СОИБ. Проектирование. Эксплуатация. Анализ инцидентов ИБ

11 мая компании Cisco Systems и Group-IB провели хороший совместный вебинар “Анализ инцидентов ИБ”. Мой анонс этого и других вебинаров был тут.

Первым выступающим был Сергей Грудинов, заместитель директора компании Group-IB по правовым вопросам, который рассказал о правовых аспектах обработки существенных инцидентов относящихся к преступлениям.

Ниже основные тезисы с его выступления:

·         В нормативных документах должны быть определены требования (политики)

·         Сотрудники должны быть ознакомлены с политиками, иначе сложно привлечь их к ответственности

·         В качестве доказательства преступления могут использоваться:

o   показания потерпевшего, свидетеля;

o   заключение и показания эксперта или специалиста;

o   вещественные доказательства;

o   иные документы.

·         Цифровые доказательства (электронные журналы, логи, скриншоты) относятся к иным документам

·         Потерпевший вправе собирать и предоставлять письменные документы и предметы для приобщения их к уголовному делу в качестве доказательств

·         Недопустимыми считаются:

o   документы, полученные с нарушением Закона

o   показания, основанные на догадке, предположении, слухе

·         В качестве вещественных доказательства могут быть предоставлены предметы на которые были направлены преступные действия;

·         Повторяю – ответственный за реагирование на инцидент имеет право собирать информацию (это ещё де доказательство) и передавать уполномоченным лицам, которые проверяют и оформляют как доказательства;

·         Потерпевшей организацией должны соблюдаться следующие правила:

o   Приказ, акт, отметка о регистрации инцидента

o   О назначении ответственного (комиссии) за расследование инцидента

o   Вести протокол, в котором отражаются все действия

o   Использовать стандарты и стандартные методики (действия по которым могут быть проведены повторно)

o   Выполнить все требования внутренних документов, которые связанны с инцидентом

o   Заключение по результатам анализа инцидентов

·         Сохранять информацию об инциденте на CD-R (нельзя допустить изменения информации) с копией на резервный CD-R. При записи снимать значения хэш-функции (ГОСТ) с цифровых доказательств

·         Носители помещать в опечатанный конверт, оформлять акт передачи на хранения носителей информации

·         Уполномоченные органы:

o   БСТМ МВД России (Основная и главенствующая структура в сфере расследования компьютерных преступлений)

o   БСТМ ГУ МВД России по г. Москве (подразделение присутствует в каждом субъекте России)

o   Отдел по расследованию компьютерных преступлений УЭБ и ПК ГУ МВД России по г. Москве (подразделение присутствует в каждом субъекте России – основное отличие связано с тем, что расследуемые преступления в сфере компьютерной информации совершены в совокупности с преступлениями в финансовой сфере

·         в 2011 году по ст.272 УК РФ, связанной с несанкционированным доступом к КИ, только в Москве было возбуждено 238 уголовных дел.

Вторым выступающим был Василий Томилин, ведущий инженер Cisco Systems, который описал правила построения инфраструктуры мониторинга ИБ, результаты которой потом будут использоваться в расследовании инцидентов ИБ.

Ниже основные тезисы с его выступления:

·         Есть несколько подходов к мониторингу ИБ. Оптимальный вариант “мониторинг соответствия политикам ИБ”; Есть ещё варианты “мониторинг аномалий” и “мониторинг запрещенных действий”

·         Всего 6 этапов:

o   Разработка политик;

o   Сбор данных о сети, системах и документирование информации (акцент на наиболее критических);

o   Определение области защиты (мониторинга)

o   Определение источников событий

o   Настройка и тестирование систем мониторинга

o   Эксплуатация

·         Сетевая телеметрия Netlfow  – очень полезная вещь (данные о объеме пакетов, используемыми TCP/UDP портами между каждой парой устройств)

·         Для целей мониторинга очень важна синхронизация времени

·         Определить критические сегменты сети, систем, серверов. Контролировать всё не получится.

·         Даже после выбора всё равно будет много избыточной информации

·         Определить объемы трафика критических сегментов (нужно для выбора модели средства мониторинга SIEM нужной производительности)

·         Так как разную информацию можно получить из разных источников то приходится выбирать оптимальную комбинацию. Например в ЦОД мы можем собирать:

o   Netflow с коммутатора

o   События ИБ с IPS

o   Syslog c сетевого обородования, межсетевых экранов

o   Syslog с серверов

o   Журналы приложений ИС

o   Журналы БД

·         В результате непродуманного (без проектирования) внедрения система регистрирует слишком много событий и не используется

·         При опытном внедрении необходимо отследить срабатывания в результате легитимных событий и донастроить систему

·         В мониторинге необходимо участие сетевых и системных администраторов. Это должно быть задокументировано

·         Необходимо делать мониторинг и сервисов безопасности

Запись вебинара.

Делаю из этих выступлений выводы о необходимых действиях:

·         Должно быть проведено обследование информационных активов, сети, серверов, приложений; проведено документирование, классификация; определена область защиты

·         Должны быть разработаны политики, определяющие какие действия в организации, корпоративной сети, информационной системе  разрешены, а какие запрещены (иначе не удастся привлечь внутреннего нарушителя к ответственности)

·         Проектирование системы мониторинга событий ИБ (SIEM)

·         Должен быть разработана процедура мониторинга ИБ, содержащая:

o   Описание область мониторинга

o   Описание источников и способов сбора событий

o   Описание правил анализа событий, в результате которого определяется инцидент ИБ

·         Должен быть разработана процедура расследования инцидентов ИБ, содержащая:

o   Описание этапов обработки инцидента ИБ

§  обнаружение инцидент и его  регистрация;

§  информирование об инциденте;

§  классификация инцидентов;

§  реагирование на инцидент;

§  анализ причин и оценка результатов.

o   В рамках классификации инцидента ИБ должно быть определено, для каких классов надо готовить информацию для доказательств преступления

o   В рамках реагирования должно быть описано, как собирается информации, оформляется и хранится для будущих доказательств преступления

o   В рамках анализа и оценки результатов должны быть определены критерии при которых необходимо передавать информацию уполномоченным органам для возбуждения дела о преступлении

o   Приложением формы всех необходимых в будущем актов, журналов и протоколов (для того чтобы обработка инцидента прошла максимально четко и быстро)

·         Установка системы мониторинга событий ИБ (SIEM)

·         Конфигурация источников событий на передачу информации в SIEM

·         Конфигурирование правил группирования, фильтрации, корелляции

·         Испытания системы SIEM

·         Опытная эксплуатация SIEM

·         Доработка конфигурации правил группирования, фильтрации, корелляции SIEM

·         Передача в эксплуатацию SIEM