Rambler's Top100
Статьи ИКС № 6 2009
Наталья ЗОСИМОВСКАЯ  16 июня 2009

Инцидентами безопасности надо управлять

С развитием корпоративных сетей возрастает количество используемых систем, устройств и приложений, что в свою очередь делает сеть более уязвимой и повышает вероятность осуществления атак. Ущерб компании может быть нанесен вирусами, червями, кражей интеллектуальной собственности и конфиденциальных данных и т.д. Как в этих условиях правильно идентифицировать инциденты и обезопасить свою сеть от внешних и внутренних злоумышленников?

Наталья ЗОСИМОВСКАЯ, ведущий специалист департамента маркетинга компании «Информзащита»Инциденты информационной безопасности

Вот уже несколько лет Институт компьютерной безопасности США – CSI проводит ежегодные исследования, посвященные информационной безопасности и компьютерным инцидентам.

Как показали результаты опроса-2008, в прошлом году от инцидентов ИБ пострадала почти половина респондентов (43%). Однако к этой цифре следует относиться с определенной долей скепсиса, поскольку можно предположить, что не все произошедшие инциденты были обнаружены и зафиксированы, т.е. на самом деле процент опрошенных, пострадавших от инцидентов, явно выше.

В вопросе о типах инцидентов ИБ, зафиксированных компаниями, первую позицию заняли вирусы (50%), которые вернули себе лидерство, утраченное в 2007 г., когда на первое место вышли инсайдерские злоупотребления. Далее в списке расположились соответственно инсайдерские злоупотребления (44%) и кража ноутбуков и мобильных устройств (42%). Эти данные говорят о том, что одной из основных причин возникновения инцидентов является человеческий фактор и ему должно уделяться большее внимание в виде контроля действий пользователей, повышения уровня их осведомленности в вопросах безопасности.

В 2007 г. в исследовании CSI появился вопрос о количестве направленных атак, т.е. атак, целенаправленно совершаемых на заранее выбранную организацию. Как показали результаты опроса, в 2008 г. 27% респондентов подверглись хотя бы одной направленной атаке. Это лишний раз подтверждает распространенное мнение о том, что злоумышленники работают точечно и при осуществлении злонамеренной активности нацелены в первую очередь на получение финансовой выгоды.

В рамках исследования респондентами был оценен ущерб (в денежном эквиваленте), который они понесли от тех или иных инцидентов ИБ. Средние финансовые потери на одного респондента составили $288 618. Цифра впечатляет. А значит, необходимо быть готовым к тому, что инциденты безопасности могут затронуть и вашу организацию.

Проблемы и задачи организации

Управление событиями. С увеличением в сети количества данных, поступающих из различных источников, значительно усложняется процесс их анализа. Специалисты, отвечающие за мониторинг и реагирование на инциденты, сталкиваются с проблемой правильной и своевременной идентификации инцидентов из того огромного потока информации, которая попадает на их консоли.

Также ИТ- и ИБ-специалисты должны следить за тем, чтобы вся ИТ-инфраструктура и используемые механизмы работы соответствовали корпоративным требованиям и требованиям регуляторов. Большинство организаций уже внедрили и используют широкий спектр различных средств безопасности, меры контроля, системы мониторинга и оповещения об инцидентах. Но все эти системы и устройства зачастую выполняют только свои, узкие, задачи и не могут дать полную информацию о происходящем в сети компании.

Обработка информации. Специалисты, занимающиеся мониторингом и реагированием на инциденты, должны наблюдать за всеми событиями, поступающими от межсетевых экранов, сетевых устройств, серверов, приложений, систем мониторинга и физического доступа. Все эти источники генерируют важную информацию, позволяющую составить общую картину безопасности.

Но так как каждый источник может ежедневно генерировать сотни и даже тысячи страниц логов, сотрудники, отвечающие за реагирование на инциденты, зачастую не имеют возможности быстро проанализировать и часть того, что поступает им на консоль. Просмотр всех логов вручную занимает много времени, а время, как известно, исчисляется деньгами, которые теряет компания из-за инцидента. Поэтому быстрая реакция здесь жизненно необходима. Нередко эти проблемы усугубляются нехваткой нужных специалистов.

Единая точка контроля. Каждый источник событий генерирует данные в своем формате. С расширением сети и типов устройств в ней становится очень сложно получить реальную картину происходящего. Аналитики вынуждены использовать различные инструменты и консоли для мониторинга событий в разрезе всей организации. Для того чтобы принять решение о необходимом действии по реагированию на какой-то конкретный инцидент, аналитику приходится просмотреть дюжину различных консолей и определить, что именно затрагивает каждое отдельное событие. Такая сложность и отсутствие интегрированности приводят к тому, что организация не может ответить на ключевые вопросы, с которыми она сталкивается каждый день и которые касаются определения того, кто или что пытается внедриться в ее сеть и приложения, и понять, какое влияние на бизнес оказывают эти вторжения.

Системы управления инцидентами

Эффективный мониторинг практически невозможен без интеллектуальных и автоматизированных инструментов, позволяющих консолидировать, анализировать и коррелировать события в разрезе инфраструктуры организации для снижения рисков и демонстрации соответствия обязательным требованиям регуляторов.

Для эффективного функционирования системы управления инцидентами информационной безопасности очень важно на стадии ее внедрения обеспечить ряд ключевых факторов. В первую очередь система управления должна быть снабжена входящим потоком событий информационной безопасности, адекватно отражающих состояние безопасности активов в рамках выбранной области действия. При выявлении инцидента и реагировании на него понадобятся данные о задействованных активах, их владельцах и степени критичности. При расследовании инцидентов потребуется доступ к событиям информационной безопасности, повлиявшим на инцидент, таким, например, как данные аудита действий пользователей и администраторов. При анализе инцидентов и предоставлении отчетности необходимо иметь возможность сопоставить активы, подвергшиеся воздействию в результате инцидента, чтобы определить риски для основных бизнес-процессов компании.

Основой для управления инцидентами может стать система сбора, обработки и хранения событий информационной безопасности. Она позволяет собирать данные со всех источников событий, приводить их к единому формату, осуществлять обработку путем определения уровня критичности того или иного события, а также связывать события, зафиксированные различными источниками (корреляция), выявляя и формируя информацию об инцидентах безопасности. Таким образом, перед оператором, работающим с системой, предстает полная картина происходящего в сети, позволяющая ему контролировать общий уровень безопасности, осуществлять анализ и расследования, а также принимать адекватные решения по реагированию на инциденты.

Подобные системы наделены возможностью рассылки оповещений о выявленных проблемах тем, кто в рамках должностных инструкций отвечает за работу с ними. Важной составляющей является и отчетность, которая позволяет отразить по различным срезам состояние безопасности тех или иных активов, проиллюстрировать определенные тренды и предоставить обобщенный материал по различным показателям.

  


На сегодняшний день многие стандарты и лучшие практики имеют раздел, посвященный управлению инцидентами безопасности. Но реальность, к сожалению, такова, что большинство организаций испытывают серьезные затруднения с внедрением этого процесса. Дело в том, что он схож с процессами управления непрерывностью бизнеса и восстановления его после аварий и характеризуется тем, что должен проистекать и поддерживаться постоянно. А это задача не из легких. Однако практика показывает, что процесс управления инцидентами неизбежен. И подготовиться к нему лучше заранее: при возникновении незнакомой проблемы, требующей быстрого и правильного разрешения, велика вероятность, что из-за незнания и непонимания того, кто и что должен делать, будет потеряно драгоценное время и компании может быть нанесен серьезный ущерб.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!