Расследование инцидентов информационной безопасности
Цифровизация всех отраслей экономики привела к тому, что угрозы, связанные с информационной безопасностью, вышли на одно из первых мест по величине ущерба.
В связи с этим особую значимость приобретает выяснение причин, которые сделали возможным инцидент, а также выработка мер для устранения последствий и предотвращения подобных ситуаций в будущем.
Смарт-Софт предлагает компаниям, пострадавшим от кибератак и утечек данных, услугу по расследованию инцидентов информационной безопасности.
Типы инцидентов информационной безопасности
В рамках ГОСТ Р ИСО/МЭК 27001:2006 выделяются следующие виды инцидентов:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политики или рекомендаций по ИБ;
- нарушение физических мер защиты;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
Для выявления каждой разновидности требуются специализированные программные или программно-аппаратные комплексы, а для расследования – эксперты, которые обладают практическим опытом применения широкого комплекса методик.
Расследование инцидентов состоит из нескольких этапов.
Выявление инцидентов информационной безопасности
На этом этапе эксперты проводят исследование инфраструктуры пострадавшей компании, чтобы подтвердить или опровергнуть факт инцидента. Как правило, при этом выясняется тип реализованной угрозы и определяется предварительный ущерб.
Локализация угрозы и блокировка нежелательных последствий инцидента
Если сеть компании стала жертвой вымогательского ПО, крайне важно изолировать заражённые системы, чтобы не допустить дальнейшего распространения угрозы. В случае со шпионским ПО необходимо заблокировать заражённым устройствам доступ в интернет, чтобы исключить связь с управляющими серверами и возможность удалённого подключения атакующих.
Сбор и анализ доказательств
Это самая объёмная и трудоёмкая часть работы, в ходе которой эксперты детально изучают инфраструктуру пострадавшей компании, содержимое дисков серверов и компьютеров, почтовый трафик, конфигурацию оборудования и защитных систем. В процессе анализа применяются специализированные инструментальные средства.
Состояние объектов сети фиксируется на момент наступления инцидента, чтобы сохранить свидетельства и защитить их от модификации. В связи с этим важно, чтобы фиксация была проведена до того, как ИТ-служба компании начала восстановление.
Выявление виновных и установление причин
На этой стадии устанавливаются следующие факты:
- что и когда произошло;
- цель атаки;
- источник атаки;
- цели и мотивация атакующего;
- соучастники на стороне жертвы;
- уязвимости и инструменты атакующих.
Ликвидация последствий инцидента
Стадия ликвидации последствий инцидента является важной частью процесса расследования. На этом этапе ИТ-служба проводит восстановление пострадавших в ходе инцидента компонентов инфраструктуры, а эксперты по расследованию следят, чтобы в системах не осталось вредоносных закладок, троянских программ и уязвимых программных модулей.
Результаты и недопущение повторений
Финальный этап расследования инцидента информационной безопасности представляет собой подготовку итоговых отчётов, в которых содержатся:
- выводы о причинах, инцидента и его виновниках;
- уязвимости, которыми воспользовались атакующие;
- сведения о скомпрометированных в ходе инцидента данных;
- меры по предотвращению повторных инцидентов данного типа.
Если ваша компания стала жертвой инцидента информационной безопасности, например, если вредоносное ПО заблокировало работу сети, похищены конфиденциальные данные или нанесён финансовый ущерб, Смарт-Софт окажет всю необходимую помощь в расследовании причин произошедшего и даст рекомендации по ликвидации уязвимостей, чтобы защититься от подобных атак в будущем.
Направить запрос
Подпишитесь на рассылку Смарт-Софт
