8 (800) 302-85-23

21.06.2024

Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности
Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Вебинар

30 июля | 12:00 МСК

Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Зарегистрироваться

Получить консультацию по Solar Dozor

Каждая компания независимо от масштабов и сферы деятельности располагает данными, которые представляют интерес для злоумышленников. Несмотря на предпринимаемые меры защиты информации, полностью исключить угрозы невозможно. Усилия компании также должны быть направлены на формирование оптимальных сценариев реагирования на атаки и внутренние нарушения, оперативное расследование инцидентов. Разберемся в нюансах этих процессов и рассмотрим программные решения, которые помогут службе безопасности быстрее установить причастных лиц.

Что такое инцидент информационной безопасности

Инциденты информационной безопасности — события, которые негативно влияют на целостность и доступность информационных систем и конкретных категорий данных, приводят к нарушению конфиденциальности сведений. Например, это могут быть кибератаки различного характера или кражи данных инсайдерами.

Инциденты условно разделяют на четыре категории опасности по степени приносимого ущерба:

  • Первая — события, сопряженные с максимальными рисками, то есть серьезным финансовым и репутационным ущербом для компаний.
  • Вторая — инциденты, которые с высокой степенью вероятности негативно повлияют на деятельность компании.
  • Третья — инциденты, способные принести незначительный ущерб и сказаться на репутации организации.
  • Четвертая — происшествия, которые не принесут серьезных негативных последствий.

В связи с этой классификацией существует приоритетность реагирования на инциденты. Например, в случае вовремя выявленных массовых утечек данных и мощных кибератак у специалистов службы безопасности есть не более 1 часа на принятие мер — это максимальная приоритетность. Высокая дает 4 часа на реагирование и расследование инцидентов, средняя — до 8 часов. Также существует низкая приоритетность, в рамках которой временные промежутки не регламентированы.

инцидент информационной безопасности

Политика информационной безопасности

Меры защиты от угроз и нюансы расследования инцидентов регламентируются внутренними политиками безопасности. Они представляют собой набор правил, норм и практических рекомендаций. На этих регламентах выстраиваются процессы взаимодействия с информационными системами и данными, методы сохранения конфиденциальности и целостности корпоративных сведений.

Компании формируют политики безопасности на базе актуальных законодательных и отраслевых норм с опорой на специфику деятельности, особенности информационных систем, численность штата. Правила обязательно должны быть утверждены, задокументированы и представлены персоналу с указанием мер ответственности за нарушения.

События информационной безопасности

Под событиями информационной безопасности подразумевают идентифицированные состояния информационной системы, которые могут указывать на возможные нарушения внутренних политик безопасности, различные угрозы. Однако это не всегда так — иногда проблемы связаны с техническими временными сбоями или другими происшествиями, не несущими прямой угрозы конфиденциальным данным. Чтобы разобраться с характером событий, в любом случае требуется провести расследование инцидентов информационной безопасности.

Реагирование на инциденты информационной безопасности

Под реагированием понимают комплексные мероприятия по обнаружению событий, угрожающих безопасности информационных систем, их купирование. Цель — не допустить глобальных последствий для организации и как можно скорее вернуться к прежнему режиму работы.

Существует шесть типовых этапов реагирования на инциденты:

  • Подготовка. Это этап, не связанный с конкретным инцидентом. Он включает исследование актуальных угроз, оценку степени их опасности, проработку превентивных мер защиты и сценариев действий в случае атак. Также на данном этапе решается, как будет проводиться расследование тех или иных инцидентов информационной безопасности.
  • Идентификация события, то есть его обнаружение. Иногда удается выявить инцидент по факту возникновения, но во многих случаях сильно позже.
  • Сдерживание — прекращение угрозы, работа над сбором доказательной базы и сохранием конфиденциальности информации.
  • Ликвидация последствий инцидента. Например, восстановление документов из бэкапа (резервных копий), переустановка компонентов системы, повторное подключение устройств, проверка на корректность работы и т.д. Точный комплекс мер определяется по результатам расследования инцидентов.
  • Возвращение к деятельности, то есть попытки выстроить полноценную работу компании на том же уровне, который был до негативного события.
  • Усиление защиты информационных систем: внедрение новых программных и технических инструментов, пересмотр сценариев реагирования, обучение сотрудников и др.

Для профилактики, предотвращения и проведения расследований инцидентов внутренней безопасности целесообразно использовать системы DLP (Data Loss Prevention) — программные продукты, которые созданы для мониторинга информационного периметра, контроля каналов передачи информации, проверки соблюдения политик безопасности. При обнаружении внутренних нарушений в зависимости от настройки они могут реагировать в режиме противодействия, например, блокировать передачу, копирование или печать документов – или в режиме мониторинга с отправкой уведомлений в службу безопасности.

реагирование на инцидент информационной безопасности

Расследование инцидентов офицером безопасности

Процесс расследования инцидентов условно делится на три этапа:

  • Реагирование на инцидент — комплекс мер по обнаружению угрозы и ее ликвидации.
  • Анализ событий. В первую очередь офицер службы безопасности пытается определить источник угрозы, будь то конкретный сотрудник или уязвимость в информационных системах.
  • Сбор фактов и доказательной базы. Это ключевой этап расследования инцидентов информационной безопасности. Важно доказать вину нарушителей и принять комплекс мер, чтобы предотвратить повторные угрозы.

В анализе событий и сборе доказательной базы по внутренним нарушениям тоже помогут DLP. Например, Solar Dozor формирует детальное досье на каждого сотрудника и хранит всю информацию об активности за рабочей станцией и коммуникациях персоны. Система генерирует подробные отчеты и визуальные срезы в удобных для расследования форматах. Для выявления соучастников инцидента можно анализировать беседы нарушителя в почте и мессенджерах, а также воспользоваться маршрутом движения документов – этот отчет наглядно демонстрирует кому и когда передавались данные, по каким каналам, были ли отправлены на печать или записаны на USB-накопитель. DLP-системы воссоздают контекст инцидента для сбора доказательной базы и упрощения расследования инцидентов.

Меры и способы предотвращения инцидентов информационной безопасности

Система защиты складывается из организационных мер, программных и технических средств обеспечения безопасности. К первым относятся: формирование регламентов компании и порядка работы с данными, контроль соблюдения политик, инструктажи и тренинги для персонала. Обучением нельзя пренебрегать, поскольку знание основ кибербезопасности позволяет в разы снизить риски инцидентов. Что включает информирование сотрудников:

  • Знакомство с основами кибергигиены и формирование культуры информационной безопасности.
  • Оглашение регламентов компании и мер ответственности за их нарушение.
  • Перечисление методов защиты от угроз и способов расследования инцидентов информационной безопасности.
  • Формирование основ трудовой дисциплины.

Из программных и технических средств должны присутствовать: межсетевые экраны для фильтрации трафика, прокси, категоризаторы веб-ресурсов, системы предотвращения вторжений, решения для управления доступом к данным и т.д. И, конечно, DLP-система для предотвращения утечек информации, анализа действий пользователей.

предотвращения инцидентов информационной безопасности

ЗАКЛЮЧЕНИЕ

DLP-система Solar Dozor станет главным помощником в расследовании инцидентов внутренней информационной безопасности. Благодаря ей можно не только определить нарушителей, но и заметить предпосылки к реализации угроз. В продукт заложена уникальная технология UBA (Behavior Analytics), которая позволяет анализировать поведение сотрудников по различным паттернам, выявлять рабочие и личные контакты. Еще один важный модуль — «Досье». Он отслеживает все действия пользователя за рабочей станцией. Таким образом, офицеры службы безопасности могут моментально и однозначно определить нарушителя в рамках расследование инцидентов.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше
Мониторинг деятельности сотрудников: как организовать и внедрить

Мониторинг деятельности сотрудников: как организовать и внедрить

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.