четверг, 17 мая 2012 г.

СОИБ. Проектирование. Эксплуатация. Анализ инцидентов ИБ


11 мая компании Cisco Systems и Group-IB провели хороший совместный вебинар “Анализ инцидентов ИБ”. Мой анонс этого и других вебинаров был тут.

Первым выступающим был Сергей Грудинов, заместитель директора компании Group-IB по правовым вопросам, который рассказал о правовых аспектах обработки существенных инцидентов относящихся к преступлениям.

Ниже основные тезисы с его выступления:
·         В нормативных документах должны быть определены требования (политики)
·         Сотрудники должны быть ознакомлены с политиками, иначе сложно привлечь их к ответственности
·         В качестве доказательства преступления могут использоваться:
o   показания потерпевшего, свидетеля;
o   заключение и показания эксперта или специалиста;
o   вещественные доказательства;
o   иные документы.
·         Цифровые доказательства (электронные журналы, логи, скриншоты) относятся к иным документам
·         Потерпевший вправе собирать и предоставлять письменные документы и предметы для приобщения их к уголовному делу в качестве доказательств
·         Недопустимыми считаются:
o   документы, полученные с нарушением Закона
o   показания, основанные на догадке, предположении, слухе
·         В качестве вещественных доказательства могут быть предоставлены предметы на которые были направлены преступные действия;
·         Повторяю – ответственный за реагирование на инцидент имеет право собирать информацию (это ещё де доказательство) и передавать уполномоченным лицам, которые проверяют и оформляют как доказательства;
·         Потерпевшей организацией должны соблюдаться следующие правила:
o   Приказ, акт, отметка о регистрации инцидента
o   О назначении ответственного (комиссии) за расследование инцидента
o   Вести протокол, в котором отражаются все действия
o   Использовать стандарты и стандартные методики (действия по которым могут быть проведены повторно)
o   Выполнить все требования внутренних документов, которые связанны с инцидентом
o   Заключение по результатам анализа инцидентов
·         Сохранять информацию об инциденте на CD-R (нельзя допустить изменения информации) с копией на резервный CD-R. При записи снимать значения хэш-функции (ГОСТ) с цифровых доказательств
·         Носители помещать в опечатанный конверт, оформлять акт передачи на хранения носителей информации
·         Уполномоченные органы:
o   БСТМ МВД России (Основная и главенствующая структура в сфере расследования компьютерных преступлений)
o   БСТМ ГУ МВД России по г. Москве (подразделение присутствует в каждом субъекте России)
o   Отдел по расследованию компьютерных преступлений УЭБ и ПК ГУ МВД России по г. Москве (подразделение присутствует в каждом субъекте России – основное отличие связано с тем, что расследуемые преступления в сфере компьютерной информации совершены в совокупности с преступлениями в финансовой сфере
·         в 2011 году по ст.272 УК РФ, связанной с несанкционированным доступом к КИ, только в Москве было возбуждено 238 уголовных дел.

Вторым выступающим был Василий Томилин, ведущий инженер Cisco Systems, который описал правила построения инфраструктуры мониторинга ИБ, результаты которой потом будут использоваться в расследовании инцидентов ИБ.

Ниже основные тезисы с его выступления:
·         Есть несколько подходов к мониторингу ИБ. Оптимальный вариант “мониторинг соответствия политикам ИБ”; Есть ещё варианты “мониторинг аномалий” и “мониторинг запрещенных действий”
·         Всего 6 этапов:
o   Разработка политик;
o   Сбор данных о сети, системах и документирование информации (акцент на наиболее критических);
o   Определение области защиты (мониторинга)
o   Определение источников событий
o   Настройка и тестирование систем мониторинга
o   Эксплуатация
·         Сетевая телеметрия Netlfow  – очень полезная вещь (данные о объеме пакетов, используемыми TCP/UDP портами между каждой парой устройств)
·         Для целей мониторинга очень важна синхронизация времени
·         Определить критические сегменты сети, систем, серверов. Контролировать всё не получится.
·         Даже после выбора всё равно будет много избыточной информации
·         Определить объемы трафика критических сегментов (нужно для выбора модели средства мониторинга SIEM нужной производительности)
·         Так как разную информацию можно получить из разных источников то приходится выбирать оптимальную комбинацию. Например в ЦОД мы можем собирать:
o   Netflow с коммутатора
o   События ИБ с IPS
o   Syslog c сетевого обородования, межсетевых экранов
o   Syslog с серверов
o   Журналы приложений ИС
o   Журналы БД
·         В результате непродуманного (без проектирования) внедрения система регистрирует слишком много событий и не используется
·         При опытном внедрении необходимо отследить срабатывания в результате легитимных событий и донастроить систему
·         В мониторинге необходимо участие сетевых и системных администраторов. Это должно быть задокументировано
·         Необходимо делать мониторинг и сервисов безопасности



Делаю из этих выступлений выводы о необходимых действиях:
·         Должно быть проведено обследование информационных активов, сети, серверов, приложений; проведено документирование, классификация; определена область защиты
·         Должны быть разработаны политики, определяющие какие действия в организации, корпоративной сети, информационной системе  разрешены, а какие запрещены (иначе не удастся привлечь внутреннего нарушителя к ответственности)
·         Проектирование системы мониторинга событий ИБ (SIEM)
·         Должен быть разработана процедура мониторинга ИБ, содержащая:
o   Описание область мониторинга
o   Описание источников и способов сбора событий
o   Описание правил анализа событий, в результате которого определяется инцидент ИБ
·         Должен быть разработана процедура расследования инцидентов ИБ, содержащая:
o   Описание этапов обработки инцидента ИБ
§  обнаружение инцидент и его  регистрация;
§  информирование об инциденте;
§  классификация инцидентов;
§  реагирование на инцидент;
§  анализ причин и оценка результатов.
o   В рамках классификации инцидента ИБ должно быть определено, для каких классов надо готовить информацию для доказательств преступления
o   В рамках реагирования должно быть описано, как собирается информации, оформляется и хранится для будущих доказательств преступления
o   В рамках анализа и оценки результатов должны быть определены критерии при которых необходимо передавать информацию уполномоченным органам для возбуждения дела о преступлении
o   Приложением формы всех необходимых в будущем актов, журналов и протоколов (для того чтобы обработка инцидента прошла максимально четко и быстро)
·         Установка системы мониторинга событий ИБ (SIEM)
·         Конфигурация источников событий на передачу информации в SIEM
·         Конфигурирование правил группирования, фильтрации, корелляции
·         Испытания системы SIEM
·         Опытная эксплуатация SIEM
·         Доработка конфигурации правил группирования, фильтрации, корелляции SIEM
·         Передача в эксплуатацию SIEM

Комментариев нет: