Incident management (part 4)
-
Upload
alexey-lukatsky -
Category
Self Improvement
-
view
2.875 -
download
1
Transcript of Incident management (part 4)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 242/431
Создайте резервный план
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 243/431
Резервный план
Определите критичные функции, сервисы и оборудование CSIRT
Разработайте план обеспечения непрерывности бизнеса и восстановления для критичных сервисов и процессов CSIRT
Заранее проработайте сценарии «что если»
В т.ч. и для сотрудников CSIRT
Проведите тестирование возможности CSIRTфункционировать в чрезвычайной ситуации
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 244/431
Будьте гибки
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 245/431
Универсального рецепта нет
Не бывает двух одинаковых CSIRT
Важное свойство CSIRT – гибкость и адаптивность
Примеры
CSIRT крупного холдинга или группы компаний осуществляет только общее руководство процессом и вырабатывает общие рекомендации для нижележащих CSIRT
ИТ-департамент предприятия успешно справляется с вирусными атаками. В этом случае CSIRT исключает реагирование на вредоносное ПО из своего поля деятельности
CSIRT имеющая максимальные полномочия и, в частности, доступ к оборудованию для изменения его настроек, блокирующих развитие инцидента
CSIRT военного ведомства запрещено общаться с СМИ, а CSIRT университета может делиться техническими деталями
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 246/431
Будьте готовы к неожиданностям
Фактор неожиданности Влияние на CSIRT
Число отчетов об инцидентах,
полученных CSIRT не может быть
предсказуемо заранее
CSIRT столкнется с неожиданной
пиковой нагрузкой и конфликтом
приоритетов
Злоумышленники постоянно
разрабатывают все новые методы
нападения
Тип и сложность сообщений об
инцидентах, отправляемых в CSIRT
будет меняться с течением времени
Новые технологии дают новые
возможности для проникновения
(например, Java или Flash)
Экспертиза, требуемая CSIRT будет
меняться. Сотрудники CSIRT должны
постоянно поддерживать уровень
своих знаний на высоте
Изменение законодательства, в т.ч. и
в части компьютерных преступлений
CSIRT должны постоянно
отслеживать новое законодательство
Различные требования со всех
сторон, с которыми взаимодействует
CSIRT, в соответствие с их
пониманием деятельности CSIRT
Множество ситуаций, когда ресурсов
CSIRT будет недостаточно для
эффективного удовлетворения
противоречивых требований к CSIRT
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 247/431
Не предсказать, но планировать
Будьте готовы к получению и использованию внешних ресурсов в условиях кризиса или будьте готовы к пересмотру или снижению уровня обслуживания на период кризиса
Непрерывное профессиональное развитие в области существующих и новых технологий
Внедрение программы обучения персонала
Своевременный доступ к информационным ресурсам
Поощрение сотрудников на обмен опытом
Постоянное сотрудничество с руководством, юристами и правоохранительными органами
Убедитесь что политики, процедуры и услуги гибки к изменениям
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 248/431
Правовые вопросы управления
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 249/431
Юридические вопросы
CSIRT
Международное право
Национальное право
Корпоративные требования
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 250/431
Юридические вопросы
Консультации с юристами важны и обязательны
Можно наделать ошибок (неосознанно)
Правовые вопросы пронизывает практически всю деятельность CSIRT – от политики до оперативных вопросов
Чего не делать, чтобы не навлечь на себя ответственность?
Как собрать юридически значимые доказательства?
Какую информацию надо раскрывать?
Что будет, если не раскрывать информацию?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 251/431
Виды правонарушений
Ст.272. Неправомерный доступ к компьютерной информации
Ст.273. Создание, использование и распространение вредоносной программ для ЭВМ
Ст.274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
Статья не работает. Судебная практика отсутствует
Ст.183. Незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну
Статья не работает. Судебная практика отсутствует
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 252/431
Виды правонарушений (окончание)
Ст.165. Причинение имущественного ущерба путем обмана или злоупотребления доверием
Ст.138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 253/431
Можно ли забрать заявление?
В процессе расследование правоохранительными органами вы можете принять решение отказаться от их услуг
Это невозможно!
Ст.272-274 УК РФ относятся к делам публичного обвинения и не подлежат прекращению в связи с примирением сторон
Ст.306 Заведомо ложный донос
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 254/431
Знаете ли вы Гражданский Кодекс?
Статья 1095. Основания возмещения вреда, причиненного вследствие недостатков товара, работы или услуги
Вред, причиненный жизни, здоровью или имуществу гражданина либо имуществу юридического лица вследствие конструктивных, рецептурных или иных недостатков товара, работы или услуги, а также вследствие недостоверной или недостаточной информации о товаре (работе, услуге), подлежит возмещению продавцом или изготовителем товара, лицом, выполнившим работу или оказавшим услугу (исполнителем), независимо от их вины и от того, состоял потерпевший с ними в договорных отношениях или нет
Правила, предусмотренные настоящей статьей, применяются лишь в случаях приобретения товара (выполнения работы, оказания услуги) в потребительских целях, а не для использования в предпринимательской деятельности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 255/431
Что анализируют юристконсульты?
Договора с клиентами
Неправильные или юридически ничтожные разделы
Упущения, вредные для CSIRT
Определение сервисов и контроль качества
Гарантии, ответственность (когда что-то пойдет не так)
Политики и процедуры
Можете ли вы уволить сотрудника за попустительство в инциденте?
Можете ли вы использовать несертифицированные СКЗИ для общения с клиентами?
Сколько вы должны хранить доказательства?
Легко ли подделать доказательства при хранении?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 256/431
Незаконно полученный лог
В США незаконно полученные улики (например, украденные журналы регистрации) могут быть использованы в качестве доказательств
Все зависит от позиции судьи
В ряде примеров, на базе таких «улик» строились целые обвинения
В России такой лог не будет воспринят в качестве доказательства
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 257/431
Что анализируют юристконсульты?
Форс-мажор и отказ от ответственности (disclaimer)
Соглашение о неразглашении
При приеме на работу и увольнении
Для контрактников, приглашенных консультантов и т.п.
Без юридической проверки такое соглашение будет скорее психологической защитой, чем помощью в суде
Другие вопросы
Что вы будете делать, если к вам обратятся правоохранительные органы?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 258/431
Ответственность
В отличие от США в России не стоит серьезно беспокоиться об ответственности за невыполнение или ненадлежащее выполнение деятельности CSIRT
Но все зависит от ситуации
Проблема Пример
Раскрытие информации CSIRT получила дамп БД с ПДн и не обеспечила
их защиту
Побочные эффекты В новом инциденте вы столкнулись с новой
уязвимостью, о которой забыли уведомить своих
клиентов, которые через месяц столкнулись с
ней и понесли ущерб
Непризнание
обязательного хранения
В ряде случаев вы обязаны информировать
правоохранительные органы о готовящемся
преступлении в отношении государственных ИС
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 259/431
Раскрытие информации
Предсказуемое
• Отчеты
• Уведомления
• Консультации по телефону
Непредсказуемое
• Судебные решения
• Правоохранительные органы
• Утечки информации (от доверенных экспертов или бывших сотрудников)
• Утечка во время вторжения в CSIRT
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 260/431
Ответственность (продолжение)
Проблема Пример
Неадекватное
определение сервиса
Вы не указали в договоре, что в праздничные
дни CSIRT не работает и клиент, обратившись в
этот период, не смог получить в оговоренные
договором сроки помощь (а само понятие
праздничные дни у вас определено?)
Не соблюдается значение
уровня сервиса
Вы пообещали поддержку в реальном времени и
не смогли обеспечить ее в период кризиса
Не соблюдается значение
показателя качества
Вы не отреагировали в течение объявленных
вами 4-х часов и клиент потерял деньги
Ссылки на физических
или юридических лиц
Вы делаете заявления, из которых следует что
некто участвовал в атаке. Это может нанести
ущерб деловой репутации
Раскрытие персональных
данных
Наступление ответственности зависит от того,
кто запрашивает и кому передаются ПДн
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 261/431
Ответственность (окончание)
Проблема Пример
Распространение ложной
информации
Вы распространяете информацию о серьезной
уязвимости в ОС Windows. Microsoft не рада
этому
Вы сообщили об уязвимости, но рекомендация
об устранении не работает. Если это не
очевидно, то в результате клиент мог понести
убытки
Некорректный совет
(неполный,
несвоевременный или
неверный)
Вы информируете клиента об изменениях в
МСЭ, но изменение ACL приводит к
бесконтрольному открытию границы
Вы предоставили клиенту устаревшую
информацию, в то время как лучшие
рекомендации уже опубликованы. Клиент мог
пострадать от устаревшего ответа
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 262/431
Как себя обезопасить?
Используйте юридически «безопасные» фразы из стандартных договоров
Удалите все определения сервисов или показателей качества, которые могут быть неверно, трудно истолкованы или юридически непонятны
Проверьте отказы от ответственности
Определите процессы, политики и процедуры, а также внедрите процессы документирования, соблюдения порядка и контроля, чтобы доказать, что принимали все необходимые меры во время ваших действий
Застрахуйте ваши услуги
Попробуйте оградить CSIRT от ответственности за ущерб
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 263/431
Сервис обработки инцидентов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 264/431
Функции сервиса «Обработка инцидентов»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 265/431
Функции сервиса «Обработка инцидентов»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 266/431
Функция «Систематизация»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 267/431
Функция «Систематизация»
Функция «Систематизация» является единой точки контакта и координации для приема, сбора, классификации и передачи поступающей информации для дальнейшей обработки
Иногда эта функция является единственным каналом, через который проходит вся внешняя информация независимо от метода получения информации (телефон, e-mail, факс и т.д.)
Дополнительные операции, которые могут быть осуществлены в рамках данной функции
Архивирование
Перевод (например, в штаб-квартиру)
Медиа-подготовка (для журналистов)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 268/431
Как сделать функцию эффективной?
Обеспечить понятный и простой механизм отчетности
Четко определенная точка контакта
Четкая информация о доступности точки контакта
Простая и четкая процедура контакта
Понятные инструкции по оформлению отчета об инциденте
Что CSIRT будет делать с полученной информацией?
Когда будет ответ?
Будет ли эта информация передана еще кому-нибудь?
Поддерживающие документы (формы, инструкции и т.д.)
Публикация открытых ключей шифрования/ЭЦП
Не забудьте подтвердить получение информации
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 269/431
Последовательность действий
1. Получение информации
2. Расшифрование информации и проверка ЭЦП
При необходимости
3. Отправка подтверждения
4. Классификация информации
5. Приоритезация информации
6. Определение отношения с текущими или прошлыми событиями
7. Переход к другой функции CSIRT
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 270/431
Успех/неуспех инцидента
Если вас просто сканируют, то стоит ли фиксировать это как инцидент?
Если ваш сотрудник сообщил вам о подозрительном звонке, в котором неустановленное лицо пыталось узнать телефоне или о реквизитах доступа, то стоит ли инициировать расследование?
Как минимум, поблагодарите за бдительность
Если ваш антивирус отразил вредоносную программу, то это инцидент или нет?
«Неудачным» инцидентам обычно внимания не уделяется, т.к. «злоумышленник не достиг своей цели»
А может это только подготовка к массированной или точечной атаке?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 271/431
Аналогия: успех/неуспех инцидента
Ваш автомобиль пытались вскрыть, но неудачно…
Оставите ли вы это без внимания или, как минимум, задумаетесь о защите автомобиля?
А если неудачных попыток было больше одной?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 272/431
Время работы
66% CSIRT функционируют только в рабочее время
Если CSIRT централизованная, то она должна учитывать разные часовые пояса, в которых находятся дочерние предприятия и офисы
34% CSIRT функционируют и за пределами рабочего времени
24% CSIRT предлагают режим 24х7х365
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 273/431
Откуда обычно приходит сигнал тревоги?
Электронная почта – 93%
Телефон – 79%
Отчеты системы обнаружения атак – 69%
Неожиданно (на улице) – 41%
Форма отчета об инциденте – 17%
Web-сайт – 38%
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 274/431
Трекинг коммуникаций
Используйте трекинг всех коммуникаций
Это облегчает отслеживание всей информации
Для разных типов коммуникаций используйте разные префиксы
Например, CSIRT#, VU#, INFO# для разных функций
Уникальная нумерация
Она не должна повторяться даже по прошествии времени
Например, в DFN-CERT за 4 года работы было использовано только 600 номеров из диапазона от 1 до 65535
Например, CERT/CC использует ДСЧ для генерации номеров
Например, в AusCERT использовалась схема YYMMDDHHMMпо дате «открытия инцидента» (не раскройте чужие секреты)
Уникальными должны быть номера при общении с иными CSIRT
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 275/431
Жизненный цикл трекингового номера
Обычно трекинговый номер присваивается информации и не меняется до завершения процесса обработки
Но бывают исключения из правил
Информация неправильно категоризирована
Например, событие не новое, а связано с уже известными
Информация неправильно помечена
Например, информация пришла с неправильным номером
Событие открыто повторно
Поступила новая информация к закрытому событию
Событие объединяется
Поступила новая информация, позволяющая объединить его
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 276/431
Формы отчетности
Заранее подготовленные формы отчетности облегчают работу CSIRT
В ряде случаев стоит предусмотреть возможность свободного описания инцидента
Они должны максимально четкими, понятными, сжатыми и доступными для всех клиентов
Обычно в формы включают следующие данные
Контактная информация
Имена и адреса узлов, участвующих в инциденте
Природа активности
Описание активности и сопутствующей информации (часовые пояса, журналы регистрации. артефакты…)
Сопутствующие трекинговые номера
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 277/431
Пример содержания отчета об инциденте
Дата и время отчета
Время начала и длительность инцидента
Включая часовой пояс (временную зону)
Имя атакованной системы
Местоположение атакованной системы
Тип атакованной системы
ОС и IP-адрес атакованной системы
Контактная информация персоны, зафиксировавшей инцидент
Контактная информация специалиста по ИБ
Описание и возможные последствия инцидента
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 278/431
Пример содержания отчета об инциденте (продолжение)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 279/431
Пример содержания отчета об инциденте (окончание)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 280/431
Об отчетности
Форма отчета может быть представлена как в виде отдельного документа/файла, так и в виде Web-формы на портале службы ИБ/ИТ
В зависимости от реализации внутренних процессов CSIRT данная форма может быть расширена и внутренними полями, необходимыми для работы CSIRT
Трекинговый номер
Ущерб от инцидента
Меры по борьбе с инцидентом
Финальные рекомендации
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 281/431
Дополнительные формы отчетов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 282/431
Как фиксируются инциденты?
СУБД – 76%
Remedy HelpDesk и Action Request System
MS SQL, Oracle, MS Access, Lotus Notes
Бумажные отчеты – 10%
СУБД и бумажные отчеты – 28%
Кастомизированные СУБД – 45%
Специализированное ПО – 28%
Request Tracker for Incident Response (RTIR) у JANET
Vorfallsbearbeitungssystem у DFN-CERT
CERIAS Incident Response Database
Freeman Incident Tracking System от University of Chicago
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 283/431
ПО для трекинга инцидентов
Модификация первичной категории инцидента
Доступ ко всем связанным e-mail
Реагирование на запрос по e-mail
Связывание действий с инцидентом
Поиск, сортировка, корреляция по различным полям
Генерация отчетов и статистики
Анализ загрузки технических экспертов
Открытие/закрытие/эскалация/смена статуса отчета
Система напоминаний
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 284/431
Звонят! Кто это? Вы уверены?
Вам может звонить как атакуемый, так и атакующий, желающий узнать, что вы знаете об инциденте и на какой стадии расследования он находится
Общие правила
Источник сообщения вам известен и зарегистрирован?
Информация поступает через стандартный канал?
Есть что-то странное в поступившей информации?
Не уверены? Проверьте еще раз!
Для электронной почты
Адрес e-mail вам известен?
ЭЦП под сообщением корректна?
Заголовок электронной почты корректен?
Домен отправителя доверенный? (через senderbase.org)
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 285/431
Звонят! Кто это? Вы уверены? (окончание)
Вам может звонить как атакуемый, так и атакующий, желающий узнать, что вы знаете об инциденте и на какой стадии расследования он находится
Для Web-формы
Проверьте сертификат браузера при подключении по HTTPS
IP-адрес доверенный (через senderbase.org)
При подозрениях не кликайте на ссылках и не скачивайте ПО
Для телефонного звонка
Вы узнали звонящего по имени или голосу?
Уточните информацию, которую звонящий должен знать
Перезвоните по телефону, связанному с данным контактом
При подозрении говорите только о публично доступной информации
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 286/431
Функция «Обработка»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 287/431
Функция «Обработка»
Функция «Обработка» обеспечивает поддержку и руководство в отношении подозрительных или подтвержденных инцидентов, угроз и атак
Включает в себя различные мероприятия и операции
Рассмотрение отчетов от внешних контактов и внутренних клиентов позволяет понять, что произошло
Анализ включает в себя обзор доказательств и артефактов, чтобы определить, кто вовлечен в инцидент / с кем нужно контактировать, или какая помощь запрошена / нужна
Определение необходимых мер реагирования
Уведомление пострадавших и(или) связь с автором отчета
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 288/431
Жизненный цикл обработки инцидента
До получения необходимой информации или результата определенных действий инцидент может находиться в состоянии «ожидание»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 289/431
Взгляд сверху
Прежде чем заниматься глубоким анализом необходимо составить для себя картину с «высоты птичьего полета»
Тенденции
Статистика
Тематические исследования
Позволяет лучше разбираться в будущих инцидентах и выявить накопленный опыт
Неплохой рекомендацией будет создание баз знаний
Получить сложно из-за разрозненности информации
Необходимы регулярные встречи членов команды
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 290/431
Анализ
От качества проведенного анализа зависит эффективность CSIRT
Первичный анализ проводится на этапе категоризации
Пример: приемное отделение в больнице (или скорая помощь) осуществляет первичный осмотр, а последующий анализ (ЭКГ, анализ крови и т.п.) осуществляется специалистами соответствующих отделений
2 типа анализа - анализ взаимоотношений между инцидентами и
Анализ непосредственно инцидента
Анализ артефактов (может быть отдельным сервисом)
Анализ окружения, в котором произошел инцидент и т.п.
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 291/431
Глубина анализа
Фактор глубины анализа Комментарии
Миссия команды и ее
технические возможности
Вы занимаетесь защитой или только
координацией? Если у вас нет технических
возможностей, то и глубина анализа будет
небольшой.
Приоритет инцидента При нехватке ресурсов анализу подлежат
только высокоприоритетные инциденты.
Шанс повторения Ждете повторения? Подготовьтесь к нему,
проведя глубокий анализ инцидента.
Возможность
идентификации новой
активности
Если вы столкнулись с чем-то новым, то
изучите это.
Поддержка от клиентов Если клиент только просигналил о
подозрительной активности, но не смог
дать детали, то и глубокого анализа не
получится.
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 292/431
Если ресурсов не хватает?
Анализ логов
Учитывайте, что почти каждая система генерит свой собственный лог
Анализ артефактов
Вредоносного ПО, файловой системы и программного окружения
Обеспечение рекомендаций по борьбе с инцидентами или предоставление средств борьбы (например, патчей)
Активное разрешение проблемы
Анализ (аудит) безопасности узлов
Анализ исходного кода
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 293/431
«Нехорошие» признаки
Неоднократные повторы однотипных негативных событий
Выход из строя на долгое время информационной системы
Возникновение негативного события в важные моменты
Сдача годового отчета, электронные торги
Рост сетевой активности в нерабочее время
Предложение помощи от третьего лица одновременно с обнаружением негативного события
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 294/431
Почему в Интернете сложно найти злоумышленника?
Интернет не был разработан для отслеживания пользователей
Адрес источника в IP-пакете может быть легко подменен
Современные угрозы давно превысили параметры, заложенные при создании Интернет
Экспертиза среднестатистического администратора продолжает падать
Атаки часто пересекают границы государств и юрисдикций
При существующих объемах трафика нельзя его долго хранить для будущих расследований
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 295/431
Почему в Интернете сложно найти злоумышленника? (окончание)
Туннелирование и анонимизация скрывает злоумышленника
Проксирование позволяет выдать себя за другого пользователя
Динамическая адресация
Отсутствие адекватных механизмов защиты для современного Интернета
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 296/431
Отслеживание: основные положения
Если префикс источника не фальшивый:
Таблица маршрутизации
Реестр Интернет-маршрутизации (IRR) — whois
Непосредственный выход на сеть
Если префикс источника фальшивый:
Отследите маршрут потока пакетов по сети
Найдите входящее соединение
Следующий оператор связи должен продолжать поиск
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 297/431
Отслеживание по подмененным адресам IPv4
Методы поиска следов:
Примените временные ACL с протоколированием записей и изучите журнал (Log) (подобно классификации)
Запросите таблицу потоков NetFlow’s
Show ip cache-flow при использовании NetFlow
Команда IP source tracker
Метод поиска следов по обратному распространению
Отслеживание с использованием телеметрии NetFlow
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 298/431
Документирование инцидента
Информация для контроля Комментарии
Локальный номер инцидента
Глобальный номер
инцидента
Ключевые слова и категория Информация, помогающая установить
связь с другими инцидентами
Контактная информация Контакты всех лиц, задействованных в
инциденте
Политика Какие нормативы регулируют данный
инцидент
Приоритет Приоритет может поменяться в рамках
жизненного цикла инцидента
Другие материалы Местоположение материалов, связанных
с инцидентом
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 299/431
Документирование инцидента (окончание)
Информация для контроля Комментарии
История инцидента Хроника всех коммуникаций по данному
инциденту (e-mail, телефон, факсы…)
Статус Список прошедших и будущих действий,
каждое из которых связано с конкретным
членом CSIRT
Действия
Координатор
Показатели качества
Текстовое описание Свободное описание информации, не
попавшей в предыдущие поля
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 300/431
Функция «Уведомления»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 301/431
Функция «Уведомление»
Функция «Уведомление» обеспечивает создание информации для клиентов о текущих угрозах и шагах, предпринимаемых для борьбы с ними, а также о тенденциях в области ИБ
Может быть представлена и как отдельная служба CSIRT
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 302/431
Формы уведомлений
Heads-up
Краткое сообщение, когда дополнительной информации нет
Alert
Краткосрочное сообщение об атаке, уязвимостей, проникновении
Advisory
Среднесрочное или долгосрочное описание проблемы с кратким описанием путей решения
FYI
Облегченная версия advisory
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 303/431
Формы уведомлений
Руководство
Пошаговая процедура действий, устраняющих проблему
Техническая процедура
Руководство с большим количеством технических деталей
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 304/431
Каналы распространения
Чувствительность информации
Защищенный канал или нет для данной информации?
Аудитория для анонса
Этот канал подходит для данной информации?
Скорость
Этот канал обеспечивает быструю доставку информации?
Цена
Ожидаемые результаты распространения информации стоят усилий (деньги, время, люди)?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 305/431
Функция «Обратная связь»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 306/431
Функция «Обратная связь»
Функция «Обратная связь» напрямую не связана с конкретными инцидентами
Обычно предоставляется
По явному запросу (например, от СМИ)
На регулярной основе (например, в годовых отчетах)
По собственной инициативе (например, с целью повышения осведомленности СМИ)
Часто представляется также в форме FAQ или является интерфейсом для взаимодействия со СМИ
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 307/431
Разбор последствий
Разбор последствий - анализ события
Шаг, который часто забывают
Что работало? Что не работало? Что можно улучшить?
Что может быть сделано для защиты от повторения подобных происшествий?
Что вы можете сделать, чтобы в будущем отражение атаки прошло более быстро и менее болезненно?
Пример
Была ли DDоS-атака, с которой Вы только что справились, действительно реальной угрозой?
Или это было прикрытие для чего-то другого, что только что случилось?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 308/431
Как общаться с внешним миром?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 309/431
О чем стоит подумать при общении с внешним миром?
Сообщать об инциденте или нет?
Кому сообщать?
Кто должен сообщать?
Что и в каком объеме сообщать?
Какова процедура взаимодействия с прессой?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 310/431
Почему это важно
Ущерб от инцидента обычно распадается на 3 основные составляющие
Финансовый урон
Уголовное или административное преследование
Удар по репутации и доверию
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 311/431
Хороший пример: SANS
Сайт института SANS был взломан в середине 2001 года
Для компании, занимающейся безопасностью, хуже ситуации не придумаешь
Грамотная работа с прессой позволила минимизировать ущерб
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 312/431
Плохой пример: ChoicePoint
Падение курса
акций
ChoicePoint – Зима 2004/2005
Кража отчета с 145,000 именами клиентов, номеров кредитных карт и т.д.
Воздействие на бизнес
Администрация штата Нью-Йорка отказалась от контрактас ChoicePoint на сумму 800миллионов долларов
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 313/431
Когда не надо сообщать
Небольшая малоизвестная компания
Ущерб не коснулся клиентов и иных третьих лиц
Вы на 100% уверены, что об этом никто не узнает
Когда у вас нет доказательств
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 314/431
Сообщать или нет?
В ряде стран это является требованием законодательства
США
Россия – 152-ФЗ
Высока вероятность, что об этом все равно станет известно из других источников
Хакерские сайты
Информационные агентства
Собственные сотрудники
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 315/431
К чему это ведет?
Пользователей не вынуждают додумывать «что», «когда», «как» и т.д.
Среди пользователей есть и акционеры
Пресса благосклонно относится к признанию своих ошибок
При правильно построенном процессе
Может привести к росту лояльности клиентов
Они видят, что их не обманывают
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 316/431
Кому сообщать?
Акционеры
Сотрудники
Клиенты
Регулирующие и правоохранительные органы
Разным аудиториям нужно предоставить разный объем информации
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 317/431
Члены CIRT / SIRT / CSIRT
Ядро CSIRT
Департамент ИТ
Отдел информационной безопасности
Служба безопасности
Юридический департамент
Вспомогательные службы
Public Information Officer / PR
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 318/431
Кто взаимодействует с внешним миром
Только не CSIRT
Служба безопасности – только с регулирующими органами
Юридический департамент –опосредованно с прессой
Причины
CSIRT и так занята основной работой
Необходимо умение общаться с неквалифицированной аудиторией
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 319/431
Public Information Officer / PR
Единая точка контакта с прессой
Получение совета у юридического департамента перед любым интервью или публикацией пресс-релиза
Получение разрешения у CSIRT на то, что пресс-релиз или интервью не содержат информации, которая может помешать расследованию
Сообщение всем сотрудникам, что все контакты по поводу инцидента должны вестись только через PIO / PR
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 320/431
Юридический департамент
Выступление в качестве спикера или интервьюируемого
Проверка любого пресс-релиза перед передачей в прессу
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 321/431
Что обычно спрашивают?
Что произошло?
Каков ущерб/результат?
Что было причиной?
Это может повториться?
Что надо сделать (что вы сделаете), чтобы избежать этого впредь?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 322/431
Как готовиться к интервью?
Узнайте как можно раньше об интервью
Определитесь с основными тезисами
Поставьте себя на место интервьюера,предугадайте «сложные» вопросы и подготовьте на них ответы
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 323/431
Как проводить интервью?
Установите взаимопонимание с интервьюером
Обеспечьте простые объяснения сложных технических подробностей
Ведите интервьюера к поставленной вами цели и не давайте вести себя
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 324/431
Как проводить интервью? (продолжение)
Старайтесь уйти от темы виноватого или будьте скупы в ответе на такие вопросы
Обещайте все исправить в кратчайшие сроки
И не удивляйтесь, если в обещанное время вам позвонят и спросят: «Ну как?»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 325/431
Как проводить интервью? (продолжение)
Используйте предложения, короткие «как выстрел»
Не знаете что-то, так и скажите и пообещайте найти ответ
И не забудьте найти его
Не запугивайте и не угрожайте
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 326/431
Как проводить интервью? (продолжение)
Устраните весь негатив
А еще лучше превратите его в позитив
Будьте дипломатичны и всегда говорите правду
Оденьтесь соответственно
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 327/431
Как проводить интервью? (окончание)
Избегайте психологического дискомфорта – не виляйте взглядом, не сутультесь…
Обязательно попросите прислать готовый материал для просмотра
Не забывайте, что вы интервьюируемый – вы можете прекратить интервью в любое время
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 328/431
Пресс-релиз Microsoft
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 329/431
Пресс-релиз «Северной Казны»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 330/431
Пресс-релиз Cisco Systems
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 331/431
Пресс-релиз Лаборатории Касперского
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 332/431
Пресс-релиз ChoicePoint