Incident management (part 4)

Создайте
резервный план

InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 242/431

Резервный план

 Определите критичные функции, сервисы и
оборудование CSIRT
 Разработайте план обеспечения непрерывности
бизнеса и восстановления для критичных сервисов и
процессов CSIRT
 Заранее проработайте сценарии «что если»
В т.ч. и для сотрудников CSIRT
 Проведите тестирование возможности CSIRT
функционировать в чрезвычайной ситуации


Будьте гибки


Универсального рецепта нет

 Не бывает двух одинаковых CSIRT
Важное свойство CSIRT – гибкость и адаптивность
 Примеры
CSIRT крупного холдинга или группы компаний осуществляет
только общее руководство процессом и вырабатывает общие
рекомендации для нижележащих CSIRT
ИТ-департамент предприятия успешно справляется с
вирусными атаками. В этом случае CSIRT исключает
реагирование на вредоносное ПО из своего поля
деятельности
CSIRT имеющая максимальные полномочия и, в частности,
доступ к оборудованию для изменения его настроек,
блокирующих развитие инцидента
CSIRT военного ведомства запрещено общаться с СМИ, а
CSIRT университета может делиться техническими деталями

Будьте готовы к неожиданностям
Фактор неожиданности Влияние на CSIRT
Число отчетов об инцидентах, CSIRT столкнется с неожиданной
полученных CSIRT не может быть пиковой нагрузкой и конфликтом
предсказуемо заранее приоритетов
Злоумышленники постоянно Тип и сложность сообщений об
разрабатывают все новые методы инцидентах, отправляемых в CSIRT
нападения будет меняться с течением времени
Новые технологии дают новые Экспертиза, требуемая CSIRT будет
возможности для проникновения меняться. Сотрудники CSIRT должны
(например, Java или Flash) постоянно поддерживать уровень
своих знаний на высоте
Изменение законодательства, в т.ч. и CSIRT должны постоянно
в части компьютерных преступлений отслеживать новое законодательство
Различные требования со всех Множество ситуаций, когда ресурсов
сторон, с которыми взаимодействует CSIRT будет недостаточно для
CSIRT, в соответствие с их эффективного удовлетворения
пониманием деятельности CSIRT противоречивых требований к CSIRT

Не предсказать, но планировать

 Будьте готовы к получению и использованию внешних
ресурсов в условиях кризиса или будьте готовы к
пересмотру или снижению уровня обслуживания на
период кризиса
 Непрерывное профессиональное развитие в области
существующих и новых технологий
 Внедрение программы обучения персонала
 Своевременный доступ к информационным ресурсам
 Поощрение сотрудников на обмен опытом
 Постоянное сотрудничество с руководством,
юристами и правоохранительными органами
 Убедитесь что политики, процедуры и услуги гибки к
изменениям
InfoSecurity 2008 247/431
© 2008 Cisco Systems, Inc. All rights reserved.

Правовые
вопросы
управления


Юридические вопросы

Национальное
право

Международное Корпоративные
право требования

CSIRT


Юридические вопросы

 Консультации с юристами важны и обязательны
Можно наделать ошибок (неосознанно)
 Правовые вопросы пронизывает практически всю
деятельность CSIRT – от политики до оперативных
вопросов
Чего не делать, чтобы не навлечь на себя ответственность?
Как собрать юридически значимые доказательства?
Какую информацию надо раскрывать?
Что будет, если не раскрывать информацию?


Виды правонарушений

 Ст.272. Неправомерный доступ к компьютерной
информации
 Ст.273. Создание, использование и
распространение вредоносной программ для ЭВМ
 Ст.274. Нарушение правил эксплуатации ЭВМ,
системы ЭВМ или их сети
Статья не работает. Судебная практика отсутствует

 Ст.183. Незаконные получение и разглашение
сведений, составляющих коммерческую или
банковскую тайну
Статья не работает. Судебная практика отсутствует


Виды правонарушений (окончание)

 Ст.165. Причинение имущественного ущерба путем
обмана или злоупотребления доверием
 Ст.138. Нарушение тайны переписки, телефонных
переговоров, почтовых, телеграфных и иных
сообщений


Можно ли забрать заявление?

 В процессе расследование правоохранительными
органами вы можете принять решение отказаться от
их услуг
Это невозможно!

 Ст.272-274 УК РФ относятся к делам публичного
обвинения и не подлежат прекращению в связи с
примирением сторон
Ст.306 Заведомо ложный донос


Знаете ли вы Гражданский Кодекс?

 Статья 1095. Основания возмещения вреда,
причиненного вследствие недостатков товара, работы
или услуги
Вред, причиненный жизни, здоровью или имуществу
гражданина либо имуществу юридического лица вследствие
конструктивных, рецептурных или иных недостатков товара,
работы или услуги, а также вследствие недостоверной или
недостаточной информации о товаре (работе, услуге),
подлежит возмещению продавцом или изготовителем товара,
лицом, выполнившим работу или оказавшим услугу
(исполнителем), независимо от их вины и от того, состоял
потерпевший с ними в договорных отношениях или нет
Правила, предусмотренные настоящей статьей, применяются
лишь в случаях приобретения товара (выполнения работы,
оказания услуги) в потребительских целях, а не для
использования в предпринимательской деятельности


Что анализируют юристконсульты?

 Договора с клиентами
Неправильные или юридически ничтожные разделы
Упущения, вредные для CSIRT
 Определение сервисов и контроль качества
Гарантии, ответственность (когда что-то пойдет не так)
 Политики и процедуры
Можете ли вы уволить сотрудника за попустительство в
инциденте?
Можете ли вы использовать несертифицированные СКЗИ для
общения с клиентами?
Сколько вы должны хранить доказательства?
Легко ли подделать доказательства при хранении?


Незаконно полученный лог

 В США незаконно полученные улики (например,
украденные журналы регистрации) могут быть
использованы в качестве доказательств
Все зависит от позиции судьи
В ряде примеров, на базе таких «улик» строились целые
обвинения
 В России такой лог не будет воспринят в качестве
доказательства


Что анализируют юристконсульты?

 Форс-мажор и отказ от ответственности (disclaimer)
 Соглашение о неразглашении
При приеме на работу и увольнении
Для контрактников, приглашенных консультантов и т.п.
Без юридической проверки такое соглашение будет скорее
психологической защитой, чем помощью в суде
 Другие вопросы
Что вы будете делать, если к вам обратятся
правоохранительные органы?


Ответственность

 В отличие от США в России не стоит серьезно
беспокоиться об ответственности за невыполнение
или ненадлежащее выполнение деятельности CSIRT
Но все зависит от ситуации

Проблема Пример
Раскрытие информации CSIRT получила дамп БД с ПДн и не обеспечила
их защиту
Побочные эффекты В новом инциденте вы столкнулись с новой
уязвимостью, о которой забыли уведомить своих
клиентов, которые через месяц столкнулись с
ней и понесли ущерб
Непризнание В ряде случаев вы обязаны информировать
обязательного хранения правоохранительные органы о готовящемся
преступлении в отношении государственных ИС

Раскрытие информации

Предсказуемое Непредсказуемое

• Отчеты • Судебные решения
• Уведомления • Правоохранительные
• Консультации по органы
телефону • Утечки информации
(от доверенных
экспертов или
бывших сотрудников)
• Утечка во время
вторжения в CSIRT


Ответственность (продолжение)


Неадекватное Вы не указали в договоре, что в праздничные
определение сервиса дни CSIRT не работает и клиент, обратившись в
этот период, не смог получить в оговоренные
договором сроки помощь (а само понятие
праздничные дни у вас определено?)
Не соблюдается значение Вы пообещали поддержку в реальном времени и
уровня сервиса не смогли обеспечить ее в период кризиса
Не соблюдается значение Вы не отреагировали в течение объявленных
показателя качества вами 4-х часов и клиент потерял деньги
Ссылки на физических Вы делаете заявления, из которых следует что
или юридических лиц некто участвовал в атаке. Это может нанести
ущерб деловой репутации
Раскрытие персональных Наступление ответственности зависит от того,
данных кто запрашивает и кому передаются ПДн

Ответственность (окончание)

Распространение ложной Вы распространяете информацию о серьезной
информации уязвимости в ОС Windows. Microsoft не рада
этому
Вы сообщили об уязвимости, но рекомендация
об устранении не работает. Если это не
очевидно, то в результате клиент мог понести
убытки
Некорректный совет Вы информируете клиента об изменениях в
(неполный, МСЭ, но изменение ACL приводит к
несвоевременный или бесконтрольному открытию границы
неверный) Вы предоставили клиенту устаревшую
информацию, в то время как лучшие
рекомендации уже опубликованы. Клиент мог
пострадать от устаревшего ответа


Как себя обезопасить?

 Используйте юридически «безопасные» фразы из
стандартных договоров
 Удалите все определения сервисов или показателей
качества, которые могут быть неверно, трудно
истолкованы или юридически непонятны
 Проверьте отказы от ответственности
 Определите процессы, политики и процедуры, а также
внедрите процессы документирования, соблюдения
порядка и контроля, чтобы доказать, что принимали
все необходимые меры во время ваших действий
 Застрахуйте ваши услуги
 Попробуйте оградить CSIRT от ответственности за
ущерб

Сервис обработки
инцидентов


Функции сервиса «Обработка
инцидентов»


Функция
«Систематизация»


Функция «Систематизация»

 Функция «Систематизация» является единой точки
контакта и координации для приема, сбора,
классификации и передачи поступающей информации
для дальнейшей обработки
Иногда эта функция является единственным каналом, через
который проходит вся внешняя информация независимо от
метода получения информации (телефон, e-mail, факс и т.д.)
 Дополнительные операции, которые могут быть
осуществлены в рамках данной функции
Архивирование
Перевод (например, в штаб-квартиру)
Медиа-подготовка (для журналистов)


Как сделать функцию эффективной?

 Обеспечить понятный и простой механизм отчетности
Четко определенная точка контакта
Четкая информация о доступности точки контакта
Простая и четкая процедура контакта
Понятные инструкции по оформлению отчета об инциденте
Что CSIRT будет делать с полученной информацией?
Когда будет ответ?
Будет ли эта информация передана еще кому-нибудь?
Поддерживающие документы (формы, инструкции и т.д.)
Публикация открытых ключей шифрования/ЭЦП
Не забудьте подтвердить получение информации


Последовательность действий

1. Получение информации
2. Расшифрование информации и проверка ЭЦП
При необходимости
3. Отправка подтверждения
4. Классификация информации
5. Приоритезация информации
6. Определение отношения с текущими или прошлыми
событиями
7. Переход к другой функции CSIRT


Успех/неуспех инцидента
 Если вас просто сканируют, то стоит ли фиксировать
это как инцидент?
 Если ваш сотрудник сообщил вам о подозрительном
звонке, в котором неустановленное лицо пыталось
узнать телефоне или о реквизитах доступа, то стоит
ли инициировать расследование?
Как минимум, поблагодарите за бдительность
 Если ваш антивирус отразил вредоносную
программу, то это инцидент или нет?
 «Неудачным» инцидентам обычно внимания не
уделяется, т.к. «злоумышленник не достиг своей
цели»
А может это только подготовка к массированной или точечной
атаке?

Аналогия: успех/неуспех инцидента
 Ваш автомобиль пытались
вскрыть, но неудачно…
Оставите ли вы это без внимания
или, как минимум, задумаетесь о
защите автомобиля?
А если неудачных попыток было
больше одной?


Время работы

 66% CSIRT функционируют только в рабочее время
Если CSIRT централизованная, то она должна учитывать
разные часовые пояса, в которых находятся дочерние
предприятия и офисы
 34% CSIRT функционируют и за пределами
рабочего времени
 24% CSIRT предлагают режим 24х7х365


Откуда обычно приходит сигнал
тревоги?

 Электронная почта – 93%
 Телефон – 79%
 Отчеты системы обнаружения атак – 69%
 Неожиданно (на улице) – 41%
 Форма отчета об инциденте – 17%
 Web-сайт – 38%


Трекинг коммуникаций

 Используйте трекинг всех коммуникаций
Это облегчает отслеживание всей информации
 Для разных типов коммуникаций используйте разные
префиксы
Например, CSIRT#, VU#, INFO# для разных функций
 Уникальная нумерация
Она не должна повторяться даже по прошествии времени
Например, в DFN-CERT за 4 года работы было использовано
только 600 номеров из диапазона от 1 до 65535
Например, CERT/CC использует ДСЧ для генерации номеров
Например, в AusCERT использовалась схема YYMMDDHHMM
по дате «открытия инцидента» (не раскройте чужие секреты)
Уникальными должны быть номера при общении с иными CSIRT

Жизненный цикл трекингового номера

 Обычно трекинговый номер присваивается
информации и не меняется до завершения процесса
обработки
Но бывают исключения из правил
 Информация неправильно категоризирована
Например, событие не новое, а связано с уже известными
 Информация неправильно помечена
Например, информация пришла с неправильным номером
 Событие открыто повторно
Поступила новая информация к закрытому событию
 Событие объединяется
Поступила новая информация, позволяющая объединить его

Формы отчетности

 Заранее подготовленные формы отчетности
облегчают работу CSIRT
В ряде случаев стоит предусмотреть возможность свободного
описания инцидента
 Они должны максимально четкими, понятными,
сжатыми и доступными для всех клиентов
 Обычно в формы включают следующие данные
Контактная информация
Имена и адреса узлов, участвующих в инциденте
Природа активности
Описание активности и сопутствующей информации (часовые
пояса, журналы регистрации. артефакты…)
Сопутствующие трекинговые номера

Пример содержания отчета об
инциденте

 Дата и время отчета
 Время начала и длительность инцидента
Включая часовой пояс (временную зону)
 Имя атакованной системы
 Местоположение атакованной системы
 Тип атакованной системы
 ОС и IP-адрес атакованной системы
 Контактная информация персоны, зафиксировавшей
инцидент
 Контактная информация специалиста по ИБ
 Описание и возможные последствия инцидента

инциденте (продолжение)


инциденте (окончание)


Об отчетности

 Форма отчета может быть представлена как в виде
отдельного документа/файла, так и в виде Web-
формы на портале службы ИБ/ИТ
 В зависимости от реализации внутренних процессов
CSIRT данная форма может быть расширена и
внутренними полями, необходимыми для работы
CSIRT
Трекинговый номер
Ущерб от инцидента
Меры по борьбе с инцидентом
Финальные рекомендации


Дополнительные формы отчетов


Как фиксируются инциденты?

 СУБД – 76%
Remedy HelpDesk и Action Request System
MS SQL, Oracle, MS Access, Lotus Notes
 Бумажные отчеты – 10%
 СУБД и бумажные отчеты – 28%
 Кастомизированные СУБД – 45%
 Специализированное ПО – 28%
Request Tracker for Incident Response (RTIR) у JANET
Vorfallsbearbeitungssystem у DFN-CERT
CERIAS Incident Response Database
Freeman Incident Tracking System от University of Chicago

ПО для трекинга инцидентов

 Модификация первичной категории инцидента
 Доступ ко всем связанным e-mail
 Реагирование на запрос по e-mail
 Связывание действий с инцидентом
 Поиск, сортировка, корреляция по различным полям
 Генерация отчетов и статистики
 Анализ загрузки технических экспертов
 Открытие/закрытие/эскалация/смена статуса отчета
 Система напоминаний


Звонят! Кто это? Вы уверены?

 Вам может звонить как атакуемый, так и атакующий,
желающий узнать, что вы знаете об инциденте и на
какой стадии расследования он находится
 Общие правила
Источник сообщения вам известен и зарегистрирован?
Информация поступает через стандартный канал?
Есть что-то странное в поступившей информации?
Не уверены? Проверьте еще раз!
 Для электронной почты
Адрес e-mail вам известен?
ЭЦП под сообщением корректна?
Заголовок электронной почты корректен?
InfoSecurity 2008 Домен отправителя доверенный? (через senderbase.org)
© 2008 Cisco Systems, Inc. All rights reserved. 284/431

Звонят! Кто это? Вы уверены? (окончание)

 Вам может звонить как атакуемый, так и атакующий,
желающий узнать, что вы знаете об инциденте и на
какой стадии расследования он находится
 Для Web-формы
Проверьте сертификат браузера при подключении по HTTPS
IP-адрес доверенный (через senderbase.org)
При подозрениях не кликайте на ссылках и не скачивайте ПО
 Для телефонного звонка
Вы узнали звонящего по имени или голосу?
Уточните информацию, которую звонящий должен знать
Перезвоните по телефону, связанному с данным контактом
При подозрении говорите только о публично доступной
информации

Функция
«Обработка»


Функция «Обработка»

 Функция «Обработка» обеспечивает поддержку и
руководство в отношении подозрительных или
подтвержденных инцидентов, угроз и атак
 Включает в себя различные мероприятия и операции
Рассмотрение отчетов от внешних контактов и внутренних
клиентов позволяет понять, что произошло
Анализ включает в себя обзор доказательств и артефактов,
чтобы определить, кто вовлечен в инцидент / с кем нужно
контактировать, или какая помощь запрошена / нужна
Определение необходимых мер реагирования
Уведомление пострадавших и(или) связь с автором отчета


Жизненный цикл обработки инцидента

 До получения необходимой информации или
результата определенных действий инцидент может
находиться в состоянии «ожидание»


Взгляд сверху

 Прежде чем заниматься глубоким анализом
необходимо составить для себя картину с «высоты
птичьего полета»
Тенденции
Статистика
Тематические исследования
 Позволяет лучше разбираться в будущих инцидентах
и выявить накопленный опыт
Неплохой рекомендацией будет создание баз знаний
 Получить сложно из-за разрозненности информации
Необходимы регулярные встречи членов команды


Анализ

 От качества проведенного анализа зависит
эффективность CSIRT
 Первичный анализ проводится на этапе
категоризации
Пример: приемное отделение в больнице (или скорая помощь)
осуществляет первичный осмотр, а последующий анализ
(ЭКГ, анализ крови и т.п.) осуществляется специалистами
соответствующих отделений
 2 типа анализа - анализ взаимоотношений между
инцидентами и
 Анализ непосредственно инцидента
Анализ артефактов (может быть отдельным сервисом)
Анализ окружения, в котором произошел инцидент и т.п.

Глубина анализа
Фактор глубины анализа Комментарии
Миссия команды и ее Вы занимаетесь защитой или только
технические возможности координацией? Если у вас нет технических
возможностей, то и глубина анализа будет
небольшой.
Приоритет инцидента При нехватке ресурсов анализу подлежат
только высокоприоритетные инциденты.
Шанс повторения Ждете повторения? Подготовьтесь к нему,
проведя глубокий анализ инцидента.
Возможность Если вы столкнулись с чем-то новым, то
идентификации новой изучите это.
активности
Поддержка от клиентов Если клиент только просигналил о
подозрительной активности, но не смог
дать детали, то и глубокого анализа не
получится.

Если ресурсов не хватает?

 Анализ логов
Учитывайте, что почти каждая система генерит свой
собственный лог
 Анализ артефактов
Вредоносного ПО, файловой системы и программного
окружения
 Обеспечение рекомендаций по борьбе с
инцидентами или предоставление средств борьбы
(например, патчей)
 Активное разрешение проблемы
 Анализ (аудит) безопасности узлов
 Анализ исходного кода

«Нехорошие» признаки

 Неоднократные повторы однотипных негативных
событий
 Выход из строя на долгое время информационной
системы
 Возникновение негативного события в важные
моменты
Сдача годового отчета, электронные торги
 Рост сетевой активности в нерабочее время
 Предложение помощи от третьего лица
одновременно с обнаружением негативного события


Почему в Интернете сложно найти
злоумышленника?

 Интернет не был разработан для отслеживания
пользователей
 Адрес источника в IP-пакете может быть легко
подменен
 Современные угрозы давно превысили параметры,
заложенные при создании Интернет
 Экспертиза среднестатистического администратора
продолжает падать
 Атаки часто пересекают границы государств и
юрисдикций
 При существующих объемах трафика нельзя его
долго хранить для будущих расследований

Почему в Интернете сложно найти
злоумышленника? (окончание)

 Туннелирование и анонимизация скрывает
злоумышленника
 Проксирование позволяет выдать себя за другого
пользователя
 Динамическая адресация
 Отсутствие адекватных механизмов защиты для
современного Интернета


Отслеживание: основные положения
 Если префикс источника не фальшивый:
Таблица маршрутизации
Реестр Интернет-маршрутизации (IRR) — whois
Непосредственный выход на сеть
 Если префикс источника фальшивый:
Отследите маршрут потока пакетов по сети
Найдите входящее соединение
Следующий оператор связи должен продолжать поиск


Отслеживание по подмененным
адресам IPv4
 Методы поиска следов:
Примените временные ACL с протоколированием записей и
изучите журнал (Log) (подобно классификации)
Запросите таблицу потоков NetFlow’s
Show ip cache-flow при использовании NetFlow
Команда IP source tracker
Метод поиска следов по обратному распространению
Отслеживание с использованием телеметрии NetFlow


Документирование инцидента
Информация для контроля Комментарии
Локальный номер инцидента
Глобальный номер
инцидента
Ключевые слова и категория Информация, помогающая установить
связь с другими инцидентами
Контактная информация Контакты всех лиц, задействованных в
инциденте
Политика Какие нормативы регулируют данный
инцидент
Приоритет Приоритет может поменяться в рамках
жизненного цикла инцидента
Другие материалы Местоположение материалов, связанных
с инцидентом


Документирование инцидента (окончание)
Информация для контроля Комментарии
История инцидента Хроника всех коммуникаций по данному
инциденту (e-mail, телефон, факсы…)
Статус Список прошедших и будущих действий,
каждое из которых связано с конкретным
членом CSIRT
Действия
Координатор
Показатели качества
Текстовое описание Свободное описание информации, не
попавшей в предыдущие поля


Функция
«Уведомления»


Функция «Уведомление»

 Функция «Уведомление» обеспечивает создание
информации для клиентов о текущих угрозах и шагах,
предпринимаемых для борьбы с ними, а также о
тенденциях в области ИБ
 Может быть представлена и как отдельная служба
CSIRT


Формы уведомлений

 Heads-up
Краткое сообщение, когда дополнительной информации нет
 Alert
Краткосрочное сообщение об атаке, уязвимостей,
проникновении
 Advisory
Среднесрочное или долгосрочное описание проблемы с
кратким описанием путей решения
 FYI
Облегченная версия advisory


Формы уведомлений

 Руководство
Пошаговая процедура действий, устраняющих проблему
 Техническая процедура
Руководство с большим количеством технических деталей


Каналы распространения
 Чувствительность информации
Защищенный канал или нет для данной информации?
 Аудитория для анонса
Этот канал подходит для данной информации?
 Скорость
Этот канал обеспечивает быструю доставку информации?
 Цена
Ожидаемые результаты распространения информации стоят
усилий (деньги, время, люди)?


Функция
«Обратная связь»


Функция «Обратная связь»

 Функция «Обратная связь» напрямую не связана с
конкретными инцидентами
 Обычно предоставляется
По явному запросу (например, от СМИ)
На регулярной основе (например, в годовых отчетах)
По собственной инициативе (например, с целью повышения
осведомленности СМИ)
 Часто представляется также в форме FAQ или
является интерфейсом для взаимодействия со СМИ


Разбор последствий
 Разбор последствий - анализ события
Шаг, который часто забывают
Что работало? Что не работало? Что можно улучшить?
Что может быть сделано для защиты от повторения
подобных происшествий?
Что вы можете сделать, чтобы в будущем отражение атаки
прошло более быстро и менее болезненно?
 Пример
Была ли DDоS-атака, с которой Вы только что справились,
действительно реальной угрозой?
Или это было прикрытие для чего-то другого, что только что
случилось?


Как общаться с
внешним миром?


О чем стоит подумать при общении с
внешним миром?

 Сообщать об инциденте или нет?
 Кому сообщать?
 Кто должен сообщать?
 Что и в каком объеме сообщать?
 Какова процедура взаимодействия с прессой?


Почему это важно

 Ущерб от инцидента обычно распадается на 3
основные составляющие
Финансовый урон
Уголовное или административное преследование
Удар по репутации и доверию


Хороший пример: SANS

 Сайт института SANS был взломан в середине 2001
года
 Для компании, занимающейся безопасностью, хуже
ситуации не придумаешь
 Грамотная работа с прессой позволила
минимизировать ущерб


Плохой пример: ChoicePoint

ChoicePoint – Зима 2004/2005
Падение курса
 Кража отчета с 145,000 акций
именами клиентов, номеров
кредитных карт и т.д.

Воздействие на бизнес
 Администрация штата Нью-
Йорка отказалась от контракта
с ChoicePoint на сумму 800
миллионов долларов


Когда не надо сообщать

 Небольшая малоизвестная компания
 Ущерб не коснулся клиентов и иных третьих лиц
 Вы на 100% уверены, что об этом никто не узнает
 Когда у вас нет доказательств


Сообщать или нет?

 В ряде стран это является требованием
законодательства
США
Россия – 152-ФЗ

 Высока вероятность, что об этом все равно станет
известно из других источников
Хакерские сайты
Информационные агентства
Собственные сотрудники


К чему это ведет?

 Пользователей не вынуждают додумывать «что»,
«когда», «как» и т.д.
Среди пользователей есть и акционеры

 Пресса благосклонно относится к признанию своих
ошибок
При правильно построенном процессе

 Может привести к росту лояльности клиентов
Они видят, что их не обманывают


Кому сообщать?

 Акционеры
 Сотрудники
 Клиенты
 Регулирующие и правоохранительные органы

 Разным аудиториям нужно предоставить разный
объем информации


Члены CIRT / SIRT / CSIRT

 Ядро CSIRT
Департамент ИТ
Отдел информационной
безопасности
Служба безопасности
Юридический департамент

 Вспомогательные службы
Public Information Officer / PR


Кто взаимодействует с внешним
миром

 Только не CSIRT
Служба безопасности – только с
регулирующими органами
Юридический департамент –
опосредованно с прессой

 Причины
CSIRT и так занята основной
работой
Необходимо умение общаться с
неквалифицированной аудиторией


Public Information Officer / PR

 Единая точка контакта с прессой
 Получение совета у юридического департамента
перед любым интервью или публикацией пресс-
релиза
 Получение разрешения у CSIRT на то, что пресс-
релиз или интервью не содержат информации,
которая может помешать расследованию
 Сообщение всем сотрудникам, что все контакты по
поводу инцидента должны вестись только через PIO /
PR


Юридический департамент

 Выступление в качестве
спикера или
интервьюируемого
 Проверка любого пресс-
релиза перед передачей в
прессу


Что обычно спрашивают?

 Что произошло?
 Каков ущерб/результат?
 Что было причиной?
 Это может повториться?
 Что надо сделать (что вы
сделаете), чтобы избежать
этого впредь?


Как готовиться к интервью?

 Узнайте как можно
раньше об интервью
 Определитесь с
основными тезисами
 Поставьте себя на место
интервьюера,
предугадайте «сложные»
вопросы и подготовьте на
них ответы


Как проводить интервью?

 Установите
взаимопонимание с
интервьюером
 Обеспечьте простые
объяснения сложных
технических подробностей
 Ведите интервьюера к
поставленной вами цели и
не давайте вести себя


Как проводить интервью? (продолжение)

 Старайтесь уйти от темы
виноватого или будьте
скупы в ответе на такие
вопросы
 Обещайте все исправить в
кратчайшие сроки
И не удивляйтесь, если в
обещанное время вам
позвонят и спросят: «Ну как?»



 Используйте
предложения, короткие
«как выстрел»
 Не знаете что-то, так и
скажите и пообещайте
найти ответ
И не забудьте найти его

 Не запугивайте и не
угрожайте



 Устраните весь негатив
А еще лучше превратите его
в позитив

 Будьте дипломатичны и
всегда говорите правду
 Оденьтесь
соответственно


Как проводить интервью? (окончание)

 Избегайте психологического
дискомфорта – не виляйте
взглядом, не сутультесь…
 Обязательно попросите
прислать готовый материал
для просмотра
 Не забывайте, что вы
интервьюируемый – вы
можете прекратить интервью
в любое время


Пресс-релиз Microsoft


Пресс-релиз «Северной Казны»


Пресс-релиз Cisco Systems


Пресс-релиз Лаборатории Касперского


Пресс-релиз ChoicePoint


Incident management (part 4)

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Incident management (part 4)

Similar to Incident management (part 4) (20)

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (15)

Incident management (part 4)