить в надежном, защищенном месте.
Вторую резервную копию можно задействовать для восстановления данных. Употребление этих копий в любых целях, помимо судебных, должно быть запрещено, в связи с чем их нужно хранить в надежном месте. Помимо прочего, необходимо зафиксировать ряд данных о резервных копиях, указав, в частности, имя специалиста, их создавшего, время создания, способ защиты и перечень лиц, имеющих к ним доступ.
После создания резервных копий исходные жесткие диски нужно извлечь из систем и направить на безопасное хранение. В случае судебного преследования эти диски будут считаться вещественными доказательствами. В системе должны быть установлены новые жесткие диски.
В некоторых случаях затраты в связи с увеличением продолжительности мер реагирования и восстановления системы перевешивают преимущества сохранения данных. По признакам издержек и преимуществ стратегию сохранения данных следует сопоставить со стратегией скорейшего восстановления.
Полное резервирование очень крупных систем после их компрометации может оказаться неосуществимым. В таком случае следует резервировать все журналы и избранные, нарушенные в результате атаки элементы системы.
По возможности желательно также резервировать данные состояния системы. До начала судебного процесса могут пройти многие месяцы и даже годы, поэтому происшествие нужно документировать как можно подробнее.
Самой сложной правовой задачей применительно к правонарушениям в сфере высоких технологий зачастую становится сбор доказательств по процедуре, приемлемой согласно нормам конкретной юрисдикции. Следовательно, крайне важно подробно и полно документировать механизм взаимодействия с системами, временные параметры и перечень лиц, работавших с ними. На каждой странице такой документации должны быть поставлены даты и подписи.
При наличии рабочих, проверенных резервных копий можно стереть данные из зараженных систем и восстановить их. После этого системы можно будет вновь перевести в рабочее состояние. Резервные копии представляют собой важнейшие, полученные законным путем вещественные доказательства для судебного преследования. Помните, что резервные копии, предназначенные для суда, не должны привлекаться для восстановления данных.
#### Оповещение компетентных органов
После локализации происшествия и сохранения данных для судебного преследования следует рассмотреть возможность оповещения компетентных органов. Все механизмы передачи сведения за пределы организации должны быть согласованы с юридическим представителем. Среди возможных кандидатур — местные и центральные правоохранительные органы, агентства безопасности и специалисты по вирусам. Подобные учреждения и лица могут оказать техническую помощь, предложить варианты оперативного решения проблем и предоставить консультации по опыту аналогичных происшествий; в результате вам будет проще завершить процесс восстановления и предотвратить аналогичные происшествия в дальнейшем.
В отдельных областях деятельности и после некоторых видов нарушений принято оповещать о произошедшем клиентов и широкую общественность — особенно в тех случаях, когда в результате происшествия клиенты могут понести прямой ущерб.
Если в результате происшествия ваша компания столкнулась с существенными финансовыми потерями, имеет смысл обратиться в правоохранительные органы.
При атаках крупных компаний и масштабных происшествиях в процессе информационного обеспечения участвуют СМИ. Внимание СМИ к происшествиям в сфере безопасности, как правило, нежелательно, но неизбежно. Участие прессы может поставить организацию в положение, когда она вынуждена активно информировать общественность о происшествии. В расчете на такие случаи в нормах реагирования на происшествия должны быть по меньшей мере указаны лица, уполномоченные беседовать с представителями СМИ.
Как правило, эти функции выполняет отдел по связям с общественностью. В общении с прессой не стоит пытаться отрицать факт происшествия — такая позиция с большей вероятностью испортит репутацию компании, чем активное информирование и прозрачные меры реагирования. Это, впрочем, не означает, что СМИ нужно оповещать о каждом происшествии вне зависимости от его характера и степени серьезности. Стратегию взаимодействия со СМИ следует выстраивать индивидуально в каждом конкретном случае.
#### Восстановление систем
Процедура восстановления системы в основном зависит от серьезности нарушения. Нужно определиться с тем, есть ли возможность восстановления существующей системы с сохранением ее элементов, или система нуждается в полной реконструкции.
Естественно, для восстановления данных нужны достоверные резервные копии, созданные до происшествия. О первых повреждениях можно узнать при помощи ПО оценки целостности файлов. Если ПО оповещает об изменении файла, значит, можно утверждать, что резервная копия, созданная до подобного оповещения, является достоверной и может быть привлечена для восстановления скомпрометированной системы.
Иногда повреждение данных начинается за многие месяцы до обнаружения происшествия. Таким образом, в процессе реагирования крайне важно с точностью установить временные параметры происшествия (в этом вам помогут ПО анализа целостности файлов и систем, а также системы обнаружения вторжений). В некоторых случаях ни последняя, ни несколько предыдущих резервных копий не отражают неповрежденное состояние системы, и это лишь подчеркивает важность регулярной архивации и хранения резервных копий в надежном месте вне помещений организации.
#### Систематизация вещественных доказательств
Группа CSIRT должна подробно документировать все процессы реагирования на происшествия. В частности, она обязана описывать нарушения и меры, предпринятые в связи с ними (с указанием исполнителей таких мер, их обоснования и времени осуществления). Учету в процессе реагирования подлежат все лица с правами доступа.
Впоследствии документацию нужно систематизировать в хронологическом порядке, проверить на полноту, подписать и представить на утверждение руководству и юридическим представителям. Кроме того, необходимо обеспечить защиту собранных вещественных доказательств. Следует выделить двух сотрудников, которые будут заверять своими подписями документальные артефакты всех этапов процесса реагирования. Так вы сможете уменьшить вероятность признания свидетельств недопустимыми и последующего внесения изменений в документы.
Не забывайте, что злоумышленником может быть сотрудник, подрядчик, внештатный работник и любое другое лицо, имеющее доступ в организацию. Без комплексной, подробной документации уличить злоумышленника, действующего «изнутри», крайне сложно. Кроме того, надлежащая документация увеличивает возможности судебного преследования злоумышленников.
#### Оценка ущерба и затрат в связи с происшествием
Оценивая ущерб, нанесенный организации, следует учитывать как прямые, так и косвенные издержки. Результаты оценки ущерба и затрат могут стать важным свидетельством в случае судебного разбирательства. В частности, нужно учитывать следующие статьи расходов:
- затраты в связи с утратой конкурентных преимуществ из-за утечки производственной или конфиденциальной информации;
- затраты на юридическое сопровождение;
- затраты на работу специалистов, проводивших анализ нарушений, переустановку ПО и восстановление данных;
- затраты в связи с простоем систем (в частности, потери рабочего времени, упущенный сбыт, замена оборудования, ПО и иной собственности);
- затраты на ремонт и возможную замену поврежденных и недействующих средств физической безопасности (замки, стены, кабины и т.д.);
- другие косвенные убытки (утрата репутации и доверия клиентов).
#### Пересмотр политик реагирования и обновления
Завершив работу с документацией и восстановление, проведите комплексный анализ процесса реагирования. Обсудите в группе, какие этапы процесса были выполнены успешно, а на каких были допущены ошибки. Скорее всего, вы обнаружите, что для более эффективного реагирования на последующие происшествия некоторые процедуры нужно скорректировать.
В плане реагирования на происшествия обязательно найдутся слабые места. Смысл подобного послеаварийного анализа — наметить пути усовершенствования и с учетом сделанных выводов приступить к очередной фазе планирования процесса.
[](#mainsection)[К началу страницы](#mainsection)
### Информация по теме
Основная тема настоящего документа — меры, которые можно предпринять для минимизации последствий вторжения. В то же время, наиболее эффективно задачи безопасности организаций реализуются в случае профилактики атак и планирования мер, направленных на их локализацию. В частности, важная роль отводится подробному аудиту атак. Другой существенный элемент успешного обеспечения безопасности — четко определенный и хорошо подготовленный комплекс мер по противодействию обнаруженным атакам.
Более подробные инструкции по написанию плана реагирования на происшествия содержатся в нижеперечисленных публикациях.
- *Hacking Exposed Windows 2000* (Взлом Windows 2000 в действии; авторы Joel Scambray и Stuart McClure, издательство McGraw-Hill Professional Publishing, ISBN: 007292623).
- [Handbook for Computer Security Incident Response Teams](http://go.microsoft.com/fwlink/?linkid=22398) (Справочник для групп реагирования на происшествия в сфере безопасности) на сайте Института программной инженерии по адресу [http://go.microsoft.com/fwlink/?LinkId=22398](http://go.microsoft.com/fwlink/?linkid=22398).
- [Форум групп безопасности и реагирования на происшествия (FIRST)](http://go.microsoft.com/fwlink/?linkid=22399) на веб-узле FIRST по адресу [http://go.microsoft.com/fwlink/?LinkId=22399](http://go.microsoft.com/fwlink/?linkid=22399).
- *Incident Response: Investigating Computer Crime* (Реагирование на происшествия: расследование компьютерных преступлений; авторы Chris Prosise и Kevin Mandia, издательство McGraw-Hill Professional Publishing, ISBN: 00723829).
Дополнительные сведения по вопросам безопасности можно получить из следующих источников.
- *The Internet Security Guidebook: >From Planning to Deployment* (Руководство по обеспечению безопасности в Интернете: от планирования до развертывания; авторы Juanita Ellis и Tim Speed, издательство Academic Press, ISBN: 0223747).
[](#mainsection)[К началу страницы](#mainsection)