На прошедшем эфире AM Live, посвященном киберучениям, о котором я написал отдельно, но в Фейсбуке, в рамках проводимого опроса четверть респондентов ответило, что хотело бы получить набор готовых сценариев для проведения киберучений. А так как я достаточно активно за последние несколько лет провожу публичные и не очень киберучения, то я решил поделиться заглавными идеями сценариев, которые очень популярны у разных компаний и которые отражают основные их боли, которые позволяет не только легко прокачать навыки служб ИБ, но и отработать взаимодействие между различными подразделениями компании, которые участвуют в реагировании на инциденты.
Фрагмент сценария с киберучений "Зомби атакуют" |
Итак список идей для сценариев выглядит таким образом:
- Утечка важной для бизнеса информации (например, планов поглощения и слияния или планов выпуска новой продукции)
- Нарушение контрактных обязательств из-за действия шифровальщика
- Инициация конкурентами проверки со стороны регулятора
- Шантаж со стороны мошенников/хакеров
- Санкционная тематика (отключение средства защиты или его обновления)
- Внезапная публикация в СМИ информации об инциденте (да, если вы за 4 часа не среагировали, то вы проиграли эту информационную битву)
- Массовое заражение шифровальщиком, включая цифровую АТС и почтовый сервер
- Злой айтишник
- Фишинг от имени руководства компании
- Сервер компании заражен ПО для майнинга
- Инцидент на новогодние праздники
Реализация этих идей позволяет реализовать многоходовые сценарии, раскрывающие их более детально, и позволяющие отработать разные стороны реагирования на инциденты - от сбора доказательств до анализа масштаба бедствия, от взаимодействия с ИТ до подготовки сообщения для прессы, от проверки регламентов до ответа на вопрос: "Надо ли платить выкуп вымогателям?".
Возьмем, к примеру, сценарий "Злой айтишник". Он может выглядеть по-крупному из следующих шагов:
- Знающий о своем увольнении системный администратор устанавливает закладки на все критичные сервера (или разработчик это делает в отношении ключевых компонентов разрабатываемого ПО).
- После увольнения бывший админ (разработчик) входит в ИТ-системы бывшего работодателя и крадет информацию, нарушая целостность всех баз данных и их резервных копий.
- Сисадмин находит на черном рынке покупателя на украденную информацию и продает ее.
- Покупатель требует выкуп; иначе угрожает опубликовать данные в СМИ. СМИ все равно узнают о данном шантаже и публикуют новость об этом.
Фрагмент сценария с киберучения на "Магнитке" в феврале 2021 |
Комментариев нет:
Отправить комментарий
Примечание. Отправлять комментарии могут только участники этого блога.