Что такое инцидент и событие информационной безопасности
Организации доверяют технологиям огромное количество рабочих задач. Вместе с тем растет число инцидентов информационной безопасности (ИБ), с которыми сталкиваются не только крупные корпорации, но и малые предприятия.
Инцидент информационной безопасности — это непредвиденное или нежелательное событие, которое нарушает безопасность информации — ее конфиденциальность, целостность и доступность. Пример инцидента — сотрудник сливает финансовые данные компании в сеть.
Инцидент — это всегда негативные последствия, поскольку он блокирует нормальную работу IT-инфраструктуры компании и влечет за собой различные риски: операционные, юридические, репутационные, материальные.
Событие информационной безопасности — это внешние признаки состояния сети, системы или сервиса, указывающие на возможные нарушения внутренних политик безопасности, различные угрозы.
Классификация инцидентов
Угрозы ИБ разделяют по типам (видам) и степени критичности. Классификация инцидентов по видам описана в стандарте для информационных технологий ISO/IEC 27035-1. Этот стандарт обеспечивает системный подход к выявлению, анализу и реагированию на инциденты. Инциденты согласно ISO/IEC 27035-1:
заражение вредоносным кодом;
неавторизованный доступ;
сбор информации;
нарушение политики ИБ;
распространение информации с недопустимым содержимым.
По степени критичности инциденты ИБ классифицирует компания в зависимости от целей и задач IT-отдела.
Обычно выделяют:
1. По типу нарушения:
Нарушение конфиденциальности — несанкционированный доступ. Например, преступники извлекли внутренние файлы с паролями компании.
Нарушение целостности — неправомерное изменение данных или систем.
Нарушение доступности — инцидент блокирует доступ к информации или системам. Приведем в пример CryptoLocker — вредоносное ПО для блокировки доступа и шифрования данных в ИТ-инфраструктуре организации. В случае установки CryptoLocker на рабочий компьютер, перед сотрудником появляется сообщение с требованием выкупа: информация будет расшифрована, если в установленный срок компания выполнит платеж на определенную сумму.
2. По источнику:
Внешние угрозы — от лиц, не имеющих прямого доступа к информационной системе, например, в случае хакерской атаки.
Типичные внешние угрозы — троянцы, черви, вирусы, рекламное и шпионское ПО. Заражение может привести к полному отказу системы информационной безопасности и потере важных для компании сведений. Так, троянец, отправляющий спам, может незначительно увеличить объем сетевого трафика, шпион — отслеживать действия в сети и собирать конфиденциальную информацию, а программа-вымогатель — блокировать доступ пользователей к системе.
Внутренние угрозы — от сотрудников или контрагентов, имеющих доступ к данным: например, если пароль сотрудника попал в чужие руки.
3. По степени воздействия:
Низкого уровня — не оказывают существенного влияния на общее функционирование системы;
Среднего уровня — ведут к временному снижению работоспособности системы;
Высокого уровня — вызывают серьезный ущерб вплоть до полного отказа системы.
4. По умыслу:
Умышленные — когда сотрудник намеренно сливает данные об объеме продаж компании конкурентам. А еще он может украсть «коммерческий секрет» фирмы или интеллектуальную собственность для продажи третьим лицам.
Непреднамеренные — сотрудник отправил конфиденциальную информацию по ошибочному адресу или установил ПО, которое не является обязательным для работы и может стать причиной сбоев в системе или потери данных.
Бывает, что перерыв на обед с включенным экраном становится причиной инцидента. В одной из компаний стикер с паролем от учетной записи был приклеен на монитор и однажды во время празднования дня рождения работника попал на фотографию: фотография «улетела» в соцсеть, а пароль — в руки мошенников.
Базовое решение для любой системы ИБ — защита конечных точек. С легендарным решением «Лаборатории Касперского» Kaspersky Security для бизнеса каждая компания сможет подобрать уровень защиты эндпоинтов под свой размер и потребности.
Многоуровневая защита рабочих мест
Адаптивная защита от продвинутых киберугроз
Управление инцидентами информационной безопасности
Управлять инцидентами ИБ — значит правильно и своевременно отслеживать угрозы.
Компании нужно установить единый порядок действий и назначить ответственных лиц, которые примут контрольные меры в случае происшествий. Разработайте регламент или инструкцию с подробным перечнем действий, используемых программ, оборудования и способах уведомления сотрудников.
Типовая схема управления инцидентами ИБ выглядит так:
Подготовительный этап — проверка существующих мер безопасности, разработка плана реагирования на инциденты.
Выявление и анализ угроз ИБ — мониторинг, исследование, систематизация инцидентов по значимости, выявление признаков возможной угрозы в будущем и данных, указывающих на то, что атака произошла или происходит сейчас.
Реагирование на инциденты ИБ — локализация, нейтрализация и ликвидация последствий.
Анализ последствий — расследование инцидента с выявлением полной картины развития атаки, формирование сводок по инцидентам, заполнение базы знаний, разработка рекомендаций для совершенствования системы ИБ, действующей в организации.
Инциденты информационной безопасности требуют от организации инструментов, времени и людей. Когда компания работает с большим количеством данных и получает их из разнообразных источников: почта, веб-трафик, бизнес-приложения, шлюзы, не обойтись без специализированных инструментов для сбора, корреляции и анализа данных, таких, как Security Information and Event Management (SIEM). Значительно облегчают работу с угрозами специализированные решения, например, Security Information and Event Management (SIEM).
SIEM — программы мониторинга событий информационной безопасности, которые собирают данные об угрозах для последующего анализа и классификации IT-специалистами, что позволяет иметь полную картину ИБ компании.
До недавних пор считалось, что SIEM — класс решений, доступных только крупным компаниям с высоким уровнем внутренней ИБ-экспертизы. Но в 2023 году «Лаборатория Касперского» представила рынку решение Kaspersky Smart, в рамках которого инструменты SIEM и EDR становятся доступными и небольшим компаниям, как с точки зрения системных требований, так и с точки зрения цены.
Kaspersky Smart — расширенные возможности для вашего бизнеса. Низкие системные требования, отказоустойчивость, комплексный мониторинг и расследование событий ИБ — решение включает все современные инструменты для борьбы со сложными угрозами.
Выявление инцидента информационной безопасности и его причин
Выявление инцидентов и реагирование — важнейшие этапы борьбы с событиями в области информационной безопасности.
Выявлять угрозы ИБ позволяет мониторинг, регистрация и их последующий анализ.
Мониторинг проводят вручную или с помощью специализированного программного обеспечения (SIEM-системы).
Ручной мониторинг — трудоемкий процесс. Служба мониторинга должна работать 24/7: чтобы минимизировать ущерб, нужно оперативно находить угрозы безопасности. Имеет значение размер компании: количество сотрудников, каналов коммуникаций, рабочих станций. В крупных корпорациях число инцидентов может доходить до тысячи в сутки, и обработать такой объем данных вручную сложно.
Специализированное программное обеспечение повышает скорость и эффективность выявления угроз безопасности в реальном времени. ПО перехватывает, собирает и исследует данные по заданным параметрам. При нарушении правил безопасности система мгновенно реагирует, направляя ответственному лицу оповещение для принятия мер и оценки критичности.
Именно программные решения непрерывно мониторят все, что происходит в корпоративной сети, своевременно реагируют на инциденты ИБ и позволяют принимать защитные меры.
Умная защита среднего бизнеса Kaspersky Smart
Новая линейка решений для умной защиты среднего бизнеса
Реагирование на инциденты ИБ
Реагирование на инциденты — действия, которые предпринимает компания при утечке данных или взломе IT-инфраструктуры. Например, сотрудники службы ИБ начнут принимать меры в случае признаков несанкционированного доступа, сбоя в системе или запуска вредоносного ПО.
Задача реагирования на инциденты — пресечь угрозу как можно скорее, до того как она нанесет ущерб.
Реагирование на инциденты информационной безопасности начинается с оповещения от системы управления ИБ, которое получает ответственное лицо.
Специалистам важно убедиться, что событие относится к инцидентам. После — они изолируют пораженные системы и устраняют угрозу: идентифицируют все затронутые хосты, удаляют вредоносное ПО, закрывают или сбрасывают пароли для взломанных учетных записей. Далее важно понять, как снизить риск подобных угроз в будущем.
Если инциденты ИБ могут нанести значительный вред, требуется много времени для их ликвидации. Компании в таких случаях должны восстанавливать данные из резервной копии, решать проблемы с выкупом — если мошенник шантажирует фирму — или уведомлять клиентов, чьи данные оказались скомпрометированы.
Потому к реагированию на инциденты важно привлекать не только сотрудников информационной безопасности. Принимать участие в разработке тактики борьбы с последствиями угроз должны юристы и руководители.
Процессы реагирования на инциденты информационной безопасности различаются в зависимости от структуры организации, возможностей и опыта по выявлению и ликвидации нежелательных событий. Но есть общие правила реагирования на инциденты ИБ, которым важно следовать каждой компании во время происшествия:
Сохранять спокойствие — инциденты могут вызвать сильные эмоции и нарушить привычный ритм работы. Важно спокойно расставить приоритеты, сосредоточиться на самых важных действиях.
Не навредить — компании нужно убедиться, что предпринятые меры реагирования помогут избежать потери критически важных данных. Нельзя принимать поспешных решений, которые могут навредить специалистам ИБ при определении причины инцидента и ликвидации последствий.
Привлечь юридический отдел — обязательно. Юрист должен донести до руководителя информацию о том, будут ли они привлекать правоохранительные органы для составления правильного плана процедуры расследования и восстановления.
Информировать клиентов и заинтересованных лиц — только с учетом рекомендаций юридического отдела, чтобы ограничить ответственность и не создавать ложных ожиданий.
Обращаться за помощью при необходимости — в случае глобальных угроз компании лучше привлечь сторонних экспертов для расследования атак продвинутых хакеров и правильного реагирования на них. Внешними экспертами могут выступать специалисты центров мониторинга кибербезопасности, таких как CERT, или квалифицированные сотрудники поставщика услуг ИБ, который устанавливал систему защиты IT-инфраструктуры компании.
Быть готовыми к возможному снижению производительности — виной тому стресс, связанный с происшествием.
Kaspersky EDR — передовая защита конечных точек с базовым инструемнтарием по реагированию (EDR). Решение интуитивно понятно и легко в управлении, а благодаря подсказкам по реагированию на тысячи запрограммированных сценариев, отразить атаку можно в несколько кликов. Kaspersky EDR подходит как ИБ-командам, так и ИТ (без глубокой экспертизы в безопасности).
После инцидента информационной безопасности нормальная работа возобновляется в течение нескольких часов. Когда угроза ликвидирована, служба безопасности восстанавливает систему и восполняет данные из резервной копии.
Важно: избегайте лишних затрат во время инцидента. Зачастую при масштабных угрозах компания приобретает дорогостоящие решения для информационной безопасности, но они так никогда и не используются. Сначала нужно провести расследование и только потом задуматься — стоит ли бизнесу покупать дорогостоящий инструмент защиты ИБ, предполагающий найм и обучение сотрудников.
Базовые возможности EDR — для простой защиты от сложных киберугроз
Kaspersky EDR для бизнеса Оптимальный — это передовая защита рабочих мест, усиленная расширенными возможностями обнаружения киберугроз
Ликвидация выявленных последствий
Стадия ликвидации последствий инцидента — этап расследования, включающий два основных шага:
Восстановление пострадавших элементов инфраструктуры. IT-специалисты реанимируют части системы, затронутые инцидентом, а эксперты по расследованию следят, чтобы в них не осталось троянских программ, вредоносных закладок и т.п. Служба ИБ должна полностью очистить и восстановить скомпрометированные компоненты от вредоносного кода, устранить уязвимости программных модулей, восстановить резервных копии.
Комплексный аудит ИБ. Ликвидировав последствия, компании нужно провести аудит ИБ. Привлекайте внешних экспертов, чтобы получить независимую и профессиональную оценку состояния IT-инфраструктуры и оценить компетенции сотрудников IT-службы.
Аудит покажет, полностью ли устранены последствия, есть ли новые слабо защищенные места, а также поможет составить план по совершенствованию системы информационной безопасности в организации.
Даже самые эффективные меры безопасности не всегда способны предотвратить атаку. Kaspersky Incident Response — сервис, где вы можете заказать реагирование на инциденты и ликвидацию последствий нарушения системы безопасности. На основе детального анализа сервис составит подробный отчет о свойствах и функционале угрозы, а также даст рекомендации по эффективной ликвидации последствий.
Превентивные меры защиты информации
Для организации и поддержания защитных мер необходимы материальные и человеческие ресурсы. Нужно назначить ответственных лиц и определить защитные меры.
Рассмотрим превентивные способы обеспечения ИБ на предприятии.
Технические средства — антивирусы, межсетевые экраны, системы шифрования и аутентификации, контроль доступа к данным. Каждый сотрудник имеет персональный набор прав и полномочий, согласно которым может работать с информацией — создавать ее, изменять или удалять.
Физические средства — средства, направленные на ограждение и изоляцию важной для бизнеса информации. Это охранные системы, камеры наблюдения, сейфы, замки.
Административные меры — например, запрет на использование собственных ноутбуков в работе. Мера снижает риск заражения рабочих файлов вирусами, сокращает случаи утечки информации. Сюда же относится выпуск соответствующей документации (регламентов, инструкций).
Обучение персонала — тренинги и курсы повышают уровень знаний в области ИБ, учат сотрудников защищаться от кибермошенников и правильно работать с конфиденциальной информацией.
Правовые меры — к примеру, лицензирование деятельности в области обеспечения ИБ и аттестация систем защиты информации. Аттестат соответствия — документ, подтверждающий полное соответствие действующим требованиям безопасности, правилам и стандартам в сфере ИБ.
Резервное копирование — восстановление исходных данных, если они были скомпрометированы или повреждены вследствие кибератаки или ошибки персонала. Универсальное средство, повышающее стабильность любой системы.
Организация политики информационной безопасности — разделение сотрудников по отделам, доступ в которые разрешен по ключу, регламент передачи данных, видеонаблюдение, многократное резервирование информации. Чем комплекснее защита, тем эффективнее деятельность по ее обеспечению.
Заключение
Чтобы инциденты информационной безопасности не стали вашей головной болью, важна четкая и своевременная реакция.
Важно готовиться к угрозе задолго до ее начала.
В компании должен быть план реагирования. Для этого нужно внедрить правила политики ИБ и обеспечить контроль их соблюдения.
Работникам нужно понимать, какие действия они должны и какие не должны совершать в критической ситуации. Потому необходим регламент с четкими указаниями и распределением ролей.
Помните, чем лучше будут проработаны защитные меры, тем быстрее и эффективнее компания справится с инцидентом.
Kaspersky Incident Response
Реагирование на инциденты и ликвидация последствий нарушения системы безопасности
Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: LjN8KYeS2
Начать дискуссию