Больше материалов: Boosty

• Коммуникация необходима, как внутренняя, так и

внешняя, для управления сообщениями во время
инцидента
• Сохранение и сбор доказательств являются
приоритетными для проведения всестороннего
расследования и составления полной картины
инцидента
• Планирование смен и привлечение поставщиков
важны для обеспечения поддержки в разных
часовых поясах и со стороны сторонних ИТ-служб
• SITREP-отчёты обеспечивают активную
коммуникацию с заинтересованными сторонами,
поддерживая единый источник об инциденте
• Криминалистическое расследование должно быть
скоординированным, с определением приоритетов
задач на основе риска и включать упреждающий
сетевой мониторинг
• Использование защищённых каналов
взаимодействия для обеспечения
конфиденциальности на период разрешения
инцидентов
• При планировании восстановления следует
I. ВВЕДЕНИЕ учитывать долгосрочное восстановление и
ужесточение службы на основе выявленных рисков
Документ Microsoft "Navigating Incident Response"
представляет собой руководство, призванное помочь и пробелов в безопасности
организациям разобраться в сложностях реагирования на • Нормативные и юридические обязательства
инциденты (IR). В нем подчёркивается неизбежность должны быть поняты и учтены на ранних стадиях
инцидентов в области кибербезопасности и важность процесса реагирования
запуска IR с полным пониманием необходимых действий, B. Основные выводы:
сроков и вовлечённых сторон. В руководстве основное
внимание уделяется людям и процессам, имеющим • Только четверть организаций имеют постоянный
решающее значение для эффективного реагирования. план реагирования на инциденты
• Распространённые ошибки при реагировании на
Углубляясь в анализ этого документа, ниже будет инциденты включают неэффективное устранение
представлено качественное изложение его ключевых
неполадок, непреднамеренное уничтожение
рекомендаций и стратегий, направленных на то, чтобы
снабдить организации знаниями для быстрого сдерживания доказательств, отсутствие документации и отказ от
участников угроз и минимизации воздействия на бизнес, взаимодействия с поставщиками и юрисконсультом
сохраняя при этом фактические данные и понимая на раннем этапе
соответствие требованиям и нормативные обязательства • Привлечение поставщика имеет решающее
значение для сбора доказательств и поддержки во
II. КЛЮЧЕВЫЕ ТЕЗИСЫ время инцидента, а упреждающее участие
A. Ключевые моменты: обеспечивает приоритизацию запросов
• Подходы к противодействию должны быть
• Инциденты кибербезопасности неизбежны, и адаптированы к типу инцидента с учётом
наличие проработанного плана реагирования имеет воздействия на бизнес и потенциального
решающее значение для быстрой локализации и оповещения субъекта угрозы
восстановления • Активные коммуникации играют важную роль в
• Люди и процессы лежат в основе эффективного контроле обмена данными и реагировании на
реагирования на инциденты с чёткими ролями, запросы о предоставлении информации,
обязанностями и стратегиями управления обеспечивая последовательность и согласованность
• Методологии реагирования на инциденты с расследованием
разработаны на базе и с использованием NIST • Правовые и нормативные соображения сложны и
• Управление является ключевым, при этом такие варьируются в зависимости от юрисдикции, что
роли, как руководитель управления, менеджер требует заблаговременного привлечения
инцидентов и руководитель расследования, имеют юрисконсульта для представления обязательной
решающее значение для структуры реагирования отчётности и соблюдения требований
 Больше материалов: Boosty
C. Ключевые действия и точки приложения III. ПЛАН РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ
• Создание структуры управления инцидентами: План реагирования на инциденты (IRP) – это
в начале инцидента важно разработать модель структурированный подход к обработке инцидентов
реагирования для управления инцидентом. Это безопасности, брешей и киберугроз. Чётко определённый
включает в себя определение ключевых IRP может помочь организациям свести к минимуму
заинтересованных сторон, которые могут помочь потерю и кражу данных, смягчить последствия кибератак
сформировать структуру реагирования и сократить время восстановления и затраты. К ключевым
• Определение потенциальных клиентов: в компонентам IRP относятся:
руководстве предлагается определять • Подготовка: включает в себя создание группы
потенциальных клиентов в различных рабочих реагирования на инциденты, определение их ролей
потоках, таких как управление, контроль и обязанностей, а также проведение необходимого
инцидентов, расследования, инфраструктура, обучения, подготовку необходимых инструментов
коммуникация и соответствие нормативным и ресурсов для обнаружения инцидентов и
требованиям реагирования на них.
• Вовлечение заинтересованных сторон: • Обнаружение: этап включает выявление
руководящему составу следует заблаговременно потенциальных инцидентов безопасности, обычно с
уведомлять заинтересованные стороны и членов помощью систем обнаружения вторжений,
команды исполнительного руководства о брандмауэров или систем предотвращения потери
реагировании на инциденты данных (DLP).
• Выделение ресурсов: по возможности следует • Локализация: после обнаружения инцидента
выделять ресурсы для реагирования или, как необходимо предпринять шаги для
минимум, направлять на приоритизацию действий предотвращения дальнейшего ущерба. Это может
по реагированию по сравнению с другими задачами включать изоляцию затронутых систем или сетей,
чтобы предотвратить распространение инцидента.
D. Лучшие практики
• Устранение: включает в себя поиск основной
• Сохранение доказательств: помимо понимания причины инцидента и удаление затронутых систем
масштабов компромисса и способов из сети для проведения криминалистического
восстановления контроля, важно сохранить анализа.
доказательства и понимать обязательства по • Восстановление: восстановление и возвращение
соблюдению нормативных требований. системы к нормальной работе возможно в
• Поддерживание прозрачности и понимания отсутствии следов инцидента. Это может включать
риска: руководству следует осуществлять надзор за исправление программного обеспечения, очистку
реагированием, чтобы иметь предметное систем или даже переустановку целых систем.
представление о риске, связанном с инцидентом. • Действия после инцидента: после рассмотрения
Это должно поддерживаться на протяжении всего инцидента следует провести анализ для повышения
процесса реагирования с помощью отчётов о эффективности реагирования в будущем. Это
ситуации, подготовленных менеджером может включать обновление IRP, внедрение новых
инцидентов мер безопасности или проведение дополнительного
• Взаимодействие с главными владельцами обучения для персонала
(ресурсов): руководитель управления должен При рассмотрении инструментов реагирования на
оказывать поддержку, если группа реагирования инциденты организации должны учитывать несколько
сталкивается с проблемой, которая не может быть ключевых соображений для обеспечения эффективного
решена на оперативном уровне. Типичные реагирования на инциденты кибербезопасности:
проблемы могут включать запросы ресурсов от
других подразделений бизнеса, увеличение A. Интеграция с существующими системами
количества запросов к поставщикам и другим Инструменты реагирования на инциденты должны
третьим сторонам, а также решения, которые имеют быть способны легко интегрироваться с существующей
широкомасштабное влияние на бизнес инфраструктурой безопасности организации, такой как
• Управление рабочим потоком и распределение брандмауэры, системы обнаружения вторжений и решения
задач: с какого-то момента документирование SIEM. Такая интеграция позволяет осуществлять
действий и задач часто утрачивает приоритетность автоматический сбор и корреляцию данных, что может
в пользу быстрого реагирования. Но в дальнейшем ускорить обнаружение и анализ инцидентов безопасности.
это может создавать проблемы. Поэтому важно
B. Масштабируемость
документировать действия и задачи с начала
Инструменты должны быть масштабируемыми для
обработки объёма данных и количества конечных точек
внутри организации. По мере роста организации
 Больше материалов: Boosty
инструменты должны быть способны обрабатывать все J. Соблюдение требований законодательства и
больший объем данных и расширять сеть без снижения нормативов
производительности. Инструменты должны помочь организациям соблюдать
C. Сохранение доказательств правовые и нормативные требования, связанные с
реагированием на инциденты, такие как обязательная
Во время инцидента сохранение улик имеет решающее
отчётность и правила конфиденциальности. Это включает
значение для тщательного расследования и возможного
в себя функции, которые поддерживают управление
криминалистического разбирательства. Инструменты
нормативными / правовыми требованиями и облегчают
реагирования на инциденты должны способствовать сбору
взаимодействие с юрисконсультом, когда это необходимо.
и сохранению цифровых доказательств с точки зрения
криминалистической экспертизы, гарантируя, что они IV. РОЛИ И ОБЯЗАННОСТИ
остаются приемлемыми в суде, если это необходимо.
Модифицированная версия модели жизненного цикла
D. Мониторинг и оповещение в режиме реального реагирования на инциденты, задокументированной
времени Национальным институтом стандартов и технологий
Возможность отслеживать сеть в режиме реального (NIST) обычно включает подготовку, обнаружение,
времени и формировать оповещения о подозрительных локализацию, ликвидацию, восстановление и действия
действиях имеет важное значение. Это позволяет быстро после инцидента или извлечённые уроки. В связи с этим
выявлять потенциальные угрозы и реагировать на них до предлагается модель реагирования для управления
того, как они смогут нанести значительный ущерб. инцидентом, которая включает следующие роли:
• Руководитель управления: эту роль обычно
E. Автоматизация и управление выполняет CISO или CIO. Они поддерживают
Автоматизация повторяющихся задач и координация прозрачность рисков и влияние на бизнес в целом,
ответных действий могут значительно повысить а также общаются с высокопоставленными
эффективность процесса реагирования на инциденты. заинтересованными сторонами
Инструменты, обеспечивающие автоматизированные • Менеджер инцидентов: эту роль обычно
рабочие процессы, могут помочь сократить время на выполняет руководитель ITSM / операций по
реагирование и смягчение последствий угроз, а также обеспечению безопасности. Он координирует все
свести к минимуму вероятность человеческой ошибки. оперативные рабочие процессы для понимания и
сдерживания угрозы, а также доводит информацию
F. Удобный интерфейс
о риске до руководства
Инструменты должны иметь интуитивно понятный и • Руководитель расследования: эту роль обычно
удобный интерфейс, позволяющий специалистам быстро выполняет старший специалист по
ориентироваться и эффективно использовать функции, информационным технологиям / старший
особенно в условиях активного инцидента. представитель по ИТ-операциям. Он отвечает за
G. Подробная отчетность понимание общего компромисса и
Инструменты должны обеспечивать комплексные информирование о связанных с ним рисках
возможности отчётности, позволяющие проводить • Руководитель инфраструктуры: эту роль обычно
подробный анализ и документировать инциденты. Это выполняет старший представитель по ИТ-
важно для анализа последствий, соблюдения нормативных операциям. Он несёт ответственность за
требований и улучшения системы безопасности сдерживание угрозы путём снижения риска,
организации. связанного с компромиссом
• Менеджер по коммуникациям: эту роль обычно
H. Индивидуальность и гибкость выполняет специалист по коммуникациям. Он
У каждой организации свои уникальные потребности. контролирует обмен данными как внешне, так и
Инструменты реагирования на инциденты должны внутренне
настраиваться в соответствии с конкретными процессами • Руководитель отдела регулирования: эту роль
организации. Они также должны быть достаточно обычно выполняет внутренний юрисконсульт /
гибкими, чтобы адаптироваться к меняющемуся представитель GRC. Он отвечает за оценку рисков /
ландшафту угроз и организационным изменениям. воздействия и управление нормативными /
правовыми требованиями для поддержания
I. Поддержка поставщиков и сообщества
соответствия
Надёжная поддержка поставщиков и активное
сообщество пользователей могут стать бесценными Рекомендуемые наборы навыков для работы:
ресурсами для устранения неполадок, обмена передовым • Руководитель управления: оперативный надзор,
опытом и получения информации о последних угрозах и поддержание прозрачности, понимание рисков и
стратегиях реагирования. последствий, а также общение с
 Больше материалов: Boosty
высокопоставленными заинтересованными Представитель роли также должен обеспечить
сторонами выделение специальных ресурсов для принятия ответных
• Менеджер инцидентов: оперативное управление и мер. Организации, не имеющие выделенных групп
постановка задач, координация всех операционных безопасности, часто привлекают ресурсы из других
рабочих потоков и информирование руководства о подразделений бизнеса для оказания помощи в
рисках реагировании. Затем этим сотрудникам необходимо
• Руководитель расследования: сбалансировать свою существующую рабочую нагрузку с
криминалистическое расследование для понимания мероприятиями по реагированию. По возможности, для
общего компромисса и информирования о реагирования следует выделять специальные ресурсы или,
связанных с ним рисках как минимум, направлять их на приоритизацию
• Руководитель инфраструктуры: сдерживание мероприятий по реагированию по сравнению с другой
угроз за счёт снижения риска, связанного с работой
компромиссом Руководитель управления также является связующим
• Менеджер по коммуникациям: вовлечение звеном группы реагирования как с внутренними, так и с
заинтересованных сторон и контроль обмена внешними высокопоставленными заинтересованными
сообщениями как внешними, так и внутренними сторонами. Если группа реагирования сталкивается с
• Руководитель отдела регулирования: Оценка проблемой, которая не может быть решена на оперативном
рисков / последствий и управление нормативными / уровне, представитель роли должен оказать поддержку.
правовыми требованиями для поддержания Типичные проблемы включают запросы ресурсов от
соответствия других подразделений бизнеса, увеличение количества
Обеспечение эффективного плана реагирования на запросов к поставщикам и другим третьим сторонам, а
инциденты: также утверждение решений, которые имеют
• Регулярное обновление плана: обновление плана широкомасштабные последствия для бизнеса, такие как
реагирования на инциденты с учётом меняющегося массовый сброс паролей или отключение подключения к
ландшафта угроз и организационных изменений Интернету, и т.д.
• Тренинги: проведение регулярных тренингов B. Менеджер инцидентов
симуляций для проверки плана и определения Менеджер инцидентов обычно является руководителем
областей для улучшения ITSM / операций по обеспечению безопасности,
• Коммуникация: установление и поддерживание основными обязанностями которого являются оперативное
чётких каналов коммуникации для всех управление и постановка задач. Эта роль включает в себя
заинтересованных сторон, участвующих в координацию всех операционных потоков работы для
реагировании на инцидент понимания, сдерживания и информирования Руководства
• Документирование: все действия и решения об угрозе.
должны быть задокументированы, чтобы избежать Менеджер инцидентов отвечает за управление и
путаницы и неэффективности отслеживание задач для всех операционных рабочих
• Взаимодействие с поставщиками: активное потоков, чтобы обеспечить приоритетность и
взаимодействие с поставщиками для поддержки документирование действий.
сбора доказательств и других мероприятий по Менеджер инцидентов также играет ключевую роль в
реагированию поддержании прозрачности и понимания риска. Он готовит
• Планирование смен: внедрение планирования отчёты о ситуации для руководителя управления, чтобы
смен, чтобы предотвратить выгорание и иметь предметное представление о риске, связанном с
поддерживать непрерывное реагирование в инцидентом
различных временных зонах В случае возникновения проблем, которые не могут
A. Руководитель управления быть решены на оперативном уровне, менеджер
инцидентов инициирует запросы к руководству. Типичные
Руководитель управления, которым может быть CISO проблемы, которые могут потребовать такого увеличения,
или CIO, отвечает за оперативный надзор. Его роль включают запросы ресурсов от других подразделений
заключается в поддержании прозрачности и понимании бизнеса, увеличение количества запросов к поставщикам и
рисков и их влияния на бизнес в целом, а также в общении другим третьим сторонам, а также решения, которые
с высокопоставленными заинтересованными сторонами. оказывают широкомасштабное влияние на бизнес, такие
Представитель этой роли должен заблаговременно как массовый сброс пароля или отключение Интернета
уведомить заинтересованные стороны и членов команды Менеджер инцидентов играет ключевую роль в
исполнительного руководства о том, что принимаются процессе реагирования на инциденты, отвечая за
серьёзные ответные меры. Это гарантирует, что другие оперативное управление, постановку задач и
подразделения бизнеса будут осведомлены о информирование об угрозах, а также за доведение
потенциальном риске и о том, что во время управления основных проблем до руководства
инцидентом могут произойти сбои в обслуживании.
 Больше материалов: Boosty
C. Руководитель расследования Что касается необходимых навыков, руководитель
Руководитель расследования, как правило, старший инфраструктуры должен обладать опытом, а также
специалист IR / Senior IT Operations, отвечает за некоторыми знаниями в области операций по обеспечению
проведение криминалистических расследований для безопасности, управления рисками и цифровой
понимания общего компромисса и информирования о криминалистики. В документе представлена матрица
связанных с ним рисках. Эта роль имеет решающее навыков, в которой описываются требуемые и
значение для определения масштаба, воздействия и необязательные наборы навыков для каждой роли.
первопричины инцидента, что определяет стратегию E. Менеджер по коммуникациям
реагирования и помогает предотвратить подобные
Эта роль отвечает за контроль как внутренних, так и
инциденты в будущем.
внешних сообщений кибербезопасности во время
Ожидается, что представитель роли будет иметь
инцидента.
серьёзное представление об ИТ-среде организации и
Специалист по коммуникациям является частью более
ландшафте угроз. Представитель роли должен обладать
крупной структуры реагирования на инциденты, которая
навыками цифровой криминалистики и реагирования на
включает в себя других руководителей.
инциденты (DFIR), а также уметь использовать различные
Руководитель отдела коммуникаций, в частности,
инструменты и методы для анализа системных журналов,
отвечает за взаимодействие с заинтересованными
сетевого трафика и других данных для выявления
сторонами. Основная задача – контролировать обмен
признаков компрометации (IoC).
сообщениями как внешне, так и внутренне. Это включает в
Представитель роли тесно сотрудничает с менеджером
себя информирование о статусе и деталях инцидента
инцидентов, регулярно предоставляя обновлённую
соответствующих заинтересованных сторон внутри
информацию о ходе расследования и его выводах, что
организации и за её пределами, обеспечивая
имеет значение для поддержания прозрачности инцидента
распространение точной и своевременной информации.
и понимания связанного с ним риска
Это может помочь поддерживать доверие и предотвращать
В рамках роли может потребоваться сотрудничество с
распространение дезинформации
внешними организациями, например
Руководитель отдела коммуникаций также тесно
правоохранительными органами или сторонними
сотрудничает с руководителем управления, который
поставщиками, особенно в случаях, связанных с
обеспечивает прозрачность и понимание рисков,
юридическими вопросами или специализированной
связанных с инцидентом. Роль отвечает за оперативный
технической экспертизой
надзор, обеспечение прозрачности ответных мер и
Представитель играет решающую роль в реагировании
понимание риска и воздействия на бизнес в целом.
на инцидент в рамках своего технического опыта для
понимания инцидента, разработки стратегии реагирования F. Руководитель отдела регулирования
и информирования о риске менеджера инцидентов и Эту роль обычно выполняет внутренний юрисконсульт
руководителя управления. или представитель по вопросам управления, рисков и
D. Руководитель инфраструктуры комплаенса (GRC). Основными обязанностями являются
проведение оценки рисков и воздействия, а также
Эту роль обычно выполняет старший представитель по
управление нормативными и правовыми требованиями для
ИТ-операциям, который отвечает за сдерживание угрозы
обеспечения соответствия во время инцидента в области
путём снижения риска, связанного с компрометацией.
кибербезопасности.
Основная ответственность представителя роли
Роль имеет значение для обеспечения соответствия
заключается в сдерживании угроз — это принятие мер по
реакции организации на инцидент кибербезопасности
ограничению распространения и воздействия инцидента
законодательным и нормативным требованиям. Это может
безопасности в ИТ-инфраструктуре организации. Эта роль
включать обязательства в соответствии с законами о
имеет решающее значение для управления техническими
защите данных, отраслевыми нормативными актами или
аспектами реагирования на инцидент и обеспечения
договорными обязательствами. Роль также связана с
эффективного сдерживания угрозы для предотвращения
поддержанием связи с регулирующими органами по мере
дальнейшего ущерба
необходимости и управление любыми юридическими
Важность наличия выделенных ресурсов для каждой
последствиями инцидента.
роли в структуре реагирования на инциденты означает, что
лица, назначенные на эти роли, должны отдавать
приоритет действиям по реагированию нежели другим
задачам.