Incident management (part 2)

  • 3,118 views
Uploaded on

 

More in: Self Improvement
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
3,118
On Slideshare
0
From Embeds
0
Number of Embeds
7

Actions

Shares
Downloads
319
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Как создавать CSIRT? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 84/431
  • 2. Аббревиатуры CSIRT Аббревиатура Расшифровка CSIRT Computer Security Incident Response Team CIRC Computer Incident Response Capability или Center CSIRC Computer Security Incident Response Capability CIRT Computer Incident Response Team Incident Response Center or Incident Response IRC Capability IRT Incident Response Team IHT Incident Handling Team SERT Security Emergency Response Team SIRT Security Incident Response Team  CERT – зарегистрированная торговая марка CERT/CC InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 85/431
  • 3. План создания CSIRT  Идентифицируйте стейкхолдеров и участников  Получите поддержку руководства  Разработайте план проекта  Соберите информацию  Идентифицируйте клиентов и задачи, решаемые CSIRT  Определите миссию CSIRT  Получите бюджеты для CSIRT  Выберите сервисы, оказываемые CSIRT  Определите модель, место в иерархии и власть CSIRT  Определите требуемые ресурсы InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 86/431
  • 4. План создания CSIRT (окончание)  Определите взаимодействия, интерфейсы и точки контакта  Определите роли и ответственность  Документируйте процессы  Разработайте политики и процедуры  Создайте план внедрения  Анонсируйте CSIRT, когда будете готовы  Определите методы оценки эффективности CSIRT  Определите резервный план для каждого элемента CSIRT  Будьте гибки InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 87/431
  • 5. Ключевые элементы работы CSIRT  Сервисы  Политики  Качество InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 88/431
  • 6. Идентифицируйте участников и стейкхолдеров InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 89/431
  • 7. Кто отвечает за управление инцидентами?  Служба CSIRT  Служба безопасности Кто «поговорит по душам» с внешним нарушителем?  Служба персонала Кто будет взаимодействовать с сотрудниками, виновными в совершении противоправных действий?  Юридическая служба Кто проконсультирует в отношении законодательства, связанного с компьютерными преступлениями или с нарушением договорных обязательств?  PR-служба Кто сообщит журналистам новость об утечке информации о клиентах? Кто уменьшит негативный ущерб от публикаций? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 90/431
  • 8. Кто отвечает за управление инцидентами? (окончание)  Служба ИТ Кто обновит систему и устранит уязвимости?  Служба ИБ Кто разъяснит причину инцидента и сможет изменить политики безопасности?  Рядовые пользователи Кто сообщит в CSIRT об инциденте? Управление инцидентами происходит в масштабах всего предприятия и с участием различных категорий и ролей сотрудников InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 91/431
  • 9. Получите поддержку руководства InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 92/431
  • 10. Получение поддержки  Найдите executive sponsor  Представьте бизней-кейс с преимуществами создания CSIRT  Получите поддержку руководства в части расходования времени и бюджета Словесная поддержка мало чего стоит  Донесите идею CSIRT и ее преимуществ до бизнес- руководителей  Пусть руководство от своего имени анонсирует проект по созданию CSIRT и попросит сотрудников компании помочь на этапе планирования и внедрения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 93/431
  • 11. Бизнес-план CSIRT  В чем проблема? ИТ/ИБ становится частью бизнеса компании или ИБ-риски становятся бизнес-рисками ИТ-инциденты управляются через Service Desk, а ИБ- инциденты управляются неэффективно и на нерегулярной основе Требуется более структурированных подход и иные знания, чем в управлении ИТ-инцидентами  Чего вы хотите достичь для клиентов? Снижение бизнес-рисков Повышение эффективности управления ИБ Рост культуры ИБ на предприятии и, как следствие, снижение в долгосрочной перспективе затрат на обеспечение ИБ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 94/431
  • 12. Бизнес-план CSIRT (окончание)  Что произойдет, если ничего не делать? Ущерб, регулятивные риски, удар по репутации  Что произойдет, если вы что-то сделаете? Предотвращение потерь, снижение рисков  Какова стоимость? Бюджет на CSIRT (обсуждается далее)  Какова прибыль? В истинном значении этого слова прибыли может и не быть (если не применять специальные методики) Рост прозрачности управления, снижение затрат на управление инцидентами и ИБ  Когда вы планируете стартовать и когда завершить? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 95/431
  • 13. Стоимость инцидента В помощь бизнес-кейсу InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 96/431
  • 14. Проект ICAMP ICAMP II  1998 и 2000 года – проект по анализу стоимости инцидента Компрометация системы - $1800 Вредоносный код - $980 Отказ в обслуживании - $22350 Атака хакеров - $2100 Загрузка нелицензионного ПО и контента - $340  На базе проекта ICAMP Дэвид Диттрих предложил свой подход к оценке стоимости инцидента Время и деньги, потраченные на расследование и восстановление системы Замена ПО, оборудования, информации + новые системы защиты InfoSecurity 2008 Потеря продуктивности пользователей © 2008 Cisco Systems, Inc. All rights reserved. 97/431
  • 15. Формы потерь от инцидента • Простои Продуктивность • Ухудшение психологического климата • Расследование инцидента Реагирование • PR-активность • Замена оборудования Замена • Повторный ввод информации • Судебные издержки, досудебное урегулирование Штрафы • Приостановление деятельности • Ноу-хау, государственная, коммерческая тайна Конкуренты • Отток клиентов, обгон со стороны конкурента • Гудвил Репутация • Снижение капитализации, курса акций InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 98/431
  • 16. Разработайте план проекта InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 99/431
  • 17. Управление проектом  Команда проекта  Лидер проекта  Применяйте теорию управления проектами при формировании CSIRT Требуемые время, люди и деньги Риски и меры по управлению ими InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 100/431
  • 18. Соберите информацию InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 101/431
  • 19. Сбор информации  Что нужно клиентам и иным заинтересованным сторонам?  Какие инциденты уже были на предприятии? Позволит понять, что может делать существующая CSIRT и что еще понадобится  Как предприятие боролось с инцидентами в прошлом?  Определите окружение, в котором будет строиться CSIRT Политика, бизнес, культура, юридические вопросы  Определить владельцев данных или интеллектуальной собственности, используемой в работе CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 102/431
  • 20. Сбор информации (окончание)  Какие правила влияют на CSIRT? Открытые, закрытые, государственные, международные, нормативно-правовые акты…  История создания CSIRT в организации Кто-нибудь уже пытался создать CSIRT ранее? Ему это удалось? Почему?  Какие технологии используются на предприятии? ПО, приложения и аппаратное обеспечение Домены и IP-адреса, принадлежащие предприятию и его контрагентам InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 103/431
  • 21. Идентифицируйте клиентов, в интересах которых работает CSIRT и ее задачи InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 104/431
  • 22. Клиенты CSIRT  Определите для себя, кого будет обслуживать CSIRT?  Определение круга клиентов может зависеть от ряда критериев Национальный Географический Политический Технический Организационный Провайдер связи Контрактный  Самое простое – определить клиентов для корпоративной CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 105/431
  • 23. Задачи CSIRT  Какие типы сервисов будет оказывать CSIRT своим клиентам?  Как клиенты будут получать сервисы CSIRT?  Есть ли клиенты, которых вы не готовы поддерживать сейчас, но готовы поддерживать в будущем?  Что вы ответите клиентам, которых вы не обслуживаете? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 106/431
  • 24. Примеры задач CSIRT  Повышение уровня Интернет-безопасности предприятия Неконкретно, но хоть что-то  Помощь предприятию в предотвращении инцидентов ИБ  Рост осведомленности предприятия в области ИБ  Реагирование на инциденты ИБ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 107/431
  • 25. Определите миссию CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 108/431
  • 26. Миссия CSIRT  Многие CSIRT выполняют свою работу, не задумываясь о своей миссии и целях или не доводят их до заинтересованных сторон  Результат: бесполезные или напрасные трата усилий и ресурсов (это опасно в условиях инцидента) в попытке Правильно расставить приоритеты в деятельности Понять, следует ли реагировать в той или иной ситуации Определить, не пора ли изменить качество и состав реализуемых сервисов  До определения четких и понятных задач и целей ситуация вряд ли улучшится InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 109/431
  • 27. Миссия CSIRT  Миссия не должна быть неоднозначной  Миссия должна описываться 3-4 предложениями  Миссия должна поддерживаться руководством и заинтересованными сторонами ИТ, ИБ или иным, в зависимости от места в структуре организации  Пример: улучшить безопасность информационной инфраструктуры предприятия и минимизировать угрозу нанесения ущерба от вторжений и атак InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 110/431
  • 28. Миссия JA.NET CSIRT  Обеспечить безопасность JA.NET и ее клиентов в настоящем и будущем за счет: Взятия на себя инициативы в реализации политики ИБ JA.NET Координации реагирования Разработки ресурсов ИБ Поддержки высокой квалификации  В поддержку этой миссии мы предлагаем координацию управления инцидентами, обучение и консультирование для клиентов JA.NET, и сотрудничество с соответствующими организациями за пределами JA.NET InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 111/431
  • 29. Миссия SingCERT  Единая доверенная точка контакта  Содействие реагированию на угрозы безопасности  Повысить компетенцию в ИТ-безопасности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 112/431
  • 30. Получите бюджеты для CSIRT и определите финансовую модель InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 113/431
  • 31. Бюджетирование  Что включать в бюджет? Создание CSIRT Обучение сотрудников CSIRT (включая конференции) Тренинги для сотрудников CSIRT Оборудование и ПО для обнаружения, анализа, отслеживание и реагирования на инциденты Оборудование для защиты данных, систем и персонала CSIRT Командировки в места инцидентов  Выбивать бюджеты на создание CSIRT непросто ИБ считается поддерживающей функцией Необходимо бизнес обоснование (бизнес-кейс) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 114/431
  • 32. Финансовые модели  Какова бизнес-модель существования CSIRT?  Спонсорство руководством (55%) Опирается на время работы сервиса и количество людей Экономия на оказании услуг вне рабочего времени  Продажа отдельных сервисов CSIRT клиентам Для внутренних клиентов бесплатно, а для внешних – за деньги  Оплата подписки Ежегодная или ежеквартальная подписка на базовые сервисы Дополнительные сервисы за дополнительную плату  Платные CSIRT – 10% InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 115/431
  • 33. Выберите сервисы, оказываемые CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 116/431
  • 34. Сервисы CSIRT  Слона лучше есть по частям Наращивать силу лучше постепенно, по мере зарабатывания доверия со стороны клиентов  Обычно CSIRT предлагает одну или несколько услуг по обработке инцидентов Анализ инцидентов Реагирование на инциденты Поддержка реагирования на инциденты Координацию реагирования на инциденты Расследование инцидентов  Часто CSIRT предлагают и другие сервисы Самостоятельно или во взаимодействии с другими подразделениями или компаниями InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 117/431
  • 35. Выбор сервисов  Разные сервисы имеют разные приоритеты Реактивные обычно более приоритетные чем проактивные или сервисы повышения качества ИБ  Набор предоставляемых сервисов зависит от Потребностей предприятия Наличии других подразделений, связанных с ИБ Квалификации экспертов CSIRT Ресурсов для качественного оказания сервисов  Как будут оказываться сервисы? Время работы, методы взаимодействия, распространение информации и т.п. Как сервисы будут продвигаться на предприятии? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 118/431
  • 36. Сервисы CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 119/431
  • 37. Сервисы CSIRT Повышение качества Реактивные Проактивные управления ИБ • Сигналы тревоги и • Уведомления • Анализ рисков предупреждения • Анализ технологий • Планирование (72%) (55%) непрерывности • Обработка • Аудит и оценка бизнеса инцидентов (97%) защищенности • Консалтинг ИБ • Обработка (28%) • Построение уязвимостей (41%) • Конфигурация и программы • Обработка поддержка осведомленности артефактов (66%) • Разработка средств • Обучение / тренинги защиты (34%) (59%) • Обнаружение • Оценка / вторжений (62%) сертификация • Распространение продуктов информации по ИБ Источник: Defining Incident Management Processes for CSIRTs: A Work in Progress. CMU/SEI-2004-TR-015 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 120/431
  • 38. Сигналы тревоги и предупреждения  Включает описание и рассылку информации о Вторжении нарушителей, уязвимости, вредоносной программе, оповещении о лживых сообщениях в области ИБ (что-то чего не было или специально распространяется злоумышленниками) и т.п. Кратких рекомендациях по решению проблемы  Предупреждение направляется как реакция на текущие проблемы и как руководство по защите и восстановлению систем, подвергшихся нападению  Предупреждение создается собственной CSIRT или иными службами CSIRT (включая производителей средств защиты) Не забывайте про притчу о пастухе, который кричал: «Волки, волки!» - приоритезируйте предупреждения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 121/431
  • 39. Сигналы тревоги и предупреждения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 122/431
  • 40. Обработка инцидентов  Включает в себя получение информации об инцидентах, их систематизацию, реагирование на запросы и отчеты, а также анализ инцидентов и событий  Обработка инцидентов может включать в себя Анализ инцидентов Сбор доказательств Отслеживание злоумышленника Реагирование Поддержка реагирования (например, для удаленных систем) Координация реагирования  Далее мы детально рассмотрим этот сервис InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 123/431
  • 41. Реагирование на инциденты  Реагирование на инциденты может включать в себя Реализация действий для защиты систем, подвергающихся атаке Реализация рекомендаций из предупреждений Поиск активностей злоумышленников в других частях системы/сети Фильтрация сетевого трафика Перезагрузка (сборка) системы Установление обновлений и восстановление системы Разработка других механизмов реагирования InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 124/431
  • 42. Обработка уязвимостей  Включает в себя получение информации об аппаратных и программных уязвимостях, анализ их природы, механизма использования и эффекта, разработка стратегии обнаружения и устранения InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 125/431
  • 43. Обработка артефактов  Включает в себя получение информации об артефактах, попытках разведки и других несанкционированных или вредоносных действиях, анализ их природы, механизма действия и использования, разработка стратегии обнаружения, устранения и будущей защиты  Далее мы детально рассмотрим этот сервис InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 126/431
  • 44. Уведомления  Включает описание и рассылку информации о новых уязвимостях, вредоносных программах, случаях мошенничества  Предупреждение направляется с целью ознакомления и предвосхищения описываемых событий  Уведомления создаются собственной CSIRT или иными службами CSIRT (включая производителей средств защиты)  Рассылаются обычно узкому кругу заинтересованных лиц – ИТ, ИБ и т.п. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 127/431
  • 45. Анализ технологий  Мониторинг и анализ новых тенденций в ИТ и ИБ, методов злоумышленников и регулятивных требований для предсказания будущих угроз  Может включать следующие области для контроля Социальные и политические угрозы (PEST-анализ) Развивающиеся технологии Требования регуляторов Отраслевые требования  Выход: анонсы, руководство, обзоры и рекомендации, фокусирующиеся на средне- и долгосрочных вопросах ИБ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 128/431
  • 46. Аудит и оценка защищенности  Обследование и анализ инфраструктуры ИБ предприятия на соответствие требованиям предприятия, регуляторов или отраслевых стандартов  Может быть реализованы следующим образом Ручной анализ конфигурации инфраструктуры Обзор лучших практик путем интервьюирования сотрудников Сканирование Тесты на проникновение  Может быть отдано на аутсорсинг InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 129/431
  • 47. Конфигурация и поддержка  Рекомендации и руководства по защищенной настройке, конфигурации и поддержке приложений и инфраструктуры  CSIRT также может воплощать эти рекомендации в жизнь самостоятельно При наличии таких полномочий и ресурсов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 130/431
  • 48. Разработка средств защиты  Разработка новых мер защиты, требуемых в деятельности CSIRT, например Патчи Скрипты или средства защиты, расширяющие существующие СЗИ Новые плагины для сканеров защищенности Механизмы автоматического распределения патчей И т.п. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 131/431
  • 49. Пример: Вымпелком  Security Log Tracker (SLOT) – система мониторинга активности пользователей, связанной с доступом к данным, критичным с точки зрения ИБ компании InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 132/431
  • 50. Обнаружение вторжений  Анализ логов IDS, разработка мер реагирования для каждого события/атаки, включая пороговые значения для сигнатур атак и шаблонов аномальной активности, а также пересылка сигналов тревоги согласно политике эскалации или принятому SLA  Ключевая проблема/задача – анализ огромных объемов данных Во многих случаях требуется опыт и особая экспертиза Могут потребоваться средства корреляции событий с целью выявления и снижения числа ложных тревог и минимизации числа успешных инцидентов  Может быть отдано на аутсорсинг (SOC) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 133/431
  • 51. Локальная корреляция событий Защита от мультивекторных атак Событие 1  Событие 1 Событие 2  Событие 2  Событие 3 Событие 3 Обычные IPS могут пропускать IPS, выполняющая локальный мультивекторные атаки корреляционный анализ событий, блокирует мультивекторные атаки Событие может быть обычным, а может быть частью мультивекторной атаки наряду с другими событиями. В отличии от внешнего корреляционного анализа, локальная корреляция позволяет IPS предотвращать атаки до достижения ими своей цели InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 134/431
  • 52. Meta Event Generator Встроенные средства корреляционного анализа позволяют адаптироваться к новым угрозам в режиме реального времени без участия пользователя Рейтинг риска При анализе учитываются: A + B + C + D = ЧЕРВЬ! • Тип события Высокий • Временной интервал Событие Событие Средний A Событие D B Событие Низкий C Время: 0 2 4 6 8 10 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 135/431
  • 53. Meta Event Generator в действии Если сигнатуры 5081, 5124, 5114, 3215 и 3216 произошли в течение 3-х секунд, то срабатывает мета-событие “Nimda” Временной интервал = 3 сек. SIG 5081 SIG 5124 SIG 5114 SIG 3215 SIG 3216 Декодирование Юникод-атака Выполнение Сбой Доступ к cmd.exe IIS CGI на IIS .. .. NIMDA InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 136/431
  • 54. Рейтинг риска: введение Приоритет Насколько Оценка каждой угрозы с события опасна атака? точки зрения бизнеса до Точность + Насколько применения вариантов сигнатуры реагирования вероятна ошибка? Релевантность + Узел подвержен атаки атаке? Стоимость + Насколько важен ресурса атакуемый ресурс? Сетевой + Какие данные еще контекст доступны? РЕЙТИНГ Применение вариантов РИСКА реагирования InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 137/431
  • 55. Рейтинг риска: приоритет атаки Приоритет сигнала тревоги определяется для каждой сигнатуры Приоритет Точность события + сигнатуры + Релевантность + ресурса-цели атаки Стоимость RR (Risk Rating) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 138/431
  • 56. Рейтинг риска: точность сигнатуры Точность сигнатуры определяет уровень доверия к точности и качеству сигнатуры Приоритет Точность Релевантность Стоимость события + сигнатуры + атаки + ресурса-цели RR (Risk Rating) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 139/431
  • 57. Рейтинг риска: релевантность атаки Снижение количества ложных срабатываний путем активного/пассивного анализа цели Приоритет Точность Релевантность Оценка события + атаки + атаки + ресурса-цели RR (Рейтинг риска) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 140/431
  • 58. Анализ релевантности атаки  Дополнительные данные по цели атаки используются для уточнения варианта реагирования  Контекст атаки анализируется на основе:  пассивного определения ОС  статического задания ОС для управления исключениями  интеграции с CSA  Динамический рейтинг риска базируется на релевантности  Результат. Более точное и эффективное реагирование Фильтрация событий / реагирования Консоль для мониторинга: Злоумышленник Нерелевантные события фильтруются инициирует IIS-атаку на выбранные сервера Сетевой сканер A Сервер (Windows) Сервер (Linux) Уязвим Не уязвим InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. Поднять рейтинг риска Фильтровать 141/431
  • 59. Рейтинг риска: ценность для бизнеса Большее понимание уязвимости цели через введение понятия стоимости ресурса Приоритет Точность события + атаки + Релевантность + ресурса-цели атаки Стоимость RR (Risk Rating) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 142/431
  • 60. Рейтинг риска: итоговый результат Настройка порогов рейтинга риска позволяет автоматизировать варианты реагирования для каждого события, а не сигнатуры Приоритет Точность события + сигнатуры + Релевантность + ресурса-цели атаки Стоимость RR (рейтинг риска) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 143/431
  • 61. Рейтинг угрозы (Threat Rating) Оценка каждой угрозы после отражения ее Cisco IPS Политика IPS: Измерение рисков базируется на RR > 85  Заблокировать IP вариантах реагирования IPS 100 • Атака с высоким рейтингом риска может 90 быть отражена автоматически 85 80 70 и не требовать внимания оператора 60 • Концентрация внимания на вариантах 50 реагирования на события с высоким остаточным риском 40 30 Пример: 20 • Событие 2: Очень высокий рейтинг риска, но 10 блокируется  не требует внимания, низкий рейтинг 0 1 2 3 4 5 угрозы Event Number • Событие 4: Высокий рейтинг риска, но недостаточный Risk Rating Threat Rating для блокирования  Высокое внимание и рейтинг угрозы Результат. Рост эффективности реагирования и продуктивности операций по автоматической приоритезации рисков InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 144/431
  • 62. Недостаток классических сигнатур Что находит обычная IPS Вердикт: Неизвестно Фрагментированные SQL команды Что? внутри веб-трафика InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 145/431
  • 63. Репутационные технологии в IPS Что находит Cisco IPS v7 Вердикт: блокировать Фрагменты SQL Что? внутри веб-трафика Первое подключение HTTP Как? Динамический IP адресс Кто? Динамический DNS История веб-атак Из скомпрометированной Откуда? азиатской сети Есть история ботнетовской Только “чистые” активности источники InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 146/431
  • 64. Единая панель управления угрозами Панель инцидентов  Агрегация  Корреляция  Выделение важной информации 15 427 105 событий 5 666 129 сессий 102 инцидента 40 инцидентов с высоким уровнем опасности • Объединение данных Netflow, Syslog и информации о топологии сети позволяет создать центр управления безопасностью на базе MARS • Оперативное обнаружение угроз за счет снижения объема данных в режиме реального времени позволяет администраторам сконцентрироваться на решении высокоприоритетных задач InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 147/431
  • 65. Обнаружение угроз и отражение атак Путь распространения атаки и учет топологии сети Жертва/зараженный хост (красный) Взломанный хост, участвующий в атаке (сиреневый) Источник атаки (коричневый) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 148/431
  • 66. Расследование инцидента 10.1.1.10 генерирует атаку, сообщите мне подробности Несколько нажатий на кнопки, и вы увидите:  Точку назначения, которой достигает 10.1.1.10  Сеансы интересующей вас точки назначения  Или любую другую информацию, которая вас интересует InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 149/431
  • 67. Распространение информации  Сбор и распространение информации, способствующей повышению защищенности Контактная информация с CSIRT, как единой точкой контакта Руководства по безопасности Архив уведомлений и предупреждений Лучшие практики Политики, процедуры и чеклисты Информация о патчах Ссылки на вендоров Текущая статистика по управлению инцидентами Другая связанная информация InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 150/431
  • 68. Сервисы повышения качества ИБ  Анализ рисков  Планирование непрерывности бизнеса  Консалтинг ИБ  Построение программы осведомленности  Обучение / тренинги  Оценка / сертификация продуктов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 151/431
  • 69. Определите модель, место в иерархии и власть CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 152/431
  • 70. Сценарии существования CSIRT  За функции CSIRT отвечает ИТ-подразделение  За функции CSIRT отвечает служба ИБ Отсутствие формальной группы реагирования на инциденты Существующий персонал решает ограниченный спектр задач CSIRT время от времени  Виртуальная CSIRT Использование существующего персонала для создания виртуальной CISRT и наличие выделенного менеджера группы  Все инциденты напрямую передаются в выделенную структуру CSIRT (34%) Полностью выделенная группа, реализующая весь спектр задач CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 153/431
  • 71. Сценарии существования CSIRT  Комбинация 3-го и 4-го вариантов в распределенной организации (21%) Выделенные сотрудники в ИТ и иных подразделениях реагируют на инциденты на местах, а в центре действует основная CSIRT  Инциденты направляются в Help Desk, а затем в CSIRT (по необходимости) CSIRT является второй линией анализа  Координирующая CSIRT (13%) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 154/431
  • 72. Модели существования CSIRT  Полностью независимая CSIRT При наличии ресурсов на организацию CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 155/431
  • 73. Модели существования CSIRT (продолжение)  Интегрированная CSIRT При нехватке ресурсов на организацию CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 156/431
  • 74. Модели существования CSIRT (окончание)  Кампусная CSIRT При холдинговой структуре организации CSIRT InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 157/431
  • 75. Место в организации  Не важно какое место в организации занимает CSIRT – важна эффективность ее работы 41% - под ИТ-департаментом 24% - независимо от всех 31% рапортуют непосредственно CIO 38% рапортуют не CIO  Какое бы место в организации не занимала CSIRT важно решить следующие вопросы: Координация с другими подразделениями (ИТ, ИБ, ERM и т.п.) Четкое описание обязанностей каждого подразделения Эскалация Ответственность InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 158/431
  • 76. Власть CSIRT Власть Описание CSIRT имеют все полномочия для принятия решений Полная и реализации любых действий от имени их клиентов (в части касающейся деятельности CSIRT) – 34% CSIRT обеспечивает поддержку своих клиентов и Частичная совместно принимают решения (рекомендуют, но не могут диктовать) – 24% CISRT не имеет никаких полномочий и действует Отсутствует только как советник – 24% CSIRT влияет на принятие решений своих клиентов Косвенная косвенно (например, головная организация влияет на свои дочки или оператор связи на своих клиентов)  Власть ≠ доверие Заработайте доверие своих клиентов и эффективность работы CSIRT возрастет многократно InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 159/431