20.06.2011

Вновь об управлении инцидентами

Управление инцидентами – это многогранная задача, которая включает в себя различные подзадачи и процессы. Это и расследование инцидентов, и сбор доказательств, и общение с правоохранительными органами (если это нам необходимо), и управление уязвимостями, и патчами, и множество других вещей. И каждая из них важна и нужна. Просто расследование инцидентов без формирования соответствующей группы CSIRT бесполезная трата времени и ресурсов (даже обратиться к специалистам и то надо знать как). А формирование группы CSIRT бесмысленно без наличия прописанных и формализованных процессов управления инцидентами, которые четко определяют шаги участвующих в управлении инцидентами специалистов и не дают им делать хаотические шаги в стороны.

На мой взгляд, основная задача в области управления инцидентами – это как можно большая формализация задач и процессов, чтобы нельзя было делать шаг влево и шаг вправо; чтобы те люди, которые в итоге войдут в группу CSIRT (либо созданную формально, либо неформально), не думали во время инцидента, что им делать, куда им звонить и так далее. Чтобы они четко выполняли шаги, требуемые от них для борьбы с нейтрализацией инцидентов и их последствий (не вдаваясь в терминологические дебри и дискуссии на тему "что такое инцидент").

Без такой формализации начинается хаос, начинаются метания из стороны в сторону во время инцидента. Кто-то попытался заблокировать злоумышленника или попытался с ним связаться. Кто-то попытался перезапустить систему, которую атаковали. В результате все следы уничтожены, злоумышленник понял, что его обнаружили и прекратил свою несанкционированную деятельность. В итоге, с одной стороны, инцидент прекращен и поверхностная задача решена. А с другой стороны мы столкнулись с ситуацией, в которой возможно повторение этого инцидента, но уже на более глубоком уровне (ведь злоумышленник понял, что его действия обнаружены). Мы не смогли реально идентифицировать злоумышленника, потому что он работал через какой-нибудь прокси. И так далее.

Что в итоге? И действия какие-то произведены. И ущерб предотвращен. Но присутствовало ли тут управление инцидентами? Нет. Потому что мы ничего об этом инциденте не знаем. Ничего не знаем о злоумышленники. Ничего не собрали в качестве доказательств. А вот нарушителю дали понять, что его "пасут", заставив его тем самым предпринять более серьезные действия по скрытию своей активности (правда, может он и отстанет от вас).

На форуме директоров по ИБ, в своей презентации по финансовому измерению ИБ, я показал (слайд 28), что в России проекты по управлению инцидентами экономически неоправданны. И если уж заниматься этой задачей, то делать это надо изначально понимая все особенности; все подводные камни; все достоинства и недоставки каждого из существующих подходов к управлению инцидентами.

К чему я все это пишу, сказав уже что-то в пятницу? Просто навеяло постами Ригеля и Алексея Волкова. Видимо придется уделять этому вопросу больше внимания, коль скоро эта тема стала в России столь популярной ;-)

ЗЫ. Коллегам из Leta-IT/Group-IB предлагаю завести отдельный блог/ресурс на эту тему, чтобы сделать эту тему открыто обсуждаемой. Ведь именно в открытой дискуссии и рождается истина. Единого рецепта или сценария может и не найдется, но можно будет увидеть разные подходы к решению данной задачи.

10 коммент.:

Алексей Волков комментирует...

Кстати, реальная тема для книжки, м?

Алексей Лукацкий комментирует...

Таки не вопрос - у меня 2/3 даже уже написано ;-))

Алексей Волков комментирует...

Ну вот - опоздал :( Доделать ничего не нужно? Работать буду за возможность работы :) (я кстати серьезно - можем обговорить по мылу)

rustam комментирует...

Алексей, планируете ли Вы в 2011 году проведение своего курса "Управление инцидентами ИБ"?

Я так понимаю у Leta-IT/Group-IB таких мероприятий в планах нет.

Алексей Лукацкий комментирует...

Я же человек подневольный ;-) Будут запросы от учебных центров - проведу. Не будет - не проведу. Я же сам не организую группы обучения.

rustam комментирует...

Хорошо:)
тогда такой вопрос: в сторону каких учебных центров смотреть по данной тематике?

Алексей Лукацкий комментирует...

Ну таких нет в России - тема пока невостребованная в массовом порядке, чтобы УЦ создавали собственный курс ;-( Можно порекомендовать УЦ пригласить меня в качестве преподавателя на один курс ;-)

rustam комментирует...

В итоге я нашел 4 курса:
1) "Расследование компьютерных инцидентов" Информзащита

2) "Расследование инцидентов информационной безопасности" МНУЦИБ

3) "Управление инцидентами информационной безопасности. Практические аспекты" Академия Информационных Систем

4) Ваш курс "Управление инцидентами ИБ"

В самом деле не густо:(

Алексей Лукацкий комментирует...

Курс "Информзащиты" обсуждает именно расследование. Причем в контексте только общения с правоохранительными органами.

О курсе МНУЦИБ ничего не слышал. По опубликованной программе ничего конкретного сказать не могу - очень уж неконкретная.

Курс АИС тоже касается только расследования и процедуры сбора доказательств.

Я сторонник мысли о том, что именно расследованием должны заниматься отдельные люди/компании. Собственную службу расследований могут себе позволить иметь единицы компаний. Гораздо важнее управлять инцидентами, выстраивая CSIRT, процедуры получения и обмена информацией, взаимодействия с правоохранителями или специализированными компаниями, ведения инцидентов, их приоритезации и т.д. Мой курс посвящен именно этим аспектам в первую очередь. Хотя и вопросы расследования я тоже рассматриваю.

rustam комментирует...

Спасибо за подробный ответ!