1. Управление
инцидентами
Версия 1.1
Алексей Лукацкий
Бизнес-консультант по безопасности
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 1/431

2. О курсе
 Цель курса: Систематизация сведений и понимание
конкретных шагов по управлению инцидентами
 Определите свою цель
Создать программу управления инцидентами «с нуля»
Улучшить существующую программу управления
инцидентами
Оценить существующую программу управления
инцидентами в соответствие с лучшими практиками
 Мы не рассматриваем
Причины инцидентов и мотивацию злоумышленников
Какие средства защиты позволяют бороться с
злоумышленниками
Детали расследования для различных систем и сценариев
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 2/431

3. О курсе
Преподаватель Консультант
• Рассматривает • Ищет пути
все решения для
альтернативы конкретной
компании
 Мы рассматриваем многие из существующих
подходов управления инцидентами
Некоторые могут показаться избыточными
 Применение их в конкретной организации зависит
от множества условий и целей
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 3/431

4. Программа курса
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 4/431

5. Что нас сподвигает задуматься
…о целенаправленной работе с инцидентами?
Что-то произошло?
Это инцидент?
Что произошло?
Инцидент опасен или подождет?
Мы с ним справимся самостоятельно?
Как это произошло? Детали?
Кто должен с ним бороться?
Должен ли я сообщать в милицию? Или в ФСБ?
Можно ли отследить хакера? Как?
Надо ли отпугнуть хакеров или
собрать о них сведения?
Меня взломали! Быстрее вернуть все
в исходное состояние! Или нет? Почему именно я?
Как наказать хакеров?
Что сделать, чтобы не повторилось?
Надо ли сообщать другим компаниям?
Разве IPS и МСЭ не достаточно?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 5/431

6. Разве IPS недостаточно?
 А это инцидент ИБ, инцидент
ИТ или просто ложное
срабатывание?
 Система корреляции поможет
вам объединить множество
событий в единую
последовательность и устранить
ложные срабатывания
 А вы знаете, что делать после того, как увидели
сигнал тревоги на консоли системы защиты?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 6/431

7. Что такое
инцидент?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 7/431

8. Что такое инцидент?
 Ситуация, которая может представлять собой
нарушение нормального хода бизнеса, убыток,
чрезвычайную ситуацию или кризис, либо приводить к
их возникновению
BS 25999
 Инцидент информационной безопасности - событие,
являющееся следствием одного или нескольких
нежелательных или неожиданных событий ИБ,
имеющих значительную вероятность компрометации
бизнес-операции и создания угрозы ИБ
ГОСТ Р ИСО/МЭК 18044
 Любое событие, не являющее частью нормального
функционирования сервиса и требующее ответной
реакции
InfoSecurity 2008 ITIL
© 2008 Cisco Systems, Inc. All rights reserved. 8/431

9. Что такое инцидент?
 Действительное, предпринимаемое или вероятное
нарушение безопасности, вызванное либо ошибкой
людей, либо неправильным функционированием, либо
природными факторами (например, пожар или
наводнение), либо преднамеренными
злоумышленными действиями, либо нарушением
конфиденциальности, целостности, доступности,
учетности или бесспорности, влияющие на систему,
сервис и/или сеть и их составные части
ISO/IEC TR 18044:2004
 Любое непредвиденное или нежелательное событие,
которое может нарушить деятельность или
информационную безопасность
ГОСТ Р ИСО/МЭК 27001-2006, ГОСТ Р ИСО/МЭК 13335-1-2006
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 9/431

10. Что такое инцидент?
 Любое событие, которое не является частью
стандартного функционирования услуги и которое
приводит или может привести к остановке в
предоставлении этой услуги или к снижению еѐ
качества
ГОСТ Р ИСО/МЭК 20000-200х (проект)
 Событие, указывающее на свершившуюся, пред-
принимаемую или вероятную реализацию угрозы ИБ
Стандарт Банка России СТО БР ИББС-1.0
 Событие, которое может привести к прерыванию
операций, разрушениям, потерям, чрезвычайным
ситуациям или кризису
ISO/PAS 22399. Guidelines for incident preparedness and
operational continuity management
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 10/431

11. Разница между терминами
ИТ ИБ
• Направлены вовнутрь • Природа источника не
(как правило) важна (внешняя /
• Событие указывает на внутренняя)
причину • Событие как правило
• Фокусируются на является первым звеном
доступности, в цепочке
производительности, • Фокусируются на
качестве сервиса поведении, доступе к
ресурсам, использовании
привилегий субъектов
доступа
Событие = причина, факт и следствие
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 11/431

12. Инцидент: госорганы и коммерсанты
Госорган Коммерсант
• Совершение • Событие, которое
действий, может причинить
причинивших ущерб ущерб
охраняемым
законом правам
физического или
юридического лица
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 12/431

13. От какого термина отталкиваться?
 Все зависит от определения ИБ
 ИБ – это не универсальное, не стандартное понятие
 Оно персонифицировано в каждой конкретной
ситуации, для каждой конкретной организации, для
каждого конкретного CISO
В одной и той же компании, разные CISO могут по-разному
заниматься ИБ
В одной и той же компании при одном и том же CISO, но
разных CEO, ИБ может двигаться в разных направлениях
 ИБ – это понятие, зависящее от множества
факторов/элементов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 13/431

14. Термин «безопасность»
 Безопасность – отсутствие опасности
В.Даль
 Безопасность – состояние, при котором не угрожает
опасность
С.Ожегов
 Безопасность – состояние защищенности жизненно
важных интересов личности, общества и
государства от внутренних и внешних угроз
ФЗ «О безопасности»
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 14/431

15. Термин «безопасность»
 Безопасность информации - деятельность,
направленная на предотвращение или
существенное затруднение несанкционированного
доступа к информации (или воздействия на
информацию)
ФСТЭК
 ИБ – технологическая задача, обеспечивающая
целостность, конфиденциальность и доступность
А как же борьбы со спамом? Или шантаж DDoS?
 Безопасность - состояние защищенности объекта
от внешних и внутренних угроз
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 15/431

16. Термин «безопасность»
 Безопасность – системное свойство, позволяющее
развиваться и процветать в условиях конфликтов,
неопределенности и рисков на основе
самоорганизации и управления
 Безопасность – деятельность людей, общества,
государства по выявлению, предупреждению,
ослаблению, устранению и отражению опасностей
и угроз, способных погубить их, лишить ценностей,
нанести неприемлемый ущерб, закрыть путь для
выживания и развития
 Информационная безопасность - динамическое
состояние сохранения жизненно важных
параметров предприятия в информационной
сфере
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 16/431

17. Как я понимаю ИБ?!
 Информационная безопасность - состояние
защищенности интересов стейкхолдеров
предприятия в информационной сфере,
определяющихся совокупностью
сбалансированных интересов личности, общества,
государства и бизнеса
 Очень емкое и многоуровневое определение
 Может без изменения применяться в ЛЮБОЙ
организации
Меняться будет только наполнение ее ключевых
элементов – стейкхолдеры, информационная сфера,
интересы
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 17/431

18. Стейкхолдеры ИБ
• ИТ
• ИБ
Внутри •
•
Юристы
Служба внутреннего контроля
предприятия •
•
HR
Бизнес-подразделения
• Руководство
• Пользователи
Снаружи •
•
Акционеры
Клиенты
предприятия •
•
Партнеры
Аудиторы
• ФСТЭК
• ФСБ
Регуляторы •
•
Роскомнадзор
СВР
• МО
• ФАИТ
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 18/431

19. Информационная сфера
 Информационная сфера - это совокупность
информации, информационной инфраструктуры,
субъектов, осуществляющих сбор, формирование,
распространение и использование информации, а
также системы регулирования возникающих при
этом отношений
 В данном определении информационная
инфраструктура включает в себя также и
технологии обработки информации
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 19/431

20. Интересы стейкхолдеров
 Универсального списка интересов не существует –
у каждого предприятия на каждом этапе его
развития в различном окружении при различных
руководителях интересы различны
ИБ Юристы Регуляторы
• Конфиденциальность • Соответствие • Соответствие
• Целостность • Защита от
• Доступность преследования
• Новые законы
Пользователи Акционеры ИТ
• Тайна переписки • Рост стоимости акций • Доступность
• Бесперебойный • Контроль топ- сервисов
Интернет менеджмента • Интеграция
• Комфорт работы • Прозрачность • Снижение CapEx
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 20/431

21. Интересы бизнеса
 Рост (доли рынка, маржинальности, доходности…)
 Экспансия (новые рынки, новые целевые аудитории)
 Рост продуктивности сотрудников
 Соответствие требованиям
 Инновации и новые бизнес-практики
 Реинжиниринг бизнес-процессов
 Взаимоотношения с клиентами (лояльность)
…
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 21/431

22. Как минимум, инцидент – это…
 Черви, вирусы, ботнеты и иной вредоносный код
 Недоступность ресурса в результате DoS или DDoS
 Несанкционированный доступ
 Злоупотребления сотрудников, включая утечки данных
 Модификация команд управления АСУ ТП
 Обнаружение уязвимости
 Ошибки персонала
 Загрузка пиратского ПО
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 22/431

23. Что такое
управление
инцидентами?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 23/431

24. Ключевые задачи управления
инцидентами
 Установить способ проникновения в систему
 Выяснить мотивацию и цели злоумышленника
 Установить личность злоумышленника
 Реализовать меры, исключающие повторение
инцидента
 Возмещение нанесенного ущерба
 Устранение уязвимостей, ставших причиной
инцидента
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 24/431

25. О терминологии
 Incident handling – обработка инцидентов
 Incident management – управление инцидентами
 Incident response – реагирование на инциденты
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 25/431

26. Обработка инцидентов
 Обнаружение и составление отчетов
Получение и анализ событий, отчетов об инцидентах и
сигналов тревог
 Систематизация
Категоризация, приоритезация и связывание событий и
инцидентов
 Анализ
Что произошло? Каков ущерб? К какой угрозе может
привести? Какие шаги надо сделать для отражения и
восстановления?
 Реагирование на инциденты
Планирование, координация и реализация отражения
инцидента, координации и распространения информации,
обратной связи и follow-up (чтобы инцидент не повторился)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 26/431

27. Управление инцидентами
 Управление инцидентами – это не только
обработка инцидентов и реагирование на них, но и
активность, предотвращающая их
Также включает в себя
 Управление уязвимостями
 Управление артефактами
Артефакт – явление или объект, наблюдаемые при
исследовании объекта, не свойственное этому объекту и
искажающее результаты исследования (например, трояны,
руткиты, эксплойты)
Часто этот пункт называется сбором доказательств
 Обучение и повышение осведомленности
пользователей
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 27/431

28. Связь терминов
Источник: Defining Incident Management Processes for CSIRTs: A Work in Progress.
CMU/SEI-2004-TR-015
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 28/431

29. Не только управление инцидентами
 Эффективные процессы управления инцидентами
необходимы, но они не являются единственными,
что влияет на уровень защищенности предприятия
 Необходимы также
Стратегия информационной безопасности предприятия
Классификатор защищаемых информационных ресурсов
Организационные и технические меры защиты
Выстроенные процессы обеспечения и управления ИБ
Квалифицированный персонал
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 29/431

30. Управление инцидентами и ИБ
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 30/431

31. Классические ошибки при
расследовании инцидентов
 Срочное восстановление работоспособности с
попутным уничтожением следов и доказательств
 Вина за инцидент без разбора возлагается на ИТ-
департамент
 Сокрытие ИТ-департаментом инцидента
«Это же регламентные работы!»
 Если вина посторонних очевидна, то их все равно
никто не ищет
Хакеров в Интернете поймать нереально
 К расследованию привлекается
малоквалифицированный персонал
 Отсутствие мер по профилактике и управлению
инцидентами в будущем
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 31/431

32. Проблемы управления инцидентами
 Отсутствие связи с целями организации и бизнеса
 Отсутствие поддерживающих управление
инцидентами политик и процедур
Основная проблема – неразбериха на стадии развития
инцидента, когда от правильности первых действий
зависит результативность и эффективность управления
 Предоставление избыточных или дублирующих
услуг
 Неопределенные и неформализованные процессы
и роли
 Отсутствие контроля
 Отсутствие коммуникаций, координации и
разделения данных с другими командами
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 32/431

33. Произошел
инцидент! Знаете
ли вы что делать
или зачем нужна ли
формализация
процесса управления
инцидентами?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 33/431

34. Нужна ли формализация?
 Управление инцидентами
сродни первой помощи
Ценна каждая секунда –
промедление смерти подобно
Нельзя суетиться
Важно четкое знание
алгоритма действий
Действия не должны быть
сложные
Регулярные тренировки и
пересмотр алгоритма
действий
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 34/431

35. Процессы управления инцидентами
 Одна из первых публикаций по управлению
инцидентами появились в 1990-м году
После этого появлялось немало публикаций, описывающих
в той или иной степени процессный подход к управлению
инцидентами
Число процессов – от 5 до 11
 Общие особенности
Не все начинают с подготовки
Не все извлекают уроки
Составление отчетов осуществляется в разном месте
жизненного цикла управления инцидентами
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 35/431

36. Процессы управления инцидентами
Общие Редкие
• Подготовка • Подтверждение
• Идентификация инцидента
• Локализация • Координация
• Устранение причин • Первичное
• Восстановление (экстренное)
реагирование
• Извлечение уроков
• Дупликация данных
• Follow-up
• Коммуникации
• Защита доказательств
• Определение области
применения
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 36/431

37. Процессы управления инцидентами
 Институт Карнеги Меллона предложил процессную
модель управления инцидентами, которая
включает 5 основных процессов
Подготовка (а также поддержка и улучшение)
Защита инфраструктуры
Обнаружение событий
Систематизация событий
Реагирование
 В зависимости от задач и структуры CSIRT не все
из этих процессов могут быть реализованы на
практике
Но стремиться к этому стоит
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 37/431

38. Процесс «Подготовка»
 Планирование управления инцидентами и
возможностями CSIRT
 Сохранение и поддержание этих возможностей
 Совершенствование существующих возможностей
на основе «разборов полетов», извлеченных уроков
и регулярной оценки деятельности CSIRT и
связанных подразделений
 Внедрение новых и изменение существующих мер
управления инцидентами после «успешного»
инцидента
 Выработка рекомендаций по улучшению защиты
инфраструктуры (для следующего процесса)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 38/431

39. Особенности подготовки
 Подготовить – значит разработать и выстроить
твердый фундамент системы безопасности
Включает технические и не-технические компоненты
Применение лучших методов
Наисложнейшая, но наиболее важная фаза
Без хорошей подготовки вы обречены на провал
Во время отражения масштабной атаки поздно думать о
применении лучших фундаментальных методов и
процессов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 39/431

40. Особенности подготовки (окончание)
 Знать врага
Понимать, что движет злоумышленниками
Понимать их технические возможности и приемы
 Создать группу реагирования и заранее
распределить функции
Обладают ли они нужной квалификацией?
 Защитить системы
 Подготовить инструменты
Сетевая телеметрия
Инструменты отражения
Четко осознавать свои возможности
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 40/431

41. Идентификация инцидентов
 Идентификация - как Вы узнаете о том, что Вы или
Ваш пользователь атакованы ?
Не нужно ждать, пока Ваш пользователь позовет на помощь
или пока рухнет Ваша сеть
Какие инструменты доступны?
Что можно сделать сегодня при ограниченном бюджете?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 41/431

42. Процесс «Защита инфраструктуры»
 Реализация изменений, останавливающих или
предотвращающих инциденты или потенциальные
возможности для проявления инцидентов
(уязвимости и т.п.)
 Внедрение улучшений, полученных на предыдущем
этапе и в результате иных процессов анализа
улучшений
 Оценка инфраструктуры путем сканирования или
мониторинга сетевого трафика, а также анализа
рисков
 Составление списка текущих инцидентов,
обнаруженных уязвимостей и других событий
безопасности, обнаруженных во время оценки (для
следующего процесса)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 42/431

43. Процесс «Обнаружение событий»
 Обнаружение событий и уведомление о них
 Получение информации (отчетов) о событиях
 Активное слежение за индикаторами (IDS,
мониторинг сети и т.п.)
 Анализ метрик, демонстрирующих появление
рисков и вредоносного поведения на предприятии
 Составление списка всех подозрительных событий
(для следующего процесса)
 Переназначение событий, выходящих за пределы
данного процесса
 Прекращение обработки событий, не перешедших
на следующий этап
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 43/431

44. Процесс «Систематизация событий»
 Классификация и корреляция событий
 Приоритезация событий
 Связывание событий с соответствующими
процедурами обработки инцидентов
 Составление перечня категорированных событий
(для следующего процесса)
 Переназначение событий, выходящих за пределы
данного процесса
 Прекращение обработки событий, не перешедших
на следующий этап
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 44/431

45. Процесс «Реагирование»
 Анализ событий
 Планирование стратегии реагирования
 Координация и реализация технического,
административного и юридического реагирования,
которое позволяют сдерживать, устранять или
отражать инциденты, а также реализация действий по
восстановлению пострадавших систем
 Общение с внешними сторонами
 Переназначение событий, выходящих за пределы
данного процесса
 Прекращение реагирования
 «Разбор полетов» и передача информации на первый
этап
InfoSecurity 2008 45/431
© 2008 Cisco Systems, Inc. All rights reserved.

46. Связь процессов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 46/431

47. Рекомендации NIPC для пострадавших
 Реагируйте быстро
 Установите контакт с правоохранительными
органами
В России это может бесперспективно
 Если вы не уверены в своих действиях, то ничего не
отключайте и не останавливайте, чтобы не
уничтожить следы, артефакты и доказательства
 Строго следуйте всем предписаниям и процедурам
 Для любых контактов по факту расследования
используйте только телефон
E-mail может быть под контролем
 Свяжитесь с CSIRT (отделом ИБ)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 47/431

48. Рекомендации NIPC для пострадавших
 Используйте регистрацию входящих соединений и
телефонных звонков
 Заранее установите отношения с
правоохранительными органами и юридическими
конторами
Если вы уверены, что они хоть что-то понимают в
расследовании компьютерных инцидентов
 Сделайте копии всех файлов, которые
злоумышленник мог или может изменить или стереть
 Определите основные точки для поиска
доказательств. Обеспечьте их сохранность
 Не вступайте в контакт с подозреваемым
Вам нужно управление инцидентами!
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 48/431

49. Пошаговая процедура SANS
 SANS – институт подготовки специалистов в области
информационной безопасности (США)
 В середине 90-х годов подготовил документ
«Computer security incident handling. Step by step»
Cisco – один из участников разработки данного документа
 6 последовательных процессов обработки инцидента
31 детальная процедура, 97 конкретных действий
Специальные действия для 6 специальных типов инцидентов
(вредоносный код, сканирование, DoS, шпионаж,
мистификация, неавторизованный код)
10 немедленных действий в ситуации, когда вы готовы и не
знаете, что делать (аналог рекомендаций NIPC)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 49/431

50. Пошаговая процедура SANS
• Установка политик
• Поддержка руководства
• Организация команды
• План коммуникаций в экстренных случаях
• Простой репортинг
Подготовка • Тренинг для членов команды
• Руководство для взаимодействия между департаментами
• Добейтесь внимания со стороны системных и сетевых
администраторов
• Интерфейс взаимодействия с правоохранительными
органами и другими CSIRT
• Выделите персону, ответственную за инцидент
• Какие события относятся к инцидентам
Идентификация • Будьте осторожны в поддержке доверенной цепочки
взаимодействия
• Координация с Интернет-провайдером
• Уведомьте соответствующие структуры (при необходимости)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 50/431

51. Пошаговая процедура SANS (продолжение)
• Разверните командный пункт на месте инцидента
• Не привлекайте к себе внимания
• Обходите потенциально скомпрометированный код
Локализация • Сделайте резервную копию
• Оцените риск продолжения работы атакованных
систем
• Проконсультируйтесь с владельцем системы
• Смените пароли
• Определите причины и симптомы инцидента
Устранения • Усильте защиту
• Обеспечьте анализ уязвимостей
причин • Устраните причину инцидента
• Определите последнюю «чистую» резервную копию
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 51/431

52. Пошаговая процедура SANS (окончание)
• Восстановите системы
• Проверьте системы
Восстановление • Решите, когда восстановить
бизнес-операции
• Мониторьте системы
Извлечение • Разработайте отчет об
уроков инциденте
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 52/431

53. Готовы ли вы?
 Рекомендации NIPC и SANS просты, но
Знаете ли вы, что скрывается за каждой из них?
Готовы ли вы к их реализации?
Можете ли вы ждать или должны реагировать
немедленно?
Доверяете ли вы внешним организациям или
правоохранительным органам?
Есть ли специализированные структуры в вашем регионе?
 Может быть стоит задуматься о выстраивании
процесса управления инцидентами?
В полном или урезанном варианте
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 53/431

54. Аналогия
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 54/431

55. Сработала сигнализация автомобиля!
 Сел голубь или действительно взлом?
 Что делать в первую очередь?
 Надо ли отпугнуть грабителей?
 Надо ли звонить в милицию? По какому номеру?
 Почему именно моя машина?
 Что сделать, чтобы не повторилось?
 Как наказать грабителей?
 Надо ли сообщить о попытке взлома соседям и в
милицию?
 Может самому найти виновников?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 55/431

56. Управление
инцидентами
важно, но кто
должен это
делать?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 56/431

57. Виды расследования инцидентов
 Правоохранительные органы
МВД, Прокуратура, ФСБ…
 Как услуга
Детективные агентства, специализированные фирмы,
специализированные сервисы…
 Корпоративное (собственными силами)
Для традиционных инцидентов
Для выпускаемых продуктов и услуг
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 57/431

58. Органы
расследования
инцидентов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 58/431

59. Стоит ли звонить в
правоохранительные органы?
 Квалификация правоохранительных органов в
данном вопросе не очень высока
Зависит от региона РФ
Заранее уточните этот вопрос при установлении контакта с
правоохранительными органами
 Чего вы хотите добиться?
Поимки?
Наказания? Уголовного или административного?
Возмещения ущерба?
Вы обязаны сообщить в правоохранительные органы?
 Стоит ли овчинка выделки?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 59/431

60. Органы расследования США
U.S. Secret Service FBI NSA
• Основной орган • Расследование • Расследование
по инцидентов ИБ инцидентов,
расследованию • Аналитика и имеющих
«электронных» подготовка отношение к
инцидентов рекомендаций национальной
• Ведет дело на • Взаимодействие безопасности
протяжении всего с частными • В суд дела
жизненного службами передаются
цикла – от компьютерных через ФБР
приема расследований
заявления до • Ведет дело на
передачи дела в протяжении всего
суд жизненного
• Обучение цикла
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 60/431

61. Органы расследования России
Управление К УБЭП и др. ФСБ
• Основной орган • УБЭП • Расследование
по • Уголовный инцидентов,
расследованию розыск имеющих
«электронных» • ВОХР отношение к
инцидентов национальной
• И т.п.
• Ведет дело на безопасности
протяжении • В суд дела
всего передаются
жизненного через
цикла – от прокуратуру
приема
заявления до
передачи дела
в суд
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 61/431

62. Стандартная процедура расследования
 Получение сообщения об инциденте
 Начало производства по делу в соответствие с
действующим законодательством
 Установление причины инцидента
 Сбор и анализ доказательств
 Выявление виновных
 Привлечение к ответственности в соответствие с
действующим законодательством
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 62/431

63. Особенности расследований в США
 Прецедентное право
Решение суда является указанием для других судов
действовать также
 Объективное вменение
Нарушитель признается виновным при наступлении в
результате его действий общественно опасных последствий
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 63/431

64. Особенности расследований в РФ
 Прецедентного права нет
Есть «судебная практика», сформулированная в указаниях
Верховного Суда РФ
Формально, это рекомендация. Фактически – прецедент.
 Субъективное вменение
Необходимо доказать объективную сторону преступления
(факт преступления и участие конкретного лица) и
субъективную (осознание противоправного характера
действий подозреваемого, их последствий, а также прямого
умысла)
По «компьютерным делам» такой подход часто приводит к
прекращению дела
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 64/431

65. Другие отличия
 Роль прокуратуры
 Роль адвокатуры
 Кадровое обеспечение
 Контроль за деятельностью правоохранительной
системой
 Институт «сделки с правосудием»
США
 Институт прекращения уголовного дела на этапе
предварительного следствия по нереабилитирующим
основаниям
Россия
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 65/431

66. Особенности проведения
расследования
 Если представители правоохранительных органов не
имеют опыта работы с компьютерными
преступлениями, то необходимо
Включить (настоять на включении) в первичные следственные
действия представителей службы ИБ
Ваши представители должны иметь право решающего голоса
Консультировать правоохранительные органы
Обеспечить качественный сбор и надежное сохранение
доказательств
 Кто проводит экспертизу?
Экспертов в органах внутренних дел нет
Денег на оплату внешних экспертов нет
Либо личные связи ОВД, либо оплата из внебюджетных средств
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 66/431

67. Особенности проведения
расследования (окончание)
 Кто обеспечивает доказательную силу собранных при
расследовании материалов?
Отсутствие опыта у правоохранительных органов приводит к
ошибкам в сборе доказательств
Оспаривание таких доказательств в суде и на этапе
предварительного следствия
Необходимо контролировать и «направлять» сбор
доказательств
 Надо ли самостоятельно собирать доказательства?
Собранные лично или внешними экспертами доказательства
не являются доказательствами в уголовном процессе
Могут поставить под сомнение материалы, собранные
правоохранительными органами
Афишировать такие доказательства не стоит
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 67/431

68. Особенности взаимодействия
 Правоохранительные органы обязаны оперативно
реагировать на поступающие заявления невзирая на
общественную значимость и сумму нанесенного
ущерба
На практике, в регионах идет отказ от возбуждения дела или
начинается волокита – перенаправление жалобы в другие
подразделения ОВД, укрытие жалобы от учета и т.д.
 Стоит ли подавать жалобу в прокуратуру или суд на
бездействие ОВД
Только если вам важно наказать виновных в бездействии и
укрывательстве преступлений, а также вы хотите, чтобы вас
признали официально потерпевшим
Если попытаться «идти до конца», то через длительное время
дело прекращается в связи с неустановлением лица,
подлежащего привлечению к уголовной ответственности
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 68/431

69. Вас атакуют из-за границы?
 Шантаж с помощью бесплатных почтовых сервисов
(gmail.com, hotmail.com…)
 Загрузка вредоносного ПО с зарубежного Web-сайта
 DDoS-атака с зарубежных IP-адресов
 Использование зарубежного прокси-сервера
 Использование зарубежного анонимайзера
 Использование помощи зарубежных коллег/друзей
 Атаки на филиал заграницей
 Требование перевода денег через WebMoney или в
зарубежный банк
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 69/431

70. Вас атакуют из-за границы? (окончание)
 Как получить доказательства?
Собрать самостоятельно – в суде использовать нельзя
Обратиться в правоохранительные органы
 Две схемы взаимодействия
Через Следственный комитет при МВД РФ
Интерпол
Интерпол Местная
ОВД СК МВД в другой
в России полиция
стране
Через прокуратуру или ФСБ
Генеральная МИД другой Местная
Следователь МИД РФ Прокуратура
прокуратура страны полиция
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 70/431

71. Как происходит взаимодействие с
иностранными государствами
 Международное следственное поручение
Подробное описание расследуемого дела
Перечень запрашиваемых следственных действий
Страна, в которой будут проводиться следственные действия
 Местная полиция производит следственные действия
и отправляет все назад
На все уходит около месяца
Результаты приходят на национальном языке страны
Некоторые страны не считают обязательным исполнять
международные следственные поручения
Если подозреваемый относится к национальным или
религиозным меньшинствам или состоит в браке с
гражданином другой страны, то поручение также может
остаться без должного внимания
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 71/431

72. Как происходит взаимодействие с
иностранными государствами (окончание)
 Что если атака прошла через несколько государств?
Материалы местной полиции
передаются… автору международного
поручения, который формирует
новое поручение в новую США
страну…
 Полученные результаты
должны быть переведены … Чехия
и нотариально заверены Поручение
Где взять деньги на перевод и
нотариальное заверение?
Англия Украина
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 72/431

73. Сложность международного
расследования
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 73/431

74. Кто еще может помочь в
расследовании?
 Детективные агентства
 Специализированные
компании
IB Group - http://group-ib.ru/
 Операторы связи
 Центр независимой
комплексной
экспертизы и
сертификации систем
и технологий
http://www.cnkes.ru/
 CERT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 74/431

75. Мировые CERT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 75/431

76. Корпоративное или государственное?
Корпоративное расследование Государственное расследование
Проводится силами СБ или Проводится следственными
специализированной компанией органами
Сбор доказательств на Сбор доказательств в
добровольной основе соответствии с УПК РФ
Доказательства не имеют Результаты имеют доказательную
доказательной силы в уголовном силу
процессе
Сохранение в тайне факта Возможен факт утечки
инцидента информации
Наказание виновных только среди Применение к виновным
сотрудников (гражданская / уголовного наказания
дисциплинарная ответственность)
Ущерб возмещается в порядке Ущерб возмещается по приговору
гражданского судопроизводства суда вместе с наказанием
или неправовыми методами виновных (если их найдут)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 76/431

77. Резюме
«Следователь» Достоинства Недостатки
Служба • Гарантия сокрытия • Отсутствие опыта
безопасности факта утечки • Невозможность
предприятия • Оперативность привлечение к
• Низкая стоимость ответственности
виновного
• Риск использования
неправовых методов
Правоохранитель • Полное • Риск утечки
ные органы расследование информации
• Возможность • Неоперативность
компенсации ущерба • Отсутствие
• Привлечение к квалификации в
ответственности регионах
виновного • Все равно
• Бесплатно потребуется что-то
делать до прихода
милиции
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 77/431

78. Резюме (окончание)
«Следователь» Достоинства Недостатки
Специализирова • Оперативность • Высокая стоимость
нные компании • Высокая • Риск использования
квалификация неправовых методов
• Невозможность
привлечения к
ответственности
виновного
Друзья и • Низкая стоимость • Риск утечки
знакомые информации
• Некомпетентность и
неэффективность
• Риск использования
неправовых методов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 78/431

79. Так может и не стоит создавать свою
CSIRT?
 Даже в случае приглашения
специализированной компании
или правоохранительных
органов вам потребуется
Сообщить им об инциденте
Собрать первичную информацию
Не дать уничтожить следы
нарушителя
Координировать усилия между
департаментами компании и
внешними специалистами
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 79/431

80. С чего начать
построение
программы
управления
инцидентами?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 80/431

81. Какова ваша стратегия?
Защитить и забыть Задержать и наказать
• Событие – реальный инцидент? • Событие – реальный инцидент?
• Если это инцидент, блокируйте вторжение • Если это инцидент, то уведомьте
• Как был получен доступ и сколько систем правоохранительные органы
атаковано? • Документируйте инцидент
• Восстановите системы в предатакованное • Изолируйте атакованную систему
состояние • Заставьте нарушителя идти в honeypot (если
• Устраните способ проникновения возможно)
• Документируйте инцидент и ваши шаги • Идентифицируйте личность нарушителя
• Извлеките уроки • Как был получен доступ?
• Уведомьте руководство об инциденте • Устраните проблемы на всех неатакованных
еще системах
• Блокируйте вторжение, когда собраны
доказательства или возникла угроза бизнесу
• Документируйте текущее состояние
атакованных систем
• Восстановите атакованные системы
• Устраните способ проникновения
• Оцените стоимость обработки инцидента в
рублях и человеко-часах
• Защите собранные доказательства
• Извлеките уроки
• Уведомьте руководство об инциденте
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 81/431

82. С чего начать?
 Соберите информацию
Какие из процессов управления инцидентами у вас уже
реализованы?
В каком объеме?
Роли и обязанности участников
Описанные процедуры и процессы
Насколько существующие процессы увязаны с целями
организации и стратегией ИБ?
Какие технологии, оборудование и оргмеры применяются?
Какие из активностей выполняются в рамках других
процессов?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 82/431

83. С чего начать? (окончание)
 Поймите
Насколько вас устраивают существующие процессы?
Что нуждается в улучшении?
Чего вам не хватает?
Что вы хотите добавить сейчас, а что оставить на потом?
Что вы не будете реализовывать из описываемых далее
процессов (например, «защиту инфраструктуры»)?
Может быть вы хотите внедрить только один из подпроцессов
(например, расследование или взаимодействие с
правоохранительными органами)?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 83/431