В Центре мониторинга АО «ПМ» каждые сутки обрабатываются полтора миллиона событий ИБ, поступающих от различных систем и устройств: IDS, IPS, межсетевых экранов, сканеров состояния защищённости, антивирусов, сетевых устройств. Автоматизированная обработка выявляет события, влияющие на безопасность, для последующего детального анализа. Аналитики компании вручную исследуют 180–200 событий. Каждое такое подозрительное событие является потенциальным инцидентом ИБ, с которым связана вероятность компрометации данных и нарушения конфиденциальности, целостности и доступности.
Инцидент — негативное событие с финансовыми, правовыми и репутационными последствиями для жертвы компьютерной атаки. Если организация хочет быть готовой противостоять злоумышленникам, она должна реагировать на каждый такой случай. И мы можем в этом помочь.
Наша работа по расследованию инцидентов состоит из 5 этапов.
Выявление инцидента информационной безопасности
Инцидент информационной безопасности может обнаружить дежурная смена Центра мониторинга. Или к нам может обратиться непосредственно владелец ресурса, если в его информационной системе есть подозрительная активность, при которой внедрённые ранее средства защиты информации «молчат». При этом у объекта атаки может быть недостаточно ресурсов или опыта для расследования инцидента.
Мы также можем определить, подвергалась ли организация атакам в прошлом и был ли какой-либо ущерб, проанализировав имеющиеся записи журналов различных систем.
Сдерживание
Главная задача после обнаружения инцидента — не допустить компрометации данных и снизить влияние на бизнес-процессы. Для этого заказчик локализует атакованный узел и блокирует вредоносную активность.
Мы взаимодействуем с ведомственными и корпоративными центрами реагирования на кибератаки, чтобы получать информацию об угрозах и методах противодействия в реальном времени.
Сбор доказательств
На этом этапе мы находим и документируем любые сведения, связанные с инцидентом, чтобы ответить на следующие вопросы:
- Что произошло?
- Когда произошло?
- Объект атаки?
- Откуда «пришла» атака?
- Каковы цели и мотивация атакующего?
- Кто был вовлечён в проведение атаки со стороны жертвы?
- Какие методы, уязвимости и инструменты использовал атакующий?
Ликвидация последствий
После того, как мы соберём информацию об инциденте, заказчик расследования может запускать процессы восстановления после инцидентов ИБ. Если таких процессов нет, мы поможем восстановить работоспособность затронутых атакой информационных систем и ресурсов.
Недопущение повторения
После анализа результатов расследования компьютерного инцидента мы даём рекомендации по изменению настройки и состава средств защиты информации, которые могут предотвратить повторение инцидента в будущем или закрывают наиболее критичный вектор атак.
Результаты
- Заключение по результатам расследования инцидента.
- Документированная информация об инциденте и собранные доказательства.
- Результаты анализа причин, развития и последствий инцидента, предположения о виновных лицах.
- Рекомендации по недопущению подобных инцидентов в будущем.