Разработка и реализация процесса управления инцидентами иб в со­ответствии с лучшими практиками обеспечивает следующее


Download 1.2 Mb.
bet4/43
Sana30.03.2023
Hajmi1.2 Mb.
#1309469
1   2   3   4   5   6   7   8   9   ...   43
Bog'liq
текст лекции

Злоумышлен> ник




Цели

Сотрудник организации

Финансовая выгода

Промышлен­ный шпион

Нанесение ущерба

Преступник

Нарушение непрерывности бизнеса











Метод и средства




Действие

Физическая атака

Сканирование

Скрипты и программы

Подмена

Перехват информации

Чтение




Модификация




Копирование




Удаление

Кража








Объект




Результат

Учетная запись

Раскрытие информации

Процесс

Отказ в обслуживании

Информация

Кража ресурсов

Компьютер

Нарушение политики безопасности

Сеть











Рис. 2.2. Инцидент ИБ

Однако не стоит ограничиваться приведенной схемой. Субъектами реализации инцидента ИБ могут быть не только люди, но и другие ис­точники угроз ИБ - процессы, сбои ПО и оборудования и т. д.


11омимо этого инциденты ИБ могут происходить по вине нарушите- ией, которые, в отличие от злоумышленников, не имеют целей получе­ния несанкционированных результатов, а становятся виновниками ин­цидентов ИБ, например вследствие недостатка знаний в области ИБ и принятым в организации неточным или противоречивым регламентам и инструкциям по ОИБ.
I [риведем примеры некоторых распространенных инцидентов ИБ.

  1. Отказ в обслуживании (англ, denial of service, DoS) является дос­пиочно большой категорией инцидентов ИБ, приводящим к сбоям в системах, сервисах или сетях, которые не могут продолжать работу с прежней производительностью, чаще всего при полном отказе в доступе авторизованным пользователям.

Существует два основных типа таких инцидентов ИБ: уничтожение ресурсов и истощение ресурсов.
Одни технические инциденты «отказ в обслуживании» могут созда­ваться случайно, например в результате ошибки в конфигурации, допу­щенной оператором, или из-за несовместимости прикладного ПО, а дру­гие - преднамеренно. Типичными примерами таких преднамеренных инцидентов являются следующие:

  • зондирование сетевых широковещательных адресов с целью пол­ного заполнения полосы пропускания сети трафиком ответных сообщений;

  • передача данных в непредвиденном формате в систему, сервис или сеть в попытке разрушить или нарушить нормальную работу;

  • одновременное открытие нескольких сеансов с конкретной сис­темой, сервисом или сетью в попытке исчерпать ее ресурсы (то есть замедлить их работу, блокировать или разрушить).

Цель намеренно инициируемых инцидентов «отказ в обслужива­нии» - разрушить систему или сервис, снизить производительность се­ти. Другие инциденты являются всего лишь побочными продуктами другой вредоносной деятельности. Например, некоторые наиболее рас­пространенные методы скрытого сканирования и идентификации могут приводить к полному разрушению старых или ошибочно сконфигури­рованных систем или сервисов при их сканировании.
Многие преднамеренные инциденты «отказ в обслуживании» часто выполняются анонимно (то есть источник атаки неизвестен), поскольку злоумышленник обычно не получает какую-либо информацию от ата­куемой сети или системы.
Инциденты «отказ в обслуживании», создаваемые нетехническими средствами, приводящие к потере информации, сервиса и/или устройств обработки могут, например, вызываться следующими факторами:

  • нарушениями систем физической защиты, приводящими к хище­ниям, преднамеренному нанесению ущерба или разрушению оборудования;

  • случайным нанесением ущерба аппаратуре и/или ее местополо­жению от огня или воды/наводнения;

  • экстремальными условиями окружающей среды, например высо­кой температурой (выход из строя кондиционера);

  • неправильным функционированием или перегрузкой системы;

  • неконтролируемыми изменениями в системе;

  • неправильным функционированием аппаратного обеспечения (АО) и ПО.

  1. Сбор информации включает действия, связанные с определением по­тенциальных целей атаки и получением представления о сервисах, запу­щенных на идентифицированных целях атаки. Инциденты такого типа предполагают проведение разведки с целью определения следующего:

  • наличия цели, получения представления об окружающей ее сете­вой топологии и о том, с кем обычно эта цель связана для обмена информацией;

  • потенциальных уязвимостей цели или непосредственно окружаю­щей ее сетевой среды, которые можно использовать для атаки.

Типичными примерами атак, направленных на сбор информации техническими средствами являются следующие:

  • сбрасывание записей DNS (системы доменных имен) для целево­го домена Интернета (передача зоны DNS);

  • отправка тестовых запросов по случайным сетевым адресам с це­лью найти работающие системы;

  • зондирование системы с целью идентификации (например, по контрольной сумме файлов) операционной системы (ОС) хоста;

  • сканирование доступных сетевых портов на протокол передачи файлов системе с целью идентификации соответствующих серви­сов (например, электронная почта, FTP, Web и т. д.) и версий ПО этих сервисов;

  • сканирование одного или нескольких сервисов с известными уяз­вимостями по диапазону сетевых адресов (горизонтальное скани­рование).

В некоторых случаях технический сбор информации расширяется до 11СД, если, например, злоумышленник, отыскивая уязвимости, пытается также получить НСД. Обычно это осуществляется автоматическими средствами взлома, которые не только ищут уязвимости, но и автомати­чески пытаются использовать уязвимые системы, сервисы и/или сети.
Инциденты, направленные на сбор информации, создаваемые нетех­ническими средствами, приводящие к следующему:

  • прямому или косвенному раскрытию или модификации инфор­мации;

  • хищению интеллектуальной собственности, хранимой в элек­тронной форме;

  • нарушению учетное™, например, при регистрации учетаых записей;

  • неправильному использованию ИС (например, с нарушением за­кона или политики организации).

Инциденты могут вызываться, например, таким образом:

  • нарушениями физической защиты, приводящими к НСД к ин­формации и хищению устройств хранения данных, содержащих значимые данные, например, ключи шифрования;

  • неудачно и/или неправильно сконфигурированными ОС по при­чине неконтролируемых системных изменений в системе или не­правильным функционированием ПО или АО, приводящим к то­му, что персонал организации или посторонний персонал получа­ет доступ к информации, не имея на это разрешения.

3. НСД включает инциденты, которые не вошли в первые две кате­гории. Главным образом этот тип инцидентов состоит из несанкциони­рованных попыток доступа в систему или неправильного использования системы, сервиса или сети. Некоторые примеры НСД с помощью тех­нических средств включают в себя:

  • попытки извлечь файлы, содержащие пароли;

  • атаки переполнения буфера с целью получения привилегированного (например, на уровне системного администратора) доступа к сети;

  • использование уязвимостей протокола для перехвата соединения или ложного направления легитимных сетевых соединений;

  • попытки повысить привилегии доступа к ресурсам или информа­ции по сравнению с теми, которые пользователь или администра­тор уже имеют легитимно.

Инциденты НСД, создаваемые нетехническими средствами, которые приводят к прямому или косвенному раскрытию или модификации ин­формации, к нарушениям учетности или неправильному использованию ИС, могут вызываться следующими факторами:

  • разрушением физической защиты с последующим НСД к информации;

  • неудачно и/или неправильно сконфигурированной ОС вследствие неконтролируемых изменений в системе или неправильного функ­ционирования ПО или АО, приводящих к результатам, подобным тем, которые описаны выше.

Таким образом, можно сделать вывод, что инцидент ИБ - весьма гибкое и многогранное понятие. Четкое его понимание необходимо для проведения классификации инцидентов ИБ, на основе которой в орга­низации проводится соответствующее реагирование на инциденты ИБ.

    1. Цели и задачи управления инцидентами ИБ

Управление инцидентами ИБ - состоящий из ряда подпроцессов процесс, на вход которого поступают данные, полученные в резуль­тате сбора и протоколирования затрагивающих ИС событий ИБ, а на выходе - информация о причинах произошедшего инцидента ИБ, нанесенном организации ущербе и мерах, которые необходимо принять для того, чтобы инцидент ИБ не повторился вновь. Таким образом, управление инцидентами ИБ направлено на совершенствова­ние СОИБ организации. Кроме того, получаемые на выходе данные яв­ляются, по сути, единственным объективным источником определения вероятности реализации угроз ИБ при анализе рисков ИБ.
Важно правильно понимать термин «управление инцидентами ИБ». В данном контексте ни в коем случае не имеется в виду возможность регулирования инцидентов ИБ - чтобы они состоялись или нет. Речь идет об анализе возникших инцидентов ИБ, их причин, подготовке и собственно принятии решений по выявленным инцидентам ИБ и пре­дотвращении новых. Поэтому типовые действия, выполняемые в рамках процесса управления инцидентами ИБ, включают следующее:

  • идентификацию инцидента ИБ (получение информации о нем, его регистрацию, оценку критичности и классификацию инцидента);

  • реагирование на инцидент ИБ (эскалация инцидента группе по обра­ботке инцидентов ИБ, идентификация причин его возникновения, изоляция инцидента и подавление причин его возникновения);

  • восстановление после инцидента ИБ (оперативное внесение измене­ний в конфигурации систем, восстановление данных и закрытие ин­цидента ИБ);

  • последующие действия по инциденту ИБ (анализ первопричин возник­шего инцидента ИБ, проведение служебного расследования и предос­тавление отчета об инциденте ИБ заинтересованным сторонам).

Процесс управления инцидентами ИБ связан со многими другими процессами, например, управлением рисками ИБ, мониторингом/ауди- том, управлением изменениями, доступом и НБ. Следовательно, он яв­ляется своеобразным «мотором» жизненного цикла СУИБ. Поэтому в качестве основы общей стратегии ОИБ организации необходимо ис­пользовать системный, структурированный, хорошо спланированный подход к управлению инцидентами ИБ. Целями такого подхода являет­ся обеспечение следующих условий [3-5, 7]:

  • события ИБ обнаружены и эффективно обработаны, в частности оп­ределены как относящиеся или не относящиеся к категории инци­дентов ИБ;

  • идентифицированные инциденты ИБ оценены, и реагирование на них осуществлено наиболее целесообразным и результативным способом;

  • негативные воздействия инцидентов ИБ на организацию и ее бизнес- операции минимизированы соответствующими защитными мерами, яв­ляющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов из плана(ов) ОНБ;

  • из инцидентов ИБ и их управления быстро извлечены уроки. Это де­лается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер, улучшения общей системы управления инцидентами ИБ.

Как показывают лучшие практики в области управления ИБ, эффек­тивность процесса управления инцидентами ИБ зависит от следующих факторов:

  • координации и согласованности действий всех вовлеченных в него лиц;

  • имеющихся возможностей по получению и анализу информации, связанной с инцидентом ИБ;

  • оперативности и корректности полученных результатов.

Эффективность управления инцидентами ИБ обычно выражается в измеряющихся и оценивающихся показателях, например:

  • тенденции в изменении общего количества инцидентов ИБ;

  • среднее фактическое время, затраченное на разрешение инцидента ИБ;

  • процент инцидентов ИБ, обработанных в рамках согласованного времени реакции;

  • средние затраты на полную обработку инцидента ИБ;

  • процент инцидентов ИБ, закрытых без обращения к специализиро­ванным группам поддержки;

  • количество и процент инцидентов ИБ, разрешенных удаленно.

Таким образом, эффективное управление инцидентами ИБ обеспе­чивает быстрое восстановление нормального функционирования сис­тем, сервисов и сетей, минимизирует неблагоприятное воздействие на бизнес, снижает финансовые потери, а также поддерживает процессы управления рисками ИБ.
Как для всякой деятельности, в первую очередь определяются цели организации по эффективному управлению инцидентами ИБ. Итоговый список, конечно, будет разным для разных организаций. Ниже приведен один из возможных вариантов такого списка:

  • гарантировать целостность критически важных систем;

  • сохранить и восстановить данные;

  • сохранить и восстановить сервисы;

  • выяснить, почему инцидент ИБ стал возможен;

  • предотвратить развитие атак и будущие инциденты ИБ;

  • избежать нежелательной огласки информации об инциденте ИБ;

  • найти виновников инцидента ИБ;

  • наказать нарушителей ПолИБ организации.

Для достижения этих целей организация решает основные задачи управления инцидентами ИБ:

  • координация сбора сведений об инцидентах ИБ, реагирования на них и дальнейшего анализа причин их возникновения;

  • минимизация нарушения порядка работы и повреждения актива ор­ганизации, восстановление в кратчайшие сроки работоспособности организации в результате инцидента ИБ;

  • минимизация последствий нарушения ИБ (конфиденциальности, це­лостности и доступности) активов организации;

  • обеспечение сохранности и целостности доказательств того, что ин­цидент ИБ имел место, накопление и хранение точной информации об имевших место инцидентах ИБ;

  • защита прав организации, установленных законом;




  • защита репутации организации и ее активов;

  • быстрое обнаружение и/или предупреждение подобных инцидентов ИБ в будущем;

  • обучение персонала организации действиям по обнаружению, устра­нению последствий и предотвращению инцидентов ИБ.

В самом общем случае управление инцидентами ИБ включает сле­дующую деятельность (рис. 2.3):

Download 1.2 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   ...   43



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling