Инциденты безопасности и утечки данных могут иметь очень разрушительные и опасные последствия для организаций. Фактически, согласно ежегодному отчету Ponemon Institute «Cost of a Data Breach Report» (о том, во сколько обходятся утечки данных), средняя общая стоимость утечки данных составляет около 3,92 млн. долл., при этом в среднем 25 575 записей были украдены или скомпрометированы.
Восстановление потерянных данных — это только часть уравнения. Продолжительное время простоя может быстро увеличивать расходы. И еще труднее поддаются количественной оценке восстановление утраченного доверия потребителей и ущерб, нанесенный репутации бренда. На устранение этих проблем могут уйти месяцы или годы.
Отчасти проблема заключается в том, что современные стратегии кибератак включают в себя новые методы и технологии, предназначенные для уклонения от обнаружения. В результате не только начальные утечки данных иногда остаются незамеченными, но и среднее время, в течение которого компрометация остается незамеченной, пока злоумышленники сканируют вашу сеть и извлекают данные, иногда составляет 209 дней. И даже в этом случае может потребоваться больше месяца, чтобы провести тщательное расследование и полностью восстановить поврежденные системы.
Однако правильная подготовка может значительно сократить расходы. Национальный институт стандартов и технологий США определил несколько важных шагов для процесса управления инцидентами кибербезопасности (NIST Cybersecurity Incident Response Process). Эти меры должны стать частью стратегии кибербезопасности каждой организации.
Ниже приведены некоторые важные моменты, которые следует учитывать при создании плана реагирования на инциденты безопасности.
Подготовка к утечке данных и нарушениям безопасности
Подготовка к инциденту позволит избежать путаницы и ошибок, если в момент реагирования будут допущены ошибки. Все начинается с определения состава вашей команды реагирования на инциденты, в которую должны входить не только члены технической группы и консультанты, но также руководители, группа по связям с общественностью, члены юридической группы, служба безопасности и т. д. Каждый из этих лиц будет обладать критически важными знаниями, которые будут важны для успешного преодоления кризиса.
Также необходимо будет установить цепочку подчинения для всех членов команды, чтобы можно было тщательно координировать реагирование на инциденты. Каждый член команды должен знать не только свои роли и обязанности, но и свои полномочия при принятии решений.
Помимо наличия правильных технологий для обнаружения нарушений, для реагирования на инцидент необходимо дополнительное оборудование, и необходимо заранее понимать какое именно. Большая его часть должна находиться вне сети, чтобы не быть в опасности в случае атаки с использование программ-вымогателей или аналогичной. Кроме того, регулярные резервные копии данных и систем должны быть доступны и храниться вне сети. Важно также проводить регулярные тренировки по восстановлению систем и данных, чтобы их возвращение в оперативный режим могло быть плавным и беспроблемным процессом.
Чтобы определить, какие технологии вам понадобятся, необходимо также понять, какие типы данных есть в вашей системе и как они передаются. Кроме того, вам нужно будет определить все критически важные бизнес-процессы и активы. Конечно, вы не сможете защитить и контролировать все, поэтому сосредоточьтесь на том, что важно. Самое главное, определите, подпадают ли какие-либо из ваших данных под какие-либо регуляторные правила. Организациям, на которые распространяются нормативные требования, необходимо обеспечить, чтобы официальные процессы документирования и информирования о нарушении были включены в подготовительные мероприятия и стратегии.
Обнаружение и анализ нарушений
Одной из самых больших проблем, с которыми сталкиваются организации, является ограниченная видимость в распределенной сети. Необходимо не только наличие инструментов безопасности и систем обнаружения аномалий, но и возможность обмена информацией для отслеживания событий, которые в противном случае остались бы незамеченными.
Для этого необходимы интегрированные инструменты безопасности и централизованная система анализа и корреляции данных. По возможности операции NOC и SOC должны быть тесно интегрированы, чтобы системы безопасности имели больше ресурсов для оценки сетевых данных в режиме реального времени с целью обнаружения подозрительного поведения.
Ваша команда реагирования на инциденты должна сделать следующие шаги, чтобы подготовиться к утечке данных и инцидентам безопасности:
- данные: оперативно определите, какие данные и ресурсы были скомпрометированы или украдены и какие критически важные бизнес-процессы были затронуты. Вам также потребуется проанализировать все системы, зараженные вредоносным программным обеспечением, чтобы определить его намерения и получить данные IOC, журналов и транзакций;
- соответствие нормативным требованиям: проанализируйте, какие нормативные требования необходимо выполнить. Ввиду длительности большинства случаев нарушения, все важные данные и журналы необходимо сохранять в автономном режиме на протяжении как минимум года;
- органы власти: определите, нужно ли вам обращаться в органы власти, включая правоохранительные и регулирующие органы. Это особенно важно для организаций, связанных нормативными требованиями. Например, GDPR может предусматривать значительные штрафы за несвоевременное сообщение об инциденте;
- доказательства: сохраните доказательства на случай, если инцидент станет предметом судебного разбирательства. Правоохранительные органы уже должны быть включены в вашу подготовку и планирование, поэтому шаги по сохранению места преступления уже должны быть частью вашего плана реагирования, чтобы любые доказательства были приняты в суде;
- карантин и резервирование: поскольку пострадавшие системы, скорее всего, придется поместить в карантин, необходимо иметь резервные системы, чтобы можно было провести криминалистический анализ. Возможности карантина важны для предотвращения распространения;
- отслеживание цепочки атаки: необходимо иметь инструменты, позволяющие проследить путь атаки до точки проникновения. Для этого нужно определить используемое вредоносное ПО и продолжительность атаки. После определения цепочки атак и типа вредоносного ПО необходимо проанализировать каждое устройство на пути атаки. Инциденты компрометации (IOCs) необходимо использовать для выявления других устройств, которые могли быть скомпрометированы;
- обучение: сотрудники, даже те, которые не относятся к ИТ-отделу или службе безопасности, должны быть осведомлены о кибербезопасности и пройти обучение. Редко когда инциденты безопасности не затрагивают более широкий слой сотрудников. Кроме того, обучение поможет правильно реагировать и предотвращать инциденты.
Инциденты: сдерживание, искоренение и восстановление
Чтобы предотвратить латеральное распространение вредоноса по сети, организации уже должны иметь в наличии сегментацию на основе намерений и протоколы нулевого доверия. Сегментация на основе намерений логически разделяет системы, устройства и данные на основе бизнес-требований и является критически важной для предотвращения инцидента в масштабах всей системы.
После обнаружения вредоносного ПО или других элементов нарушения необходимо позаботиться о том, чтобы полностью удалить их из сети. Инструменты, изменяющие общие библиотеки или файлы, модифицирующие приложения или код, или использующие существующие программные средства — методика, известная как «жизнь за счет земли» — могут сделать выявление и удаление всех элементов атаки особенно сложной задачей. В результате необходимо быстро принять меры, чтобы злоумышленник не смог снова скомпрометировать систему. Это достигается путем использования информации, полученной на предыдущих этапах, и немедленного решения проблем, которые привели к нарушению, например, путем перенастройки устройства, установки недостающего патча или сброса скомпрометированных учетных данных.
Наконец, после того, как инцидент был локализован и ликвидирован, необходимо провести восстановление с использованием корректных резервных копий. Команды по восстановлению должны иметь возможность вернуть важные системы в рабочее состояние как можно скорее. ИТ-команды также должны знать, что полностью устранить встроенные угрозы может быть сложно, особенно те, которые разработаны таким образом, чтобы избежать обнаружения, поэтому всегда полезно усилить мониторинг безопасности в течение нескольких недель после восстановления после нарушения, чтобы убедиться, что угроза полностью устранена.
Действия после инцидента в случае утечки данных и нарушений кибербезопасности
Этот более длительный процесс устранения последствий, который позволит снизить вероятность повторения инцидента. Извлеченные уроки должны быть включены в политику безопасности, точки компрометации должны быть устранены, скрытые вредоносные программы должны быть найдены и удалены, а также должны быть усилены те же самые слабые места в других частях сети.
Именно в этот момент вам может понадобиться не только внимательно изучить имеющиеся инструменты и системы безопасности, но и людей вкупе со спецификой процессов. Какие элементы безопасности отсутствуют, которые могли бы выявить нарушение, но не выявили? Какие процессы были нарушены? Какие навыки, которые могли бы ускорить обнаружение нарушения или процесс восстановления после инцидент, отсутствовали? Это может означать добавление дополнительных инструментов в архитектуру безопасности, обновление или замену систем, которые не справились со своей задачей, а также дополнительное обучение критически важных сотрудников службы безопасности.
Видимость — важнейший элемент этого процесса. Между устройствами безопасности часто существуют критические разрывы, и вам необходимо оценить, где нарушена связь между различными системами. Событие, обнаруженное одним устройством, которое не соотносится с соответствующим событием, обнаруженным другим, или не вызывает ответной реакции, может привести к серьезному инциденту, который может оставаться необнаруженным в течение нескольких месяцев.
Для решения этой проблемы требуется не только последовательная защита всей распределенной сети, но и инструменты, предназначенные для обмена и корреляции данных об угрозах в режиме реального времени. Вам необходимо оценить, что вы можете видеть и не видеть, и внести изменения для расширения видимости и улучшения способности сети автоматически реагировать на события.
Наконец, извлеченные уроки необходимо использовать для обучения различных групп внутри организации. Например, если нарушение началось с фишинговой атаки, все сотрудники должны пройти усиленное обучение по предотвращению будущих инцидентов. Аналогичным образом, нарушение, вызванное дефектом в разработанном внутри компании приложении, должно послужить толчком к обучению передовым методам обеспечения безопасности для команды DevOps.
Реагирование на будущую утечку данных начинается сейчас
Часто это требует изменения мышления. Можно начать с предположения, что ваша организация, возможно, уже подверглась взлому. Если это так, то какие проблемы существуют в вашей архитектуре безопасности, которые мешают вам заметить это? Способны ли ваши существующие решения обнаружить даже самые незначительные аномальные действия? Как быстро ваша сеть может сложить два и два и получить ответ? Есть ли у вас команда, готовая отреагировать на обнаружение нарушения?
Ответы на эти вопросы сейчас, а также регулярное проведение тренировок по реагированию на инциденты, оценка текущих возможностей технологий безопасности и постоянное обучение помогут вам минимизировать последствия возможного инцидента кибербезопасности.
