В курсе осуществляется обучение руководителей и специалистов правовым, организационным и практическим вопросам расследования компьютерных инцидентов (КИ) в сфере обращения компьютерной информации. В курсе подробно разбираются все аспекты деятельности службы безопасности (отдела информационной безопасности) организации при реагировании на инциденты в информационной системе, в том числе методика предупреждения таких инцидентов, ликвидации нанесенного ими ущерба, пресечения хакерской активности, перекрытия каналов незаконного съема информации и выявления виновных лиц. Обучение вопросам расследования инцидентов направлено на устранения недостатков в деятельности службы безопасности, создающие предпосылки для появления уязвимостей в информационной инфраструктуре организации, разбираются основные способы обеспечения непрерывности функционирования информационной системы в случае возникновения КИ и скорейшего устранения их последствий, рассматриваются основные аспекты технической политики организации, направленные на минимизацию, нанесенного КИ ущерба. Рассматриваются методика и средства осуществления сбора и обработки информации по КИ.
ТЕХНИЧЕСКИЕ НАУКИ
ТЕХНОЛОГИИ РАССЛЕДОВАНИЯ КОМПЬЮТЕРНЫХ
ИНЦИДЕНТОВ Бутин А.А.
Бутин Александр Алексеевич - кандидат физико-математических наук, доцент, направление: информационная безопасность, кафедра информационных систем и защиты информации, Иркутский государственный университет путей сообщения, г. Иркутск
Введение
Необходимо признать, что компьютерные преступления (инциденты) всегда совершались, совершаются и будут совершаться. Не существует системы защиты, которую нельзя обойти или сломать при наличии достаточного количества ресурсов. Даже если защита от вторжений идеальна по внешнему периметру, всегда есть субъекты, которые обслуживают систему внутри, т.е. имеют легальный доступ к ней.
Ежегодно из-за компьютерных преступлений теряются огромные финансовые средства. Сейчас вряд ли можно найти человека или организацию, которые не сталкивались бы с банальными компьютерными вирусами. Один вирус, принесенный на флеш-накопителе или полученный по почте, может уничтожить всю базу данных организации.
Эти потери могут быть невосполнимыми и зачастую от них нельзя застраховаться. Существует базовый способ борьбы с компьютерной преступностью. Это постоянное отслеживание состояния защищаемой системы, создание резервных копий, систематическое обновление программных продуктов и установка пакетов обновления безопасности. Но и эти меры не будут гарантировать стопроцентной защиты, т.к. может получиться, что злоумышленник будет искать уязвимость именно в данной системе и эта уязвимость будет уникальной. Следовательно, узнать об этом можно только после того, как компьютерный инцидент произойдет. И тогда нужно будет направить все силы на его расследование и выявить, каким же именно способом и кем он был совершен. Если этого не сделать, инцидент может повториться. Ниже приводится одна из возможных технологий расследования компьютерных инцидентов (наряду с опубликованными -).
Методология расследования компьютерных инцидентов. Методология реагирования на компьютерный инцидент предназначена для решения следующих задач:
Подтверждение или опровержение самого факта инцидента;
Сбор достоверной информации об инциденте;
Контроль за правильностью обнаружения и сбора фактов;
Защита гражданских прав, установленных законом и политикой информационной безопасности;
Минимизация влияния на основные операции организации;
Формирование гражданских и уголовных исков к нарушителям;
Компьютерные инциденты часто приводят к сложным и многофакторным проблемам. Как и любая другая сложная техническая проблема, реакция на инциденты может рассматриваться как черный ящик. Проблемы разделяются на составные части, затем исследуется входная и выходная информации каждого компонента. Поэтому предложенная методология реакции на инциденты состоит из следующих процедур:
Подготовка к инциденту - действия, которые позволяют подготовиться к возможным инцидентам.
Выявление инцидентов - исследование подозрительных инцидентов в системе безопасности.
Первоначальная реакция - проведение первоначального расследования, получение наиболее очевидных фактов (включая свидетельские показания) и подтверждение самого факта инцидента.
Формирование стратегии реакции на инцидент - на основе собранных фактов определяется наиболее эффективная реакция на инцидент, которая утверждается руководством компании.
Дублирование (судебное резервное копирование) - создание материалов для предоставления в судебные инстанции для расследования инцидента или получения дополнительных фактов.
Исследование - проведение подробного изучения того, что произошло, кто это сделал и как можно предотвратить подобные инциденты в будущем.
Реализация мер безопасности - активное воздействие на пострадавшую систему, предполагающее проведение мероприятий безопасности для изоляции и устранения последствий инцидента.
Сетевой мониторинг - исследование операций в сети для изучения и защиты пострадавших сетевых устройств.
Восстановление - возобновление нормального операционного состояния пострадавшей системы.
Отчет - точное документирование всех подробностей расследования и применение мероприятий безопасности.
Завершение работы - анализ предпринятых действий, изучение полученного опыта и устранение всех выявленных проблем.
Подготовка к инциденту. Компьютерные инциденты являются случайными, поэтому исследователи заранее не знают, когда произойдет очередной инцидент в системе безопасности. Более того, исследователи вообще не могут получить управление и не имеют доступ к компьютеру, пока на нем не произойдет инцидент. Однако, как и с научным прогнозированием землетрясений или ураганов, можно с уверенностью сказать, что инцидент может произойти. И это поможет хорошо подготовиться и к очередному инциденту.
При подготовке к инциденту предполагается не только получение программных инструментов и технологий, но и некоторые действия в системе и сети для предварительной подготовки к реакции на инцидент. Если исследователи могут немного контролировать компьютеры и сеть, то можно предпринять разнообразные предварительные действия, которые помогут ускорить реакцию после возникновения инцидента. Например, можно усовершенствовать процедуру входа на хосты и в сети, а также регулярно проводить резервное копирование.
Вне зависимости от полномочий доступа к потенциальным жертвам инцидентов (т.е. к хостам и сетям), необходимо заранее распределить роли между членами команды реакции на инцидент, а также подготовить оборудование и программные средства для этой реакции.
Идентификация жизненно важных активов компании. Основой подготовки к инциденту является создание предпосылок для выработки быстрых ответов на вопросы, возникшие после инцидента. Среди этих вопросов:
Что реально произошло?
Какие системы затронуты инцидентом?
Какая информация скомпрометирована?
Какие файлы были созданы, изменены, скопированы или удалены?
Что могло стать причиной инцидента?
Кого следует уведомить об инциденте?
Какие действия нужно предпринять для быстрого возобновления бизнес операций в компании?
Первым этапом в подготовке к возможным инцидентам должна стать безопасность сети. Необходимо затратить время на исследование потенциальных рисков, связанных с компьютерными инцидентами:
Что больше всего может повредить компании: остановка бизнеса, потеря репутации, снижение уровня доверия или кража критически важной информации?
На чем следует сосредоточиться: на краже интеллектуальной собственности, изменении данных или разрушении важных информационных архивов?
Кто представляет наибольшую опасность для компании?
Имея общее представление о возможных рисках, компании должна сформировать правила для безопасности наиболее важных активов, правила станут базой для формирования политик и процедур безопасности активов компании.
Для защиты сети от атаки можно применять мероприятия безопасности на уровне хостов или на уровне всей сети в целом. В любом случае следует предотвращать возможные атаки и регистрировать попытки неавторизованного доступа.
В некоторых случаях можно позволить атакующему продолжить свои операции, но тщательно отслеживать все неавторизованные или незаконные действия.
Подготовка отдельных хостов. Что необходимо выполнить на каждом компьютере, чтобы гарантировать быструю и эффективную реакцию на инцидент? Приведем несколько рекомендаций, которые помогут в любом исследовании наиболее эффективных методов реакции на инцидент:
Запись криптографической контрольной суммы всех важных файлов;
Усиление или разрешение аудита безопасности;
Создание индивидуальных средств безопасности каждого хоста;
Резервное копирование критически важных данных и хранение полученных архивных носителей в безопасном месте;
Обучение пользователей методом индивидуальной защиты хостов;
Если надежно защищены все хосты, можно избежать многих инцидентов компрометации безопасности. При подготовке к инцидентам обязательно должны учитываться индивидуальные средства защиты хостов. Действия по увеличению безопасности хостов не только снизят вероятность инцидентов, но и упростят расследование после возникновения компьютерного инцидента.
Необходимо убедиться, что используются последние версии операционной системы и приложений;
Следует отключить неиспользуемые службы;
Нужно внимательно отнестись к настройке конфигурационных параметров;
Большое количество уязвимостей в системе безопасности связаны только с
ошибками системных администраторов.
Подготовка сети. Многие сетевые средства помогут реагировать на компьютерные инциденты. Необходима сетевая регистрация событий, которая во многих случаях предоставит неоспоримые (а иногда и единственные) факты вторжения. Поэтому в реакции на инцидент важную роль играет сетевой администратор.
Сетевой администратор отвечает за сетевую архитектуру и топологию, поэтому может дать полный ответ на вопрос: «Какие системы могут быть скомпрометированы во время инцидента?». Именно сетевой администратор обслуживает брандмауэры, маршрутизаторы и системы выявления вторжений IDS (Intrusion Detection Systems), которые дают критически важные файлы журналов регистрации. Сетевой
администратор поможет изменить конфигурацию некоторых устройств для блокирования определенных потоков трафика во время реакции на инцидент.
К сетевым мероприятиям безопасности относятся:
Установка брандмауэров и систем IDS;
Использование списков управления доступом в маршрутизаторах;
Создание сетевой топологии, облегчающей мониторинг;
Шифрование сетевого трафика.
Установка подходящей политики и процедур безопасности. Политика, принятая на предприятии может способствовать или препятствовать расследованию компьютерного инцидента, связанного с нарушением безопасности.
Без учета действующей политики сотрудники не смогут ожидать обеспечения своих гражданских прав, а руководство не сможет проводить мониторинг ежедневной работы сотрудников, знакомиться с почтовыми сообщениями, анализировать привычки при перемещении в Web, получать доступ к системам голосовой почты или узнавать о содержимом компьютерных систем своих сотрудников.
Уволившийся сотрудник способен переслать по e-mail важные промышленные секреты, а хакеры - получить полный доступ к корпоративной сети.
Без установки правильной политики нельзя легально проводить мониторинг таких незаконных действий.
После инцидента с нарушением безопасности расследование может предполагать вторжение, например, проведение мониторинга действий сотрудников или неавторизованных в сети взломщиков. Подготовка, планирование, формирование правильной политики и другие внутренние мероприятия, с которыми придется столкнуться, определяются целями, поставленными при реакции на инцидент.
Формирование команды реагирования на инцидент. Сбор команды реагирования, после того, как произошел компьютерный инцидент нарушения безопасности системы, может значительно увеличить время реагирования и расследования инцидента, и снизить результативность работы. Неподготовленный и нетренированный персонал не сможет достичь успеха. В состав команды реагирования должны войти люди, которые обращают внимание на все детали происходящих событий, держат их под контролем, не пропускают важных фактов и тщательно документируют свои действия.
Целями команды реагирования на инциденты являются:
Реакция на все явные и предполагаемые компьютерные инциденты в организации и проведение установленной процедуры расследования;
Беспристрастное (насколько это возможно) и полное расследование инцидента;
Быстрое подтверждение или опровержение факта вторжения или нарушения безопасности систем;
Определение ущерба и области действия инцидента;
Установка линии постоянной связи (24 часа, 7 дней в неделю) для клиентов на время проведения расследования;
Контроль и подавление последствий инцидента;
Сбор фактов и документирование инцидента;
Прослеживание цепочки взаимосвязанных событий (защита фактов во время сбора информации об инциденте);
Привлечение дополнительных сил (при необходимости);
Защита гражданских прав, установленных законом и/или корпоративной политикой;
Обеспечение взаимодействия с органами правопорядка и судебными инстанциями;
Обеспечение должного уровня конфиденциальности, позволяющего защитить от утечки информации, которая может скомпрометировать организацию;
Проведение сбора свидетельских показаний;
После инцидента первым мероприятием должно стать назначение одного из сотрудников руководителем команды реагирования или присвоением ему полномочий главного следователя. В этом случае сотрудник получит в команде право на окончательное решение (демократические принципы существенно замедлят работу команды реагирования на инциденты).
Все исследователи компьютерных инцидентов должны быть знакомы с соответствующими технологиями, а также иметь необходимую квалификацию для оценки преимуществ и недостатков различных стратегий реагирования. Таких специалистов немного, но необходимым уровнем квалификации должен обладать хотя бы руководитель команды реагирования.
Руководитель команды реагирования должен оценить необходимые людские и технические ресурсы еще до начала формирования команды.
Например, если жертвой атаки стал маршрутизатор Cisco, в команду следует пригласить специалиста по этому устройству.
Состав команды реагирования зависит от многих факторов, включая следующие:
Количество хостов, участвовавших в инциденте;
Количество операционных систем, участвовавших в инциденте;
Сложность инцидента;
Предполагаемый ущерб (чем больше ущерб, тем больше потребуется ресурсов).
Единственным способом оценки необходимых людских и технических ресурсов
остается практика.
Выявление инцидентов. Выявление является первым этапом реакции на инциденты. Перед выявлением исследователь должен быть уведомлен о возможности инцидента. Для этого служат определенные каналы, позволяющие получить информацию еще до начала исследования инцидента.
Не следует считать, что нельзя предугадать, когда произойдет следующий инцидент. Можно обратиться к публикациям о вторжениях в операционные системы и приложения. Раньше команда быстрого реагирования на компьютерные инциденты (CERT, Compuiei Emergenсу Response Team) отмечала сотни событий, причем чаще всего в летние месяцы.
Предполагаемый инцидент может быть обнаружен различными техническими и организационными средствами. К техническим средствам относятся системы обнаружения вторжений IDS и брандмауэры (firewall), которые формируют сообщения об аварийных событиях в сети. В процессе своей обычной работы администраторы и пользователи могут заметить необычные операции по использованию учетных записей или ресурсов. Посетители вполне могут уведомить о неправильном функционировании службы или исковерканном Web сайте.
Вне зависимости от метода выявления инцидента, необходимо записать все полученные сведения. Предполагается пользоваться списком уведомлений (notification checklist), который позволяет не упустить важные подробности и факты. Список уведомлений должен содержать все необходимые подробности, хотя не все данные могут использоваться для уведомления. Однако необходимо зафиксировать очевидные факты, к которым относятся:
Текущие дата и время;
Кто или что уведомил об инциденте;
Природа инцидента;
Как произошел инцидент;
Участвовавшее в инциденте оборудование и программное обеспечение;
Контактная информация лиц, обнаруживших инцидент.
Заполнив список уведомлений, следует привлечь команду реагирования на
инцидент и обратиться в соответствующее подразделение компании.
Список литературы
1. Мандиа Кении, Просис Крис. Защита от вторжений: расследование компьютерных преступлений. М.: Издательство «ЛОРИ», 2005. 476 с.
2. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. К.: ООО «ТИД ДС», 2001. 688 с.
3. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. Спб.: БХВ-Петербург, 2005. 752 с.
4. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. Горячая Линия - Телеком, 2002. 336 с.
5. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. Питер, 2008. 320 с.
ТРЕХМЕРНОЕ МОДЕЛИРОВАНИЕ С ПРИМЕНЕНИЕМ
СРЕДСТВ АВТОМАТИЗИРОВАННОГО ПРОЕКТИРОВАНИЯ
1 2 Ломовская Е.В. , Алешкова Е.Н.
1Ломовская Елена Владиславовна - заведующая учебной частью;
2Алешкова Елена Николаевна - заведующая отделением очного обучения, Государственное бюджетное профессиональное образовательное учреждение
Ростовской области Волгодонский техникум металлообработки и машиностроения, г. Волгодонск
Аннотация: в статье рассматривается создание комплекса подсистем трехмерного геометрического моделирования, основанного на экспертных знаниях и включающего не только системы вывода и визуализации информации, но и алгоритмические и интеллектуальные методы поддержки принятия решений, который позволит пользователю принимать высокоэффективные решения при проектировании на основании методов компьютерной обработки данных о трехмерных геометрических моделях.
Проектное решение выводится путем предоставления информации о сформированной трехмерной модели, в соответствии с правилами размещения и компоновки технологического оборудования с учетом общеэкономических, природосберегающих, спецтехнологических и других проектных ограничений, что позволит повысить результативность существующих систем, учитывая страну-производитель, требуемых образцов продукции, а также габариты имеющегося или проектируемого помещения или здания.
Ключевые слова: трехмерное моделирование, компьютерная графика, автоматизированное проектирование.
В современном мире с каждым годом происходит все больший рост конкурентной борьбы и ограничений отрицательного влияния на природу, что, в совокупности, ведет к повышению требований к качеству продукции, но сохранении ее низкой стоимости. А, как известно, технологическое оборудование в современных производственных системах имеет обширные конфигурации, которые зависят от видов выпускаемой продукции и перечня продуктов, выпускаемого на каждой из линий производства. В связи с этим возникает необходимость в разработке таких
Обучение руководителей и специалистов правовым, организационным и практическим вопросам расследования компьютерных инцидентов.
Прослушайте бесплатный вебинар про этот курс. Вебинар доступен в записи в любое удобное время.
Для просмотра перейдите по ссылке и запустите кнопку Play в левом нижнем углу.
http://m.mirapolis.ru/m/miravr/0074524156
В курсе подробно разбираются все аспекты деятельности уполномоченных органов (подразделений, лиц) организации при реагировании на инциденты в информационной системе.
Слушатели изучают и анализируют факторы и предпосылки, приводящие к компьютерным инцидентам, и представляющие наибольшую опасность для информационных систем организации. На конкретных примерах разбираются основные способы обеспечения непрерывности функционирования информационной системы в случае возникновения КИ и скорейшего устранения их последствий, рассматриваются основные аспекты технической политики организации, направленные на минимизацию, нанесенного КИ ущерба.
Подробно изучается весь комплекс юридических, технических и организационных мероприятий, проводимых немедленно после выявления КИ. В ходе практической работы слушателям предлагается самостоятельно разработать ряд организационно-распорядительных документов и выстроить оптимальную последовательность действий в ходе решения ситуационных задач, провести полный цикл расследования с составлением необходимых документов.
Рассматриваются современные технологии и средства, применяемые для расследования КИ. В ходе практических занятий слушатели знакомятся с рядом инструментальных средств (продуктов).
Особое внимание уделяется юридическим основам расследования КИ, обсуждению проблемы доказательной значимости материалов, полученных в ходе расследования КИ, вопросам взаимодействия с правоохранительными органами, специализированными организациями и судами. Слушатели знакомятся с различиями в юридической практике РФ и других государств, а также связанной с ними сложностью применения западных методик расследования КИ в России.
Практические занятия проводятся с использованием технологии виртуальных машин на специально сконфигурированных стендах.
После изучения курса слушатель будет
Знать:
Формирование знаний и навыков, необходимых для организации и проведения внутренних (внутрикорпоративных) расследований компьютерных инцидентов.
1. Правовая и нормативно-методическая база расследования компьютерных инцидентов
1.1. В настоящем Порядке используются следующие термины и определения:
Событие информационной безопасности (information security event ): Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
Инцидент информационной безопасности (information security incident ): Появление одного или нескольких нежелательных, или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы информационной безопасности.
1.2. Обработка инцидента информационной безопасности включает следующие этапы:
2.1. Примеры инцидентов информационной безопасности и их причины.
Инциденты информационной безопасности могут быть преднамеренными или случайными (например, являться следствием какой-либо человеческой ошибки или природных явлений ) и вызваны как техническими, так и не техническими средствами. Их последствиями могут быть такие события, как несанкционированные раскрытие или изменение информации, ее уничтожение или другие события, которые делают ее недоступной, а также нанесение ущерба активам организации или их хищение. Инциденты информационной безопасности, о которых не было сообщено, но которые были определены как инциденты, расследовать невозможно и защитных мер для предотвращения повторного появления этих инцидентов применить нельзя.
2.1.1 Отказ в обслуживании.
Отказ в обслуживании является обширной категорией инцидентов информационной безопасности, имеющих одну общую черту. Подобные инциденты информационной безопасности приводят к неспособности систем, сервисов или сетей продолжать функционирование с прежней производительностью, чаще всего при полном отказе в доступе авторизованным пользователям.
Существует два основных типа инцидентов информационной безопасности, связанных с отказом в обслуживании, создаваемых техническими средствами: уничтожение ресурсов и истощение ресурсов.
Некоторыми типичными примерами таких преднамеренных технических инцидентов информационной безопасности «отказ в обслуживании» являются:
Одни технические инциденты информационной безопасности «отказ в обслуживании» могут возникать случайно, например в результате ошибки в конфигурации, допущенной оператором, или из-за несовместимости прикладного программного обеспечения, а другие — преднамеренными. Одни технические инциденты информационной безопасности «отказ в обслуживании» инициируются намеренно с целью разрушения системы, сервиса и снижения производительности сети, тогда как другие — всего лишь побочными продуктами иной вредоносной деятельности. Например, некоторые наиболее распространенные методы скрытого сканирования и идентификации могут приводить к полному разрушению старых или ошибочно сконфигурированных систем или сервисов при их сканировании. Следует заметить, что многие преднамеренные технические инциденты типа «отказ в обслуживании» часто инициируются анонимно (то есть источник атаки неизвестен ), поскольку злоумышленник обычно не получает информации об атакуемой сети или системе.
Инциденты информационной безопасности «отказ в обслуживании» , создаваемые не техническими средствами и приводящие к утрате информации, сервиса и (или ) устройств обработки информации, могут вызываться, например, следующими факторами:
2.1.2. Сбор информации
В общих чертах инциденты информационной безопасности «сбор информации» подразумевают действия, связанные с определением потенциальных целей атаки и получением представления о сервисах, работающих на идентифицированных целях атаки. Подобные инциденты информационной безопасности предполагают проведение разведки с целью определения:
Типичными примерами атак, направленных на сбор информации техническими средствами, являются:
В некоторых случаях технический сбор информации расширяется и переходит в несанкционированный доступ, если, например, злоумышленник при поиске уязвимости пытается получить несанкционированный доступ. Обычно это осуществляется автоматизированными средствами взлома, которые не только производят поиск уязвимости, но и автоматически пытаются использовать уязвимые системы, сервисы и (или ) сети.
Инциденты, направленные на сбор информации, создаваемые не техническими средствами, приводят к:
Инциденты могут вызываться, например, следующими факторами:
2.1.3. Несанкционированный доступ
Несанкционированный доступ как тип инцидента включает в себя инциденты, не вошедшие в первые два типа. Главным образом этот тип инцидентов состоит из несанкционированных попыток доступа в систему или неправильного использования системы, сервиса или сети. Некоторые примеры несанкционированного доступа с помощью технических средств включают в себя:
Инциденты несанкционированного доступа, создаваемые не техническими средствами, которые приводят к прямому или косвенному раскрытию, или модификации информации, нарушениям учетности или неправильному использованию информационных систем, могут вызываться следующими факторами:
2.2. Ключевые процессы реагирования на инцидент информационной безопасности.
2.2.1. Обнаружение события информационной безопасности осуществляется любым работником, а также автоматически (например, срабатыванием модуля противодействия мошенничеству ).
В случае обнаружения события информационной безопасности работник обязан:
При автоматическом обнаружении события информационной безопасности начальник ОИБиЗИ:
2.2.2. Регистрация инцидента информационной безопасности.
При поступлении информации о событии информационной безопасности начальник ОИБиЗИ с привлечением специалистов департамента информационных технологий проводит анализ информации с целью ее отнесения к инциденту информационной безопасности и формирует отчет (Приложение № 1 к настоящему Порядку ).
Критериями отнесения события информационной безопасности к инциденту является нарушение следующих типов событий:
а) Физический уровень информационной инфраструктуры:
б) Уровень сетевого оборудования:
в) Уровень сетевых приложений и сервисов:
г) Уровень операционных систем:
д) Уровень технологических процессов и приложений и уровень бизнес-процессов:
В случае отнесения события информационной безопасности к инциденту информационной безопасности формируется отчет об инциденте информационной безопасности (Приложение № 2 к настоящему Порядку ).
Инциденты информационной безопасности классифицируются по следующим признакам:
Для устранения последствий и причин инцидента информационной безопасности в организации создается специальная группа, состоящая из следующих специалистов:
Все процессы устранения последствий и причин инцидентов, типизированных по признаку принадлежности нарушения какой-либо политики информационной безопасности, должны обязательно документироваться. Документирование сценариев реагирования на каждый возможный инцидент информационной безопасности проводится экспертным путем и оформляется в виде набора соответствующих регламентов и правил. Задачей Департамента Экономической Безопасности является сдерживание инцидента информационной безопасности, то есть принятия всех необходимых мер для локализации инцидента информационной безопасности и препятствующих его распространению. Сроки устранения последствий и причин инцидента зависят от уровня инцидента.
Ключевыми процессами устранения последствий и причин инцидентов являются:
Прекращение нападения и восстановление нормальной работы информационных систем требует скоординированных действий не только сотрудников организации, но и:
Заключительным этапом процесса устранения последствий и причин инцидентов является локализация ущерба, причиненного инцидентом информационной безопасности, который включает:
В процессе восстановления работоспособности информационных систем на некоторое время могут быть задействованы резервные (альтернативные ) аппаратные и программные платформы.
Кроме того, необходимым завершающим шагом может быть дополнительная информационная работа, которая включает:
Для проведения внутреннего расследования назначается должностное лицо (группа расследования ), имеющее навыки проведения подобных расследований.
4.1. Полная оценка ситуации
Данная оценка определяет текущее и потенциальное воздействие инцидента на бизнес организации, позволяет идентифицировать затронутую инфраструктуру и как можно полнее оценить ситуацию и быстрее определить соответствующее направление работы.
Для получения полной оценки ситуации:
Для проведения идентификации, анализа и документирования сетевой инфраструктуры и компьютеров, затронутых инцидентом, необходимо выполнить следующее:
Для исследования состояния приложений и операционных систем на компьютерах, которые затрагивает расследование, используются инструментальные средства (например, файлы журналов Windows, Windows Sysinternals PsTools и др. ).
4.2. Сбор доказательств
На стадии сбора доказательств нужно учесть, что если инцидент становится больше, чем просто внутреннее расследование и требует обращения в правоохранительные органы, то вполне возможно, что все процессы, используемые для сбора доказательств.
Доказательства должны содержать следующую информацию:
Сбор цифровых доказательств выполняется локально или по сети. Преимуществом локального сбора данных является большее управление компьютером и соответствующими данными. Однако локальный сбор данных не всегда возможен. В случае сбора данных по сети, необходимо учитывать тип собираемых данных и усилия, которые для этого потребуются.
В процесс сбора данных создается документация, которая позволит идентифицировать и подтвердить подлинность собранных доказательств включая следующую информацию:
При проведении расследования, как правило, используется комбинация автономных и интерактивных методов. При проведении автономных расследований дополнительный анализ выполняется на поразрядной копии оригинального доказательства. Поразрядная копия - законченная копия всех данных из целенаправленного источника, включая информацию загрузочного сектора, разделов и свободного дискового пространства. Автономный метод расследования применяется всегда, когда это возможно, так как это уменьшает риск повреждения оригинального доказательства. Данный метод может использоваться только в тех случаях, когда может быть создана соответствующая копия и не может быть использован для сбора некоторых энергозависимых данных.
4.3. Анализ данных
При анализе сетевых данных используется следующая процедура:
Анализ данных рабочих станций включают информацию о таких компонентах, как операционная система и установленные приложения.
Анализ носителей данных для определения их причастность (или непричастности ) к инциденту. При этом необходимо установить факт применения шифрования данных на основе ключей реестра, а также инструментальные средства восстановления файлов.
По результатам анализа данных готовится заключение, в котором устанавливаются причины инцидента для принятия превентивных мер, и лица, виновные в возникновении инцидента.
Выявление нарушителя - задача не всегда выполнимая, особенно при выявлении сложных и удаленных атак, но в случае внутренних нарушений это почти всегда удается. Работа по идентификации виновника (виновников ) зависит от множества факторов: полноты свидетельств, их непротиворечивости, сложности инцидента и т.д. Кроме того, свидетельства должны однозначно указывать на виновного и характеризовать наличие или отсутствие умысла. В случае, когда установить виновного удалось, можно выносить рекомендации о привлечении его к ответственности (в том числе обращаться в суд в роли истца - в целях компенсации нанесенного материального ущерба ).
После устранения последствий инцидента проводятся следующие мероприятия:
а) Организационные:
б) Технические:
Хранение отчетов о событии информационной безопасности и отчетов об инцидентах информационной безопасности осуществляется отделом информационной безопасности и защиты информации в течении пяти лет, после чего данные отчеты сдаются на архивное хранение.
информационной безопасности
Отчет о событии информационной безопасности
Дата события | |||||||||
Номер события*: | Соответствующие идентификационные номера событий и (или) инцидентов (если требуется): | ||||||||
Информация о сообщающем лице | |||||||||
Фамилия | Должность | ||||||||
Подразделение | |||||||||
Телефон | Электронная почта | ||||||||
Описание события информационной безопасности
Описание события:
Что произошло
Как произошло
Почему произошло
Пораженные компоненты
Негативное воздействие
Подробности о событии информационной безопасности
Дата и время наступления события
Дата и время обнаружения события
Дата и время сообщения о событии
___________________ ____________ _____________________
(должность) (подпись) (расшифровка подписи)
к Порядку обработки инцидентов
информационной безопасности
Отчет об инциденте информационной безопасности
_______________
* Номера инцидентов привязываются к номеру(ам) соответствующих событий.
Описание инцидента информационной безопасности
Дополнительное описание инцидента:
Что произошло
Как произошло
Почему произошло
Пораженные компоненты
Негативное воздействие на бизнес
Любые идентифицированные уязвимости
Подробности об инциденте информационной безопасности
Дата и время возникновения инцидента
Дата и время обнаружения инцидента
Дата и время сообщения об инциденте
Тип инцидента информационной безопасности
(Сделать отметку в одном из квадратов, затем заполнить ниже соответствующие поля) | Действительный | | Попытка | | Предполагаемый | | |||||||
(Один из) | Намеренная | | (указать типы угрозы) | ||||||||||
Хищение (ТН) | | Хакерство/логическое проникновение | |||||||||||
(НА) | | ||||||||||||
Мошенничество (FR) | | Неправильное использование ресурсов | |||||||||||
(MI) | | ||||||||||||
Саботаж/физический ущерб (SA) | | Другой ущерб (OD) | | ||||||||||
Вредоносная программа (MC) | | ||||||||||||
Определитель: | |||||||||||||
(Один из) | Случайная | | (указать типы угрозы) | ||||||||||
Отказ аппаратуры (HF) | | Другие природные события (NE) | | ||||||||||
Отказ ПО (SF) | | Определить: | |||||||||||
Отказ системы связи (CF) | | потеря значимых сервисов (LE) | | ||||||||||
Пожар (HE) | | недостаточное кадровое обеспечение (SS) | | ||||||||||
Наводнение (FL) | | Другие случаи (ОА) | | ||||||||||
Определить: | |||||||||||||
(Один из) | Ошибка | | (указать типы угрозы) | ||||||||||
Операционная ошибка (OE) | | Ошибка пользователя (UE) | | ||||||||||
Ошибка в эксплуатации аппаратных средств (НЕ) | | Ошибка проектирования (DE) | | ||||||||||
Ошибка в эксплуатации ПО (SE) | | Другие случаи (включая ненамеренные ошибки) (ОА) | | ||||||||||
Определить: | |||||||||||||
Неизвестно | | (Если еще не установлен тип инцидента ИБ (намеренный, случайный, ошибка), то следует сделать отметку в квадрате «неизвестно» и, по возможности, указать тип угрозы, используя сокращения, приведенные выше) | |||||||||||
Определить: |
Поражение активы
Пораженные активы (при наличии) | (Дать описания активов, пораженных инцидентами ИБ или связанных с ним, включая (где требуются), серийные, лицензионные номера и номера версий) | ||
Информация/данные | |||
Аппаратные средства | |||
Программное обеспечение | |||
Средства связи | |||
Документация |
Негативное воздействие/влияние инцидента на бизнес
Сделать отметку в соответствующих квадратах для указанных ниже нарушений, затем в колонке «значимость» указать степень негативного воздействия на бизнес по шкале 110, используя следующие сокращения (указатели категорий): (FD) — финансовые убытки/разрушение бизнес-операций, (СЕ) — коммерческие и экономические интересы, (PI) — информация, содержащая персональные данные, (LR) — правовые и нормативные обязательства (это необходимо сравнить с английским оригиналом), (МО) — менеджмент и бизнес-операции, (LG) — потеря престижа (см. примеры в приложении В). Записать кодовые буквы в колонке «указатели», а если известны действительные издержки, — указать их в колонке «стоимость».
Значимость | Указатели | Издержки | ||
Нарушение конфиденциальности (то есть несанкционированное раскрытие) | | |||
Нарушение целостности (то есть несанкционированная модификация) | | |||
Нарушение доступности (то есть недоступность) | | |||
Нарушение неотказуемости | | |||
Уничтожение | |
Общие расходы на восстановление после инцидента информационной безопасности
Разрешение инцидента
Дата начала расследования инцидента ИБ | ||
Фамилия(ии) лица (лиц), проводившего(их) расследование инцидента | ||
Дата разрешения инцидента ИБ | ||
Дата окончания воздействия | ||
Дата завершения расследования инцидента ИБ | ||
Место хранения отчета о расследовании |
Причастные к инциденту лица/нарушители
Описание нарушителя
Действительная или предполагаемая мотивация
Определить: | ||
Действия, используемые для разрешения инцидента информационной безопасности |
||
(например, «никаких действий», подручными средствами", «внутреннее расследование», «внешнее расследование с привлечением…») | ||
Действия, запланированные для разрешения инцидента | ||
(включая возможные приведенные выше действия) | ||
Прочие действия | ||
(например, по-прежнему требуется проведение расследования, но другим персоналом) |
Заключение
(Сделать отметку в одном из квадратов, является ли инцидент значительным или нет, и приложить краткое изложение обоснования этого заключения) | Значительный | | Незначительный | | |||||
(Указать любые другие заключения) | |||||||||
Оповещенные лица/субъекты | |||||||||
(Эта часть отчета заполняется соответствующим лицом, на которое возложены обязанности в области ИБ и которое формулирует требуемые действия. Обычно этим лицом является руководитель ИБ организации) | Руководитель службы ИБ | | Руководитель Банка | | |||||
Руководитель (уточнить, какого) подразделения | | Руководитель ДИТ | | ||||||
Автор отчета | | Руководитель автора отчета | | ||||||
Полиция | | Другие лица | | ||||||
(например, справочная служба, отдел кадров, руководство, служба внутреннего аудита, регулятивный орган, сторонняя организация) | |||||||||
Определить: |
Привлеченные лица
Инициатор | Аналитик | Аналитик | ||||||
Подпись | Подпись | Подпись | ||||||
Фамилия | Фамилия | Фамилия | ||||||
Должность | Должность | Должность | ||||||
Дата | Дата | Дата | ||||||
Аналитик | Аналитик | Аналитик | ||||||
Подпись | Подпись | Подпись | ||||||
Скачать ZIP файл (64961) Пригодились документы - поставь «лайк» или : |
В последнее время значительно повысилась активность хакеров и, соответственно, число инцидентов компьютерной безопасности. Можно по-разному считать число инцидентов, но как бы ни считали инциденты, тенденция очевидна: их число растет.
Живые и реальные примеры инцидентов информационной безопасности легко находятся на новостных сайтах. Например, на сайте eSecurityPlanet мы видим, что в день происходит примерно по 5 серьезных инцидентов. А посмотреть на дефейсы веб-сайтов можно на Zone-H . Как мы видим, в день подвергается дефейсу несколько десятков сайтов.
Предприятия, имеющие ИТ инфраструктуру, естественно, реагируют на тенденцию роста компьютерных инцидентов. Прежде всего, усиливая безопасность своей информационной системы, посредством применений технологий защиты и проведением внутренних проверок . Но те организации, которые участвуют в росте числа инцидентов, тоже усиливали безопасность своей информационной системы, и это не предотвратило возникновения у них инцидентов. Отсюда вытекает необходимость еще одного направления реакции на растущее число инцидентов: предварительная подготовка к такому инциденту.
Это направление вызывает вопросы о том, как именно проводить расследование инцидентов.
Можно обратиться в тот же Google, откуда поступила информация о росте числа инцидентов ИТ безопасности и найти там рекомендации о проведении расследования компьютерных инцидентов.
Но процесс расследования слишком важен, чтобы не иметь основы, некой методики, одобренной какой-нибудь уважаемой организацией. А процесс изучения вопроса слишком важен, чтобы быть неформализованным и отданным на выбор самого администратора безопасности. При этом время ограничено, инцидент может случиться прямо сейчас!
Так мы логично подошли к необходимости курса по расследованию компьютерных инцидентов, который предложил бы надежную методологию расследования инцидентов безопасности на предприятии, включая как организационные, так и технические вопросы анализа данных.
Такой курс есть. Он предложен организацией EC-Council , чьи курсы этичного хакинга получили одобрение по стандарту ANSI/ISO/IEC 17024 .
И этот курс предлагается в авторизованном EC-Council центре компьютерного обучения «Специалист » как продолжение курса по этичному хакингу и тестированию на проникновение.
В этой статье я расскажу о том, что будет изучаться на курсе по расследованию компьютерных инцидентов, в какой последовательности и зачем. Кстати, зачем об этом рассказывать, есть ведь программа курса? Дело в том, что программа курса состоит из 22-х модулей, а любая классификация, не содержащая от трех до шести категорий, согласно известному афоризму, бесполезна. И здесь я приведу 5 элементов расследования компьютерных инцидентов, изучаемых на курсе.
1 Элемент. Что взломано?
Важно определить,
Оказывается, для этой цели можно использовать заранее подготовленный пакет утилит оперативного реагирования, который поможет определить, что именно взломано в результате инцидента. Какие именно утилиты будут входить в этот пакет и как именно будут использоваться, изучается на протяжении всего курса.
Это большая тема, аспектов и утилит множество, но если разделить снова на 5 элементов, то будет выглядеть так:
Во-первых, нужно уметь идентифицировать и собрать данные, которые могут исчезнуть в короткий промежуток времени, это могут быть временные файлы, cookies, но не только;
Во-вторых, нужно научиться анализировать сетевые подключения и активность системы на предмет наличия отклонений от обычного состояния;
В-третьих, нужно научиться анализировать процессы , в них выполняется код, а так как процессы выполняют код, расположенный в исполняемых файлах и библиотеках, здесь же обратим внимание на целостность этих файлов;
В-четвертых, процессы используют хранилище параметров, реестр , его анализ может открыть больше информации, и нам помогут различные утилиты просмотра реестра;
В-пятых, все процессы выполняются в памяти , поэтому анализ памяти также важен для расследования. Сложностью является то, что память большая, а вредоносные данные небольшие и легко теряются в шестнадцатеричном дампе.
Компрометация или нарушение целостности данных может быть замечена также системой аудита и системой мониторинга сетевого трафика.
2 Элемент. Посредством чего взломано?
Важно определить,
Под каждую тему отведем модуль, чтобы детально изучить, чем могут помочь информация о процессах, ключах реестра, файлах, всевозможные дампы и журналы.
Здесь нужно научиться одной важной вещи: соотношению событий, записей журналов и конфигурации системы. Для этого нужно понимать, что журналы могут быть у каждого сервиса свои, храниться могут как локально, так и на удаленном сервере, а также разные платформы могут использовать разные форматы журналов.
3 Элемент. Кто взломал?
Важно определить,
Снова пригодится умение соотносить информацию разных журналов с событиями, сопровождающими инцидент безопасности. Но на этом этапе нужно уметь из собранной на предыдущих шагах информации выделить идентификаторы злоумышленника. Это не обязательно должен быть IP, это может быть адрес электронной почты, учетная запись в приложении, медиа-файл.
4 Элемент. На компьютере подозреваемого
Важно определить,
Действия зависят от того, включен компьютер подозреваемого, или нет. Если выключен, то, согласно методологии, больше не включаем, а дублируем образ диска и затем с помощью таких инструментов, как AccessData FTK и EnCase обнаруживаем улики и составляем отчет.
Возможен и вариант нахождения улик не на компьютере, а на любом другом оборудовании, ксероксе, принтере, мобильном устройстве.
5 Элемент. Обоснование предыдущих элементов
Важно определить,
Слово улика (evidence) проходит красной нитью через весь курс. Дампы, журналы, файлы – компьютерные термины. Чтобы их можно было приобщить к формализованному процессу расследования, они должны быть оформлены как улики, и обрабатываться в соответствии с процедурами, сохраняющими юридическую значимость улик. Здесь придется немного распараллелиться, поскольку правовое поле России имеет свои особенности.
Суть расследования такова: специалисты организации обнаруживают инцидент, и, либо своими силами оперативно реагируют на инцидент, анализируют данные и передают результаты анализа руководству, либо нанимают аутсорсера по расследованию компьютерных инцидентов, который обеспечит техническое и юридическое сопровождение расследования до передачи дела правоохранительным органам и в суд.
Даже если организация не имеет намерения проводить юридически значимые расследования инцидентов, знание и умение применить методологию расследования хакерских инцидентов повысит общую защищенность информационной системы предприятия.
Курс по расследованию хакерских инцидентов сопровождается живыми кейсами , шестнадцатью учебными примерами по расследованию, показывающими применение техник расследования. Эти кейсы отрабатываются как в теории, так и на практике, в рамках лабораторных работ на виртуальных серверах.
Методология расследования сопровождается контрольными списками (чек-листами), по которым можно сверять правильную последовательность проведения расследования. Теперь мы точно не запутаемся в расследовании деятельности хакера. Ведь осталось только следовать разработанной самими хакерами методике.
Будем учиться расследованию компьютерных инцидентов!