Анализ инцидентов в компьютерных системах и сетях

Инциденты информационной безопасности – выявление и расследование

Хотя бы один раз за весь период работы большинство компаний сталкивалось с инцидентами информационной безопасности. Речь идет об одном, двух и более неожиданных и нежелательных событиях в корпоративной сети, которые приводят к серьезным финансовым и репутационным последствиям. Например, доступ третьих лиц к закрытой информации организации. К классическим примерам можно отнести значительное искажение инфоактивов, а также хищение персональных данных пользователей (клиентской базы, проектная документация).

Угрозы информационной безопасности — ключевые риски

Не только крупные корпорации, но и небольшие фирмы различных организационно-правовых форм и размеров время от времени сталкиваются с кибератаками. Количество пострадавших компаний ежегодно увеличивается. Действия злоумышленников приводят к большим убыткам пострадавших организаций.

Есть несколько основных рисков внутри корпораций и фирм:

• Уязвимость программного обеспечения;
• Доступ к конфиденциальной информации через работников;
• Пренебрежение основными правилами безопасности со стороны сотрудников, что приводит к непреднамеренной утечке корпоративной информации.

Основная проблема многих организаций в том, что в активно развивающемся мире киберугроз, большинство организаций даже не задумывается об информационной безопасности до возникновения инцидента. Поэтому часто нет резервных копий, доступ к данным есть у всех сотрудников, даже если они не пользуются ими в своей работе, а сеть ничем не защищена, и внедрить туда вредоносное ПО или заблокировать работу сервера организации может фактически любой желающий.

Классификация инцидентов

Аномалии, с которыми сталкиваются предприятия можно классифицировать по следующим признакам:

• Тип информационной угрозы;
• Уровень тяжести инцидентов для работы организации;
• Преднамеренность появления угрозы безопасности данных;
• Вероятность возникновения повторного «заражения» программного обеспечения;
• Нарушенные политики ИБ;
• Уровень системы организационных структур, обеспечивающих работу и развитие информационного пространства;
• Трудности обнаружения;
• Сложность устранения выявленной угрозы, которая может нарушить сохранность ценных данных компании.

Инциденты могут быть как умышленными, так и непреднамеренными. Если обратить внимание на первый вид инцидента, то он может быть спровоцирован разными средствами, техическим взломом или намеренным инсайдом. Оценить масштабы влияния на безопасность и последствия атаки крайне сложно. Утечки информации в виде баз данных на чёрном рынке оцениваются в миллионах рублей .

Существует категорирование инцидентов, позволяющее прописать их в политике безопасности и предотвращать их уже по первым признакам:

1. Несанкционированный доступ. Сюда стоит отнести попытки злоумышленников беспрепятственно войти в систему. Яркими примерами нарушения можно назвать поиск и извлечение различных внутренних документов, файлов, в которых содержатся пароли, а также атаки переполнения буфера, направленные на получение нелегитимного доступа к сети.

2. Угроза или разглашение конфиденциальной информации. Для этого нужно получить доступ к актуальному списку конфиденциальных данных.

3. Превышение полномочий определенными лицами. Речь идет о несанкционированном доступе работников к определенным ресурсам или офисным помещениям.

4. Кибератака, влекущая к угрозе безопасности. Если отмечается поражение вредоносным ПО большого количества ПК компании — то это не простая случайность. Во время проведения расследования важно определить источники заражения, а также причины данного события в сети организации.

Что делать при обнаружении инцидента?

Управление аномальными событиями в сети подразумевает не только оперативное обнаружение и информирование службы информационной безопасности, но и их учет в журнале событий. В журнале автоматически указывается точное время обнаружения утечки информации, личные данные сотрудника, который обнаружил атаку, категорию события, все затронутые активы, планируемое время устранения проблемы, а также действия и работы, направленные на устранение события и его последствий.

Современным компаниям ручной способ мониторинга инцидентов уже не подходит. Так как аномалии происходят за секунды и требуется мгновенное реагирование. Для этого необходимы автоматизированные решения по информационной безопасности, которые непрерывно мониторят все, что происходит в сети организации оперативно реагируют на инциденты, позволяя принимать меры в виде блокировки доступа к данным, выявления источника события и быстрого расследования, в идеале до совершения инцидента.

После расследования, выполняя правила корреляции, которые свидетельствуют о вероятных попытках причинения вреда безопасности данных подобными способами, создается карточка данного инцидента и формируется политика безопасности. В дальнейшем подобные атаки будут подавлены и приняты меры до совершения активных действий со стороны сотрудников и внешних источников угроз.

Реагирование на утечку данных

При обнаружении нарушений в сети организации рекомендован следующий алгоритм действий со стороны службы информационной безопасности:

1. Фиксация состояния и анализ информационных ресурсов, которые были задействованы.

2. Координация работы по прекращению влияния информационных атак, проведение которых спровоцировало появление инцидента.

3. Анализ всего сетевого трафика.

5. Сбор важных данных для установления причин происшествия.

6. Составление перечня мер, направленных на ликвидацию последствий инцидента, который нанес урон.

8. Контроль устранения последствий.

9. Создание политик безопасности и подробного перечня рекомендаций, направленных на совершенствование всей нормативной документации.

Выявление причин инцидента безопасности

Анализ ситуации позволяет оценить риски и возможные последствия инцидента.

После того, как последствия события полностью устранены, обязательно проводится служебное расследование. Оно требует привлечения целой команды опытных специалистов, которые самостоятельно определяют порядок изучения фактов и особенностей произошедшего. Дополнительно используются всевозможные публичные отчеты, аналитические средства, потоки сведений обо всех угрозах, а также другие источники, которые могут пригодиться в процессе изучения конкретного кейса. Квалифицированные специалисты устраняют вредоносное программное обеспечение, закрывают возможные уязвимости и блокируют все попытки нелегитимного доступа.

По факту расследования составляют перечень мер, направленных на профилактику аналогичных кибератак. Дополнительно составляется список действий моментального реагирования в случае, если имело место проникновение вредоносного ПО в систему. Нужно провести обучение персонала фирмы для повышения киберграмотности.

Решения для информационной безопасности организации

Для предотвращения инцидентов ИБ необходимо внедрить специализированные решения, способные в реальном времени выявлять и реагировать на них даже по первым признакам до непосредственного хищения или других мошеннических действий.

«Гарда Технологии»- российский разработчик систем информационной безопасности от внутренних и внешних угроз, который предлагает комплексные решения по защите от утечек информации, защите баз данных и веб-приложений, защите от DDoS-атак и анализу и расследованию сетевых инцидентов. Решения интегрируются друг с другом, образуя комплексное решение — экосистему безопасности.

Внедрение решений по информационной безопасности позволяет избежать многочисленных финансовых и репутационных рисков.

Источник

Простой анализ инцидентов информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Заплатина Екатерина Александровна, Лопатин Дмитрий Валерьевич

Рассматриваются программные способы анализа возможных угроз и инцидентов информационной безопасности в организации.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Заплатина Екатерина Александровна, Лопатин Дмитрий Валерьевич

EASY ANALYSES OF INCIDENTS OF INFORMATION SECURITY

In the work the program of easy analyses of incident of information security is considered.

Текст научной работы на тему «Простой анализ инцидентов информационной безопасности»

ПРОСТОЙ АНАЛИЗ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Ключевые слова: инцидент; программные средства; информационная безопасность.

Рассматриваются программные способы анализа возможных угроз и инцидентов информационной безопасности в организации.

Инцидент информационной безопасности — это одно или серия событий информационной безопасности, которые могут привести к ущербу и потерям для пользователя. Процесс управления инцидентами информационной безопасности (ИБ) играет ключевую роль в обеспечении информационной безопасности предприятия. Основной целью данного процесса является обеспечение эффективного расследования инцидентов информационной безопасности, минимизация потерь для организации, вызванных инцидентами, и уменьшение риска возникновения повторных инцидентов.

Расследование инцидентов ИБ и реагирование на них — сложный и комплексный процесс, требующий участия сотрудников многих подразделений компании: сотрудников отдела кадров, юристов, технических экспертов ИТ-системы, внешних консультантов по информационной безопасности, бизнес-менеджеров, конечных пользователей информационной системы, сотрудников служб технической поддержки, сотрудников службы безопасности и др. Большинство компаний создают комиссию по расследованию инцидента ИБ. Комиссия должна включать экспертов и консультантов в юридической и технической сферах.

Но есть и другое решение. Для минимизации риска потерь от инцидентов информационной безопасности можно предложить несколько довольно простых программных решений по нахождению угроз возникновения инцидентов ИБ, анализу этих угроз, устранению угроз возникновения инцидента ИБ, а также предотвращению угроз возникновения инцидентов ИБ. Набор специальных утилит позволяет провести анализ истории браузера, определить закаченные файлы, а также провести аудит файловой системы.

Для того, чтобы провести анализ истории и файлов браузера, можно использовать ряд утилит: ChromeAna-lysis [1], FoxAnalysis [2], Web Historian [3], HstEx [4].

Утилита ChromeAnalysis применяется для браузера Chrome. Эта утилита предоставляет подробную информацию об истории посещения сайтов, кукисах, букмарках, скаченных файлах, сохраненных логинах.

Утилита Web Historian поддерживает сразу несколько браузеров Firefox 2/3+ , Chrome 3+ , Safari 3+ , Internet Explorer до 8 версии. Эта утилита является бо-

лее универсальной. Она позволяет из огромного массива данных извлечь то, что именно интересует. Помимо этого в программу встроен инструмент WebsitevAnalyzer, который позволяет превратить скучную таблицу данных в красивые графики.

HstEx является уникальной программой, потому как восстанавливает очищенную историю из браузера и файлы из кэша, которые были удалены. В качестве исходных данных ей необходим образ диска.

Комплексное решение Win Taylor для Windows-систем [5] позволяет получить подробную информацию о всех ActiiveX-компонентах, истории браузеров, дамп памяти и отчет о сетевой активности, отчеты о системе. Win Taylor включает в себя такую утилиту, как USBDeriew, которая позволяет просмотреть данные о каждом флеш-накопителе, используемом в системе.

Одним из методов предотвращения угрозы возникновения инцидента ИБ является использование программных средств. С помощью приведенных выше утилит можно проанализировать наличие существующих инцидентов ИБ. Эти простые в использовании программы позволяют защитить деятельность организации и противостоять злоумышленникам.

1. ChromeAnalysis — Google Chrome. URL: http://forensic-softwa-re.co.uk/chromeanalysis.aspx (дата обращения: 28.11.2010).

2. FoxAnalysis — Firefox 3 Forensics. URL: fогеnsic-sоftwаге.co.uk./ foxanalysis.aspx (дата обращения: 28.11.2010).

3. MANDIANT Is Intelligent Information Security. URL: http://www.man-diant.com/ products/free_software/web_historian/ (дата обращения: 28.11.2010).

4. Digital Detective Support Central. URL: http ://support. digital-

detective. co.uk/KB/Default. aspx?ID=KB 8 00 38 (дата обращения:

5. Win Taylor. URL: http://www.caine-live.net/page2/page2.html (дата обращения: 28.11.2010).

Поступила в редакцию 12 ноября 2010 г.

Zaplatina E.A., Lopatin D.V. Easy analyses of incidents of information security

In the work the program of easy analyses of incident of information security is considered.

Key words: incident; software; information security.

Источник