Співпраця і оперативне реагування як найважливіша основа забезпечення інформаційної безпеки

У даній статті описуються основні розділи регламентів реагування на інциденти інформаційної безпеки, що зачіпають інформаційні системи і веб-ресурси організацій і підприємств. Детально розкриваються типові дії, які повинні виконуватися персоналом організацій і підприємств при виникненні інцидентів інформаційної безпеки, а також аналізується система реагування на інциденти і взаємодія груп реагування з провайдерами послуг мереж телекомунікацій.

Реагування на виникаючі надзвичайні ситуації (інциденти), пов'язані з порушенням інформаційної безпеки, є таким же важливим напрямком роботи, як і побудова системи захисту і запобігання порушенням. Під інцидентом, як правило, розуміється будь-яке відхилення від нормального процесу використання інформаційних ресурсів і функціонування інформаційних систем, що спричинило збитки для певних інформаційних активів підприємства або безпосередньо створює загрозу нанесення такої шкоди.

Надзвичайна ситуація (інцидент), пов'язана з порушенням інформаційної безпеки, може бути обумовлена:

• руйнівним впливом на весь майновий комплекс підприємства при виникненні стихійних факторів (повінь, пожежа, землетрус і т.п.) або цілеспрямованим нападом (підрив, підпал, руйнування будівель і приміщень і т.п.);
• негативним впливом виключно на інформаційні ресурси підприємства (як правило, здійснюються віддалено, з використанням телекомунікаційних каналів).

У загальному випадку організаційні процедури (регламенти) реагування на надзвичайні ситуації повинні включати в себе:

• регламенти альтернативних процесів обробки інформації (в тому числі, можливо, і без використання засобів автоматизації) на період виходу з ладу основних інформаційних ресурсів;
• визначення груп персоналу, відповідальних за виконання тих чи інших функцій у разі виникнення надзвичайної ситуації, а також визначення процедур взаємодії між групами і окремих груп з керівництвом підприємства;
• технічну та організаційну документацію, необхідну для відновлення інформаційних систем і даних після надзвичайної ситуації;
• порядок зберігання архівних (резервних) копій даних і програмних додатків обробки даних в місцях, захищених від механічних впливів, крадіжок, повеней, пожеж і т.п. (В т.ч., можливо, в місцях, територіально віддалених від основних місць зберігання та обробки інформації);
• угоди з постачальниками програмних і апаратних засобів, що входять в інформаційну інфраструктуру підприємства, про термінову поставку компонент, що вийшли з ладу і вимагають заміни в разі надзвичайної ситуації.

Процес реагування на такого роду інциденти включає в себе чотири основні етапи:

1. Виявлення нападу;
2. Локалізація нападу;
3. Ідентифікація нападників;
4. Оцінка і подальший аналіз процесу нападу і його обставин.

Виявлення атак і розпізнавання вторгнень, як правило, є інженерно-технічним завданням, розв'язуваної за допомогою спеціальних програмних і іноді апаратних засобів. Зокрема, виявлення може здійснюватися на основі аналізу мережевого трафіку і журналів (лог-файлів), в яких фіксуються різні дії. Виявлення може здійснюватися на основі т.зв. сигнатур - формалізованих наборів ознак певних вірусів, типів атак і т.п. Також, очевидно, джерелом інформації про порушення є повідомлення користувачів про відхилення в роботі інформаційних систем і поява явних негативних наслідків відбулися порушень.

Для забезпечення своєчасного виявлення порушень підприємство повинно організувати постійну (при необхідності - цілодобову) роботу фахівців, що відповідають за дозвіл інцидентів. Для цього може бути обраний один з можливих підходів:

• організація власної чергової служби, що складається з компетентних фахівців, які несуть позмінне чергування і оснащених засобами мобільного зв'язку;
• залучення сторонньої організації, що спеціалізується на наданні подібних послуг.

При цьому співробітники підприємства повинні знати номери телефонів та інші способи зв'язку, за допомогою яких вони могли б оперативно повідомляти черговим фахівцям про всі події. Важливість організації якомога більш оперативного інформування фахівців з безпеки і, відповідно, якомога більш оперативного реагування обумовлена ​​тим, що виявлення нападу і момент опору в той час, як сам напад ще триває, в більшості випадків може бути набагато більш ефективним, ніж реагування після закінчення нападу.

Виявлення порушень може бути здійснено не тільки по явним ознаками, таким як повідомлення користувачів про припинення функціонування окремих елементів інформаційних систем, одночасне використання одного облікового запису на кількох робочих станціях або явне виявлення вірусів в даних, переданих по локальній мережі, а й за деякими непрямими ознаками (аномальних явищ), які в окремих випадках можуть свідчити (а можуть і не свідчити) про порушення. Прикладами таких непрямих свідчень можуть бути:

• використання інформаційних систем і певних облікових записів в нехарактерне час (рано вранці, пізно ввечері і т.п.);
• різке нехарактерне підвищення навантаження на інформаційні системи або їх окремі елементи (сегменти мережі, сховища даних і т.п.);
• зміна характеру поведінки користувачів (наприклад, послідовності певних дій при використанні інформаційної системи) та інші.

Для більш ефективного аналізу таких непрямих ознак і інтерпретації різних фактів фахівцям з реагування на інциденти може знадобитися аналіз функціональності інформаційних систем і взаємодія аналітиків департаменту інформаційної безпеки з користувачами (вивчення особливостей їх роботи). Також для автоматизації такого аналізу можуть бути використані спеціальні програмні засоби, автоматично здійснюють статистичний аналіз мережевого трафіку і інших елементів інформаційної інфраструктури і сигналізують при виявленні аномальної активності, для того щоб адміністратори могли провести подальший якісний аналіз виявлених відхилень і при необхідності зробити активні дії у відповідь. В цілому, розробка та вдосконалення таких засобів аналізу в складі комплексних систем виявлення вторгнень є одним з перспективних напрямків розвитку засобів захисту інформації.

Таким чином, основним завданням на початковому етапі реагування є визначення характеру порушень і достовірне встановлення того, що виявлені аномальні події, дії і характеристики є дійсно порушеннями, а, наприклад, не проявом особливостей роботи програмного забезпечення.

Одним з найважливіших організаційних аспектів реагування на інциденти (і, зокрема, на окремі сигнали про деякі події) є та обставина, що може відбуватися більш-менш часте надходження хибних сигналів (помилкових чи спеціально спровокованих) про деякі події, і реакція персоналу департаменту інформаційної безпеки з часом може поступово слабшати (так само, як, наприклад, може притупитися увагу при частих помилкових спрацьовування охоронної сигналізації).

Також значущим питанням організації роботи з користувачами в ситуаціях реагування на інциденти є те, що взаємодія між користувачами і групами реагування, а також різних груп реагування між собою по можливості необхідно здійснювати за спеціальними захищеними каналами зв'язку.

Локалізація та усунення наслідків є основним етапом, в рамках якого, власне, здійснюється реагування на інцидент. На цьому етапі відбувається:

• визначення конкретних параметрів порушення (нападу), його характеру (конкретних сегментів мережі, серверів, груп робочих станцій, додатків, порушених нападом);
• попередній аналіз дій порушника і сценарію події (що відбувається) нападу, алгоритму роботи з'явився вірусу і т.п .;
• блокування дій порушника (якщо порушення є триваючим);
• блокування (повне або часткове) роботи інформаційної системи (сервера, бази даних, сегмента мережі і т.п.) з метою недопущення подальших руйнівних дій, поширення шкідливих програм або витоку конфіденційної інформації.

Припинення нападу і відновлення нормальної роботи інформаційних систем може зажадати скоординованих дій не тільки самих співробітників департаменту інформаційної безпеки, але і:

• фахівців ІТ-підрозділів, що відповідають за яких атакували інформаційні сервіси;
• користувачів атакованих інформаційних систем;
• підприємств-партнерів, що мають відношення до атакованим інформаційних ресурсів;
• розробників і постачальників атакованих інформаційних систем;
• постачальників телекомунікаційних послуг, через яких здійснюється атака;
• сторонніх консультантів, що спеціалізуються на відповідних проблемах інформаційної безпеки.

Одним з найбільш важливих обставин роботи на даному етапі є те, які повноваження має фахівець (черговий), що відповідає за реагування на інциденти. Зокрема, необхідно заздалегідь передбачити можливість оперативного самостійного відключення тих чи інших інформаційних сервісів фахівцями з реагування на інциденти (самостійно, або через відповідне ІТ-підрозділ). Особливу важливість має здатність відповідальних фахівців оперативно оцінити ситуацію, провести її аналіз (в більшості практичних ситуацій це необхідно буде робити за неповними даними про нападаючої стороні) і прийняти рішення про припинення роботи тих чи інших інформаційних сервісів, до виявлення і усунення загроз і / або введення в дію додаткових коштів протидії вторгненням. При прийнятті такого рішення необхідно враховувати (як правило, на основі експертних оцінок) як можливий збиток, який може бути викликаний виявленим порушенням, так і можливі збитки від зупинки інформаційних сервісів, яка (зупинка) може бути здійснена з метою запобігання шкоди від дій нападаючої сторони . Характерним прикладом такої ситуації є напад на систему електронної торгівлі, коли нападаюча сторона може завдати серйозної шкоди (викрасти конфіденційну інформацію учасників торгових угод, самостійно вчинити незаконні угоди від імені учасників торгової системи і т.п.), а зупинка сервісу з метою запобігання такого збитку може привести до втрат, пов'язаних з упущеною вигодою від недосконалих угод і шкодою для ділової репутації. Іншим прикладом такої ситуації є реагування на розподілені атаки типу «відмова в обслуговуванні» (Distributed Deny of Service, DDoS), часто здійснюються на сервери в мережі Інтернет, коли може бути необхідно на деякий час повністю відключити сервер як на шкоду користувачам, так і в збиток власникам інформаційних ресурсів, розташованих на сервері.

Саме в даних можливих ситуаціях особливо гостро постає питання про співпрацю в області реагування розслідування інцидентів інформаційної безпеки щодо веб-ресурсів між провайдерами послуг мереж передачі даних і організаціями, що здійснюють діяльність з реагування та розслідування інцидентів ІБ. Зокрема, основними цілями локальних актів або угод про співпрацю і кооперацію можуть бути:

• збір, аналіз і накопичення даних про сучасні загрози інформаційної безпеки, вироблення рекомендацій та пропозицій щодо ефективного прийняття організаційних і програмно-технічних заходів, що забезпечують запобігання неправомірному втручанню в роботу веб-сайтів і ІС;
• організація спільної роботи з провайдерами з питань усунення наслідків і причин виявлених інцидентів ІБ щодо веб-сайтів і ІС;
• своєчасне оповіщення власників скомпрометованих веб-сайтів і ІС про виявлені інциденти ІБ, надання їм консультаційної та технічної підтримки з питань розслідування інцидентів та вжиття заходів щодо їх подальшого запобігання;
• підвищення ефективності робіт, пов'язаних зі своєчасним аналізом причин, способів і обставин здійснення неправомірного втручання в роботу веб-сайтів і ІС;
• розвиток співпраці з метою організації практичної взаємодії в області реагування, розслідування і подальшого запобігання інцидентів ІБ щодо веб-сайтів і ІС;
• сприяння в забезпеченні інформаційної безпеки веб-сайтів і ІС.

Основою для прийняття рішень може бути заздалегідь сформований перелік (довідник) можливих основних інцидентів і ознак порушень (проникнень), в якому може бути приведена оцінка ризиків сумарних втрат і рекомендовані дії для кожного типу порушень (в тому числі і перелік ситуацій, коли необхідно здійснити відключення сервісів, щоб уникнути витоку або порушення цілісності інформації, що є найбільш критичною для всієї діяльності підприємства).

Ідентифікація нападника (або джерела розповсюдження шкідливих програм) є важливим кроком в процесі реагування, наступним безпосередньо за локалізацією нападу. У разі, якщо напад здійснювалося з локальної мережі підприємства, при належному дотриманні внутрішніх режимних правил ця задача може виявитися досить легкою. У разі, якщо напад було скоєно ззовні, завдання ідентифікації нападників принципово ускладнюється і в деяких ситуаціях проблема стає практично нерозв'язною.

Як правило, для виявлення джерела нападу необхідно:

• детально вивчити всі технічні аспекти нападу;
• провести якісний аналіз процесу нападу в контексті функціонування атакується системи захисту інформації;
• організувати взаємодію зі сторонніми організаціями, які можуть сприяти в ідентифікації нападника.

Однією з найбільш важливих завдань аналізу процесу нападу є встановлення тієї інформації, яка була відома нападаючим до початку нападу і якою вони скористалися для здійснення цього нападу. Зокрема, в процесі такого аналізу з певним ступенем упевненості можна встановити, що до початку нападу зловмисникам були відомі:

• інформація про структуру та склад атакується інформаційної системи (використовувані програмні і апаратні засоби, їх архітектура і використовувані настройки);
• відомості про режим роботи організації і функціонування окремих елементів інформаційної системи. Відомості про регламент деяких бізнес-процесів підприємства;
• конкретні ідентифікаційні дані (імена користувачів, паролі), необхідні для проникнення в інформаційну систему і / або правила (алгоритми) їх генерації.

Узагальнення всіх цих відомостей може допомогти встановити, які контакти були у нападників з атакується компанією (а які не були творені), і, зіставляючи факти, а також користуючись методом виключення, постаратися обмежити коло осіб, які потенційно могли бути причетні до організації даного інциденту.

Виходячи з вищевикладеного, можна виділити основні завдання співпраці в області реагування на інциденти ІБ:

• Виявлення інцідентів ІБ, оперативніше оповіщення провайдерів и власніків веб-сайтів и ІС про віявлені інціденті ІБ з метою Прийняття своєчасніх ЗАХОДІВ реагування;
• Усунення НАСЛІДКІВ інцідентів ІБ, подалі аналіз причин, способів и обставинних Здійснення неправомірніх Дій относительно веб-сайтів и ІС;
• Надання провайдерам и власникам веб-сайтів и ІС рекомендацій относительно Запобігання інцідентів ІБ, моніторинг їх реализации и Подальшого забезпечення Виконання вимог інформаційної безпеки.

У свою чергу, проведення такого аналізу буде можливо тільки в тому випадку, якщо всі інформаційні системи і системи захисту інформації налаштовані належним чином (зокрема, в них ведуться всі необхідні системні журнали) та системні дані не були пошкоджені в процесі нападу.

Другим важливим напрямком організаційної та аналітичної роботи при встановленні (ідентифікації) нападників, які вчинили напад ззовні, є взаємодія з адміністраторами систем (телекомунікаційних мереж, комп'ютерів, що використовувалися в якості проксі-серверів, і т.п.), з використанням яких було здійснено напад. Підходи до такої взаємодії в кожному конкретному випадку, швидше за все, будуть індивідуальними і можуть залежати від політики розкриття інформації адміністрації тієї мережі або вузла, через який здійснювалася атака. Також можуть бути зроблені дії для того, щоб в судовому порядку або із залученням правоохоронних органів зобов'язати адміністрації таких мереж і вузлів надати необхідну інформацію, пов'язану з тим, що сталося нападом.

Процес ідентифікації повинен, по можливості, проводитися з урахуванням того, що згодом необхідно буде використовувати інформацію про нападників як доказ в кримінальному процесі. Зокрема, при знятті (копіюванні) необхідних лог-файлів з атакованих комп'ютерів представниками правоохоронних органів, які ведуть слідство у даній справі, повинні бути дотримані всі процесуальні формальності, передбачені кримінально-процесуальним законодавством. Однією з особливостей процедури вилучення доказів у потерпілої сторони в цьому випадку є те, що поняті, присутні при вилученні, повинні по можливості мати хоча б загальне уявлення про сенс виробленої процедури. Також на цьому етапі при необхідності може бути проведена техніко-криміналістична експертиза комп'ютерних систем.

Одним із заключних кроків процесу реагування на інцидент є оцінка та аналіз процесу нападу і його обставин. Цей аналіз необхідно проводити в контексті цілей і завдань функціонування всього підприємства, з урахуванням результатів роботи по ідентифікації осіб, які вчинили напад. Основні завдання аналітичної роботи на даному етапі:

• аналіз цілей і мотивів нападників;
• аналіз фундаментальних (організаційних і технічних) причин, які зробили напад можливим і успішним (якщо воно було успішним);
• аналіз наслідків (в тому числі і довгострокових) нападу для всієї діяльності підприємства;
• аналіз і оцінка роботи персоналу і взаємин з підприємствами-партнерами (в тому числі і з постачальниками інформаційних систем і засобів захисту інформації).

Саме на даному етапі провайдери і компетентні органи повинні підтримувати розвиток співробітництва шляхом:

• прийняття спільних заходів щодо виявлення та усунення порушень нормального функціонування веб-сайтів і ІС;
• створення умов для ефективного реагування та розслідування виявлених інцидентів ІБ;
• постійного обміну інформацією з питань інформаційної безпеки.

Результатом аналізу повинні бути висновки, які можуть послужити основою для організаційної роботи в різних напрямках:

• коригування і уточнення політики інформаційної безпеки підприємства;
• проведення додаткової роботи з персоналом підприємства (покарання, заохочення, додаткове навчання і т.п.);
• проведення додаткової роботи з персоналом департаменту інформаційної безпеки підприємства, а також персоналом ІТ-служб;
• перегляд взаємовідносин з контрагентами підприємства (покупцями, постачальниками тощо), що мають доступ до його інформації, що захищається або інформаційним системам;
• залучення сторонніх консультантів з інформаційної безпеки і фахівців по засобах захисту інформації;
• ініціювання технічного переоснащення окремих ділянок інформаційної інфраструктури підприємства.

Таким чином, аналіз і всебічна оцінка інцидентів є відправною точкою для реалізації комплексу заходів щодо вдосконалення системи забезпечення інформаційної безпеки на підприємстві. Всі ці заходи повинні в майбутньому знизити ймовірність аналогічних інцидентів, а також зменшити ймовірність нанесення істотного збитку в разі їх повторення.

Заключним етапом процесу реагування також є усунення негативних наслідків нападу - локалізація збитку, заподіяного подією порушенням. Ця робота може включати в себе:

• зміну скомпрометованих паролів окремих користувачів;
• переустановку пошкоджених операційних систем, а також пошкодженого програмного забезпечення;
• відновлення порушеної конфігурації (налаштувань) програмного забезпечення і операційних систем;
• відновлення пошкодженої інформації (баз даних, файлів) як з раніше створених резервних копій, так і іншими способами.

В процесі відновлення працездатності інформаційних систем на деякий час можуть бути задіяні резервні (альтернативні) апаратні і програмні платформи.

Крім того, необхідним завершальним кроком може бути додаткова інформаційна робота, яка може в себе включати:

• розсилку користувачам інформації про що відбулися інциденти (у вигляді спеціальних листів);
• додаткову інформаційну роботу з постачальниками інформаційних систем і підрядниками, які здійснювали їх поставку, впровадження та налаштування.

Виходячи з усього перерахованого вище, можна зробити висновок, що особливо складним є взаємодія між правоохоронними органами, організаціями, що здійснюють діяльність із забезпечення інформаційної безпеки, і постачальниками послуг передачі даних. Постачальники послуг мають інформацію про абонентів, рахунками-фактурами, деякими журналами зв'язку, інформацією про місцезнаходження і зміст даних, в зв'язку з чим саме створення та підписання угоди про взаємодію та співробітництво повинно покласти основу для оптимального захисту інформаційних ресурсів та забезпечення інформаційної безпеки на всебічному рівні .

Автори: Максадхан Якубов, доктор технічних наук, професор Ташкентського університету інформаційних технологій,

Богдан Шкляревский, провідний спеціаліст Центру забезпечення інформаційної безпеки Міністерства з розвитку інформаційних технологій і комунікацій Республіки Узбекистан.