Weitere ähnliche Inhalte
Ähnlich wie Incident management (part 2) (20)
Mehr von Aleksey Lukatskiy (15)
Incident management (part 2)
- 1. Как создавать
CSIRT?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 84/431
- 2. Аббревиатуры CSIRT
Аббревиатура Расшифровка
CSIRT Computer Security Incident Response Team
CIRC Computer Incident Response Capability или Center
CSIRC Computer Security Incident Response Capability
CIRT Computer Incident Response Team
Incident Response Center or Incident Response
IRC
Capability
IRT Incident Response Team
IHT Incident Handling Team
SERT Security Emergency Response Team
SIRT Security Incident Response Team
CERT – зарегистрированная торговая марка
CERT/CC
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 85/431
- 3. План создания CSIRT
Идентифицируйте стейкхолдеров и участников
Получите поддержку руководства
Разработайте план проекта
Соберите информацию
Идентифицируйте клиентов и задачи, решаемые
CSIRT
Определите миссию CSIRT
Получите бюджеты для CSIRT
Выберите сервисы, оказываемые CSIRT
Определите модель, место в иерархии и власть CSIRT
Определите требуемые ресурсы
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 86/431
- 4. План создания CSIRT (окончание)
Определите взаимодействия, интерфейсы и точки
контакта
Определите роли и ответственность
Документируйте процессы
Разработайте политики и процедуры
Создайте план внедрения
Анонсируйте CSIRT, когда будете готовы
Определите методы оценки эффективности CSIRT
Определите резервный план для каждого элемента
CSIRT
Будьте гибки
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 87/431
- 5. Ключевые элементы работы CSIRT
Сервисы
Политики
Качество
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 88/431
- 6. Идентифицируйте
участников и
стейкхолдеров
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 89/431
- 7. Кто отвечает за управление
инцидентами?
Служба CSIRT
Служба безопасности
Кто «поговорит по душам» с внешним нарушителем?
Служба персонала
Кто будет взаимодействовать с сотрудниками, виновными в
совершении противоправных действий?
Юридическая служба
Кто проконсультирует в отношении законодательства,
связанного с компьютерными преступлениями или с
нарушением договорных обязательств?
PR-служба
Кто сообщит журналистам новость об утечке информации о
клиентах? Кто уменьшит негативный ущерб от публикаций?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 90/431
- 8. Кто отвечает за управление
инцидентами? (окончание)
Служба ИТ
Кто обновит систему и устранит уязвимости?
Служба ИБ
Кто разъяснит причину инцидента и сможет изменить
политики безопасности?
Рядовые пользователи
Кто сообщит в CSIRT об инциденте?
Управление инцидентами происходит в масштабах
всего предприятия и с участием различных категорий
и ролей сотрудников
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 91/431
- 9. Получите
поддержку
руководства
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 92/431
- 10. Получение поддержки
Найдите executive sponsor
Представьте бизней-кейс с преимуществами
создания CSIRT
Получите поддержку руководства в части
расходования времени и бюджета
Словесная поддержка мало чего стоит
Донесите идею CSIRT и ее преимуществ до бизнес-
руководителей
Пусть руководство от своего имени анонсирует
проект по созданию CSIRT и попросит сотрудников
компании помочь на этапе планирования и внедрения
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 93/431
- 11. Бизнес-план CSIRT
В чем проблема?
ИТ/ИБ становится частью бизнеса компании или ИБ-риски
становятся бизнес-рисками
ИТ-инциденты управляются через Service Desk, а ИБ-
инциденты управляются неэффективно и на нерегулярной
основе
Требуется более структурированных подход и иные знания,
чем в управлении ИТ-инцидентами
Чего вы хотите достичь для клиентов?
Снижение бизнес-рисков
Повышение эффективности управления ИБ
Рост культуры ИБ на предприятии и, как следствие, снижение
в долгосрочной перспективе затрат на обеспечение ИБ
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 94/431
- 12. Бизнес-план CSIRT (окончание)
Что произойдет, если ничего не делать?
Ущерб, регулятивные риски, удар по репутации
Что произойдет, если вы что-то сделаете?
Предотвращение потерь, снижение рисков
Какова стоимость?
Бюджет на CSIRT (обсуждается далее)
Какова прибыль?
В истинном значении этого слова прибыли может и не быть
(если не применять специальные методики)
Рост прозрачности управления, снижение затрат на
управление инцидентами и ИБ
Когда вы планируете стартовать и когда завершить?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 95/431
- 13. Стоимость
инцидента
В помощь бизнес-кейсу
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 96/431
- 14. Проект ICAMP ICAMP II
1998 и 2000 года – проект по анализу стоимости
инцидента
Компрометация системы - $1800
Вредоносный код - $980
Отказ в обслуживании - $22350
Атака хакеров - $2100
Загрузка нелицензионного ПО и контента - $340
На базе проекта ICAMP Дэвид Диттрих предложил
свой подход к оценке стоимости инцидента
Время и деньги, потраченные на расследование и
восстановление системы
Замена ПО, оборудования, информации + новые системы
защиты
InfoSecurity 2008
Потеря продуктивности пользователей
© 2008 Cisco Systems, Inc. All rights reserved. 97/431
- 15. Формы потерь от инцидента
• Простои
Продуктивность • Ухудшение психологического климата
• Расследование инцидента
Реагирование • PR-активность
• Замена оборудования
Замена • Повторный ввод информации
• Судебные издержки, досудебное урегулирование
Штрафы • Приостановление деятельности
• Ноу-хау, государственная, коммерческая тайна
Конкуренты • Отток клиентов, обгон со стороны конкурента
• Гудвил
Репутация • Снижение капитализации, курса акций
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 98/431
- 16. Разработайте
план проекта
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 99/431
- 17. Управление проектом
Команда проекта
Лидер проекта
Применяйте теорию
управления
проектами при
формировании
CSIRT
Требуемые время,
люди и деньги
Риски и меры по
управлению ими
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 100/431
- 18. Соберите
информацию
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 101/431
- 19. Сбор информации
Что нужно клиентам и иным заинтересованным
сторонам?
Какие инциденты уже были на предприятии?
Позволит понять, что может делать существующая CSIRT и
что еще понадобится
Как предприятие боролось с инцидентами в
прошлом?
Определите окружение, в котором будет строиться
CSIRT
Политика, бизнес, культура, юридические вопросы
Определить владельцев данных или
интеллектуальной собственности, используемой в
работе CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 102/431
- 20. Сбор информации (окончание)
Какие правила влияют на CSIRT?
Открытые, закрытые, государственные, международные,
нормативно-правовые акты…
История создания CSIRT в организации
Кто-нибудь уже пытался создать CSIRT ранее?
Ему это удалось? Почему?
Какие технологии используются на предприятии?
ПО, приложения и аппаратное обеспечение
Домены и IP-адреса, принадлежащие предприятию и его
контрагентам
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 103/431
- 21. Идентифицируйте
клиентов, в
интересах которых
работает CSIRT и
ее задачи
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 104/431
- 22. Клиенты CSIRT
Определите для себя, кого будет обслуживать
CSIRT?
Определение круга клиентов может зависеть от ряда
критериев
Национальный
Географический
Политический
Технический
Организационный
Провайдер связи
Контрактный
Самое простое – определить клиентов для
корпоративной CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 105/431
- 23. Задачи CSIRT
Какие типы сервисов будет оказывать CSIRT своим
клиентам?
Как клиенты будут получать сервисы CSIRT?
Есть ли клиенты, которых вы не готовы поддерживать
сейчас, но готовы поддерживать в будущем?
Что вы ответите клиентам, которых вы не
обслуживаете?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 106/431
- 24. Примеры задач CSIRT
Повышение уровня Интернет-безопасности
предприятия
Неконкретно, но хоть что-то
Помощь предприятию в предотвращении инцидентов
ИБ
Рост осведомленности предприятия в области ИБ
Реагирование на инциденты ИБ
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 107/431
- 25. Определите
миссию CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 108/431
- 26. Миссия CSIRT
Многие CSIRT выполняют свою работу, не
задумываясь о своей миссии и целях или не доводят
их до заинтересованных сторон
Результат: бесполезные или напрасные трата усилий
и ресурсов (это опасно в условиях инцидента) в
попытке
Правильно расставить приоритеты в деятельности
Понять, следует ли реагировать в той или иной ситуации
Определить, не пора ли изменить качество и состав
реализуемых сервисов
До определения четких и понятных задач и целей
ситуация вряд ли улучшится
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 109/431
- 27. Миссия CSIRT
Миссия не должна быть неоднозначной
Миссия должна описываться 3-4 предложениями
Миссия должна поддерживаться руководством и
заинтересованными сторонами
ИТ, ИБ или иным, в зависимости от места в структуре
организации
Пример: улучшить безопасность информационной
инфраструктуры предприятия и минимизировать
угрозу нанесения ущерба от вторжений и атак
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 110/431
- 28. Миссия JA.NET CSIRT
Обеспечить безопасность JA.NET и ее клиентов в
настоящем и будущем за счет:
Взятия на себя инициативы в реализации политики ИБ
JA.NET
Координации реагирования
Разработки ресурсов ИБ
Поддержки высокой квалификации
В поддержку этой миссии мы предлагаем
координацию управления инцидентами, обучение и
консультирование для клиентов JA.NET, и
сотрудничество с соответствующими
организациями за пределами JA.NET
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 111/431
- 29. Миссия SingCERT
Единая доверенная точка контакта
Содействие реагированию на угрозы безопасности
Повысить компетенцию в ИТ-безопасности
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 112/431
- 30. Получите
бюджеты для
CSIRT и
определите
финансовую
модель
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 113/431
- 31. Бюджетирование
Что включать в бюджет?
Создание CSIRT
Обучение сотрудников CSIRT (включая конференции)
Тренинги для сотрудников CSIRT
Оборудование и ПО для обнаружения, анализа,
отслеживание и реагирования на инциденты
Оборудование для защиты данных, систем и персонала
CSIRT
Командировки в места инцидентов
Выбивать бюджеты на создание CSIRT непросто
ИБ считается поддерживающей функцией
Необходимо бизнес обоснование (бизнес-кейс)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 114/431
- 32. Финансовые модели
Какова бизнес-модель существования CSIRT?
Спонсорство руководством (55%)
Опирается на время работы сервиса и количество людей
Экономия на оказании услуг вне рабочего времени
Продажа отдельных сервисов CSIRT клиентам
Для внутренних клиентов бесплатно, а для внешних – за
деньги
Оплата подписки
Ежегодная или ежеквартальная подписка на базовые сервисы
Дополнительные сервисы за дополнительную плату
Платные CSIRT – 10%
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 115/431
- 33. Выберите
сервисы,
оказываемые
CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 116/431
- 34. Сервисы CSIRT
Слона лучше есть по частям
Наращивать силу лучше постепенно, по мере зарабатывания
доверия со стороны клиентов
Обычно CSIRT предлагает одну или несколько услуг
по обработке инцидентов
Анализ инцидентов
Реагирование на инциденты
Поддержка реагирования на инциденты
Координацию реагирования на инциденты
Расследование инцидентов
Часто CSIRT предлагают и другие сервисы
Самостоятельно или во взаимодействии с другими
подразделениями или компаниями
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 117/431
- 35. Выбор сервисов
Разные сервисы имеют разные приоритеты
Реактивные обычно более приоритетные чем проактивные
или сервисы повышения качества ИБ
Набор предоставляемых сервисов зависит от
Потребностей предприятия
Наличии других подразделений, связанных с ИБ
Квалификации экспертов CSIRT
Ресурсов для качественного оказания сервисов
Как будут оказываться сервисы?
Время работы, методы взаимодействия, распространение
информации и т.п.
Как сервисы будут продвигаться на предприятии?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 118/431
- 37. Сервисы CSIRT
Повышение качества
Реактивные Проактивные
управления ИБ
• Сигналы тревоги и • Уведомления • Анализ рисков
предупреждения • Анализ технологий • Планирование
(72%) (55%) непрерывности
• Обработка • Аудит и оценка бизнеса
инцидентов (97%) защищенности • Консалтинг ИБ
• Обработка (28%) • Построение
уязвимостей (41%) • Конфигурация и программы
• Обработка поддержка осведомленности
артефактов (66%) • Разработка средств • Обучение / тренинги
защиты (34%) (59%)
• Обнаружение • Оценка /
вторжений (62%) сертификация
• Распространение продуктов
информации по ИБ
Источник: Defining Incident Management Processes for CSIRTs: A Work in Progress.
CMU/SEI-2004-TR-015
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 120/431
- 38. Сигналы тревоги и предупреждения
Включает описание и рассылку информации о
Вторжении нарушителей, уязвимости, вредоносной
программе, оповещении о лживых сообщениях в области
ИБ (что-то чего не было или специально распространяется
злоумышленниками) и т.п.
Кратких рекомендациях по решению проблемы
Предупреждение направляется как реакция на
текущие проблемы и как руководство по защите и
восстановлению систем, подвергшихся нападению
Предупреждение создается собственной CSIRT или
иными службами CSIRT (включая производителей
средств защиты)
Не забывайте про притчу о пастухе, который кричал:
«Волки, волки!» - приоритезируйте предупреждения
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 121/431
- 39. Сигналы тревоги и предупреждения
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 122/431
- 40. Обработка инцидентов
Включает в себя получение информации об
инцидентах, их систематизацию, реагирование на
запросы и отчеты, а также анализ инцидентов и
событий
Обработка инцидентов может включать в себя
Анализ инцидентов
Сбор доказательств
Отслеживание злоумышленника
Реагирование
Поддержка реагирования (например, для удаленных систем)
Координация реагирования
Далее мы детально рассмотрим этот сервис
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 123/431
- 41. Реагирование на инциденты
Реагирование на инциденты может включать в себя
Реализация действий для защиты систем, подвергающихся
атаке
Реализация рекомендаций из предупреждений
Поиск активностей злоумышленников в других частях
системы/сети
Фильтрация сетевого трафика
Перезагрузка (сборка) системы
Установление обновлений и восстановление системы
Разработка других механизмов реагирования
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 124/431
- 42. Обработка уязвимостей
Включает в себя получение информации об
аппаратных и программных уязвимостях, анализ их
природы, механизма использования и эффекта,
разработка стратегии обнаружения и устранения
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 125/431
- 43. Обработка артефактов
Включает в себя получение информации об
артефактах, попытках разведки и других
несанкционированных или вредоносных действиях,
анализ их природы, механизма действия и
использования, разработка стратегии обнаружения,
устранения и будущей защиты
Далее мы детально рассмотрим этот сервис
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 126/431
- 44. Уведомления
Включает описание и рассылку информации о
новых уязвимостях, вредоносных программах,
случаях мошенничества
Предупреждение направляется с целью
ознакомления и предвосхищения описываемых
событий
Уведомления создаются собственной CSIRT или
иными службами CSIRT (включая производителей
средств защиты)
Рассылаются обычно узкому кругу
заинтересованных лиц – ИТ, ИБ и т.п.
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 127/431
- 45. Анализ технологий
Мониторинг и анализ новых тенденций в ИТ и ИБ,
методов злоумышленников и регулятивных
требований для предсказания будущих угроз
Может включать следующие области для контроля
Социальные и политические угрозы (PEST-анализ)
Развивающиеся технологии
Требования регуляторов
Отраслевые требования
Выход: анонсы, руководство, обзоры и
рекомендации, фокусирующиеся на средне- и
долгосрочных вопросах ИБ
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 128/431
- 46. Аудит и оценка защищенности
Обследование и анализ инфраструктуры ИБ
предприятия на соответствие требованиям
предприятия, регуляторов или отраслевых
стандартов
Может быть реализованы следующим образом
Ручной анализ конфигурации инфраструктуры
Обзор лучших практик путем интервьюирования
сотрудников
Сканирование
Тесты на проникновение
Может быть отдано на аутсорсинг
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 129/431
- 47. Конфигурация и поддержка
Рекомендации и руководства по защищенной
настройке, конфигурации и поддержке приложений
и инфраструктуры
CSIRT также может воплощать эти рекомендации в
жизнь самостоятельно
При наличии таких полномочий и ресурсов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 130/431
- 48. Разработка средств защиты
Разработка новых мер защиты, требуемых в
деятельности CSIRT, например
Патчи
Скрипты или средства защиты, расширяющие
существующие СЗИ
Новые плагины для сканеров защищенности
Механизмы автоматического распределения патчей
И т.п.
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 131/431
- 49. Пример: Вымпелком
Security Log Tracker (SLOT) – система мониторинга
активности пользователей, связанной с доступом к
данным, критичным с точки зрения ИБ компании
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 132/431
- 50. Обнаружение вторжений
Анализ логов IDS, разработка мер реагирования
для каждого события/атаки, включая пороговые
значения для сигнатур атак и шаблонов
аномальной активности, а также пересылка
сигналов тревоги согласно политике эскалации или
принятому SLA
Ключевая проблема/задача – анализ огромных
объемов данных
Во многих случаях требуется опыт и особая экспертиза
Могут потребоваться средства корреляции событий с
целью выявления и снижения числа ложных тревог и
минимизации числа успешных инцидентов
Может быть отдано на аутсорсинг (SOC)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 133/431
- 51. Локальная корреляция событий
Защита от мультивекторных атак
Событие 1
Событие 1
Событие 2
Событие 2
Событие 3 Событие 3
Обычные IPS могут пропускать IPS, выполняющая локальный
мультивекторные атаки корреляционный анализ событий,
блокирует мультивекторные атаки
Событие может быть обычным, а может быть частью
мультивекторной атаки наряду с другими событиями. В отличии
от внешнего корреляционного анализа, локальная корреляция
позволяет IPS предотвращать атаки до достижения ими своей
цели
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 134/431
- 52. Meta Event Generator
Встроенные средства корреляционного анализа позволяют адаптироваться к
новым угрозам в режиме реального времени без участия пользователя
Рейтинг риска
При анализе учитываются:
A + B + C + D = ЧЕРВЬ!
• Тип события
Высокий • Временной интервал
Событие Событие
Средний A Событие
D
B
Событие
Низкий C
Время: 0 2 4 6 8 10
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 135/431
- 53. Meta Event Generator в действии
Если сигнатуры 5081, 5124, 5114, 3215 и 3216 произошли в течение 3-х
секунд, то срабатывает мета-событие “Nimda”
Временной интервал = 3 сек.
SIG 5081 SIG 5124 SIG 5114 SIG 3215 SIG 3216
Декодирование Юникод-атака Выполнение Сбой
Доступ к cmd.exe IIS CGI на IIS .. ..
NIMDA
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 136/431
- 54. Рейтинг риска: введение
Приоритет Насколько Оценка каждой угрозы с
события опасна атака?
точки зрения бизнеса до
Точность
+ Насколько
применения вариантов
сигнатуры реагирования
вероятна ошибка?
Релевантность
+
Узел подвержен
атаки атаке?
Стоимость
+
Насколько важен
ресурса атакуемый ресурс?
Сетевой
+ Какие данные еще
контекст доступны?
РЕЙТИНГ Применение
вариантов
РИСКА реагирования
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 137/431
- 55. Рейтинг риска: приоритет атаки
Приоритет сигнала тревоги определяется для
каждой сигнатуры
Приоритет Точность
события
+ сигнатуры
+ Релевантность + ресурса-цели
атаки
Стоимость
RR (Risk Rating)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 138/431
- 56. Рейтинг риска: точность сигнатуры
Точность сигнатуры определяет уровень доверия к точности и
качеству сигнатуры
Приоритет Точность Релевантность Стоимость
события + сигнатуры + атаки + ресурса-цели
RR (Risk Rating)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 139/431
- 57. Рейтинг риска: релевантность атаки
Снижение количества ложных срабатываний
путем активного/пассивного анализа цели
Приоритет Точность Релевантность Оценка
события
+ атаки
+ атаки
+ ресурса-цели
RR (Рейтинг риска)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 140/431
- 58. Анализ релевантности атаки
Дополнительные данные по цели атаки используются для уточнения
варианта реагирования
Контекст атаки анализируется на основе:
пассивного определения ОС
статического задания ОС для управления исключениями
интеграции с CSA
Динамический рейтинг риска базируется на релевантности
Результат. Более точное и эффективное реагирование
Фильтрация событий / реагирования
Консоль для мониторинга:
Злоумышленник Нерелевантные события фильтруются
инициирует IIS-атаку на
выбранные сервера
Сетевой
сканер
A
Сервер (Windows) Сервер (Linux)
Уязвим Не уязвим
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved.
Поднять рейтинг риска Фильтровать
141/431
- 59. Рейтинг риска: ценность для бизнеса
Большее понимание уязвимости цели через введение понятия
стоимости ресурса
Приоритет Точность
события
+ атаки
+ Релевантность + ресурса-цели
атаки
Стоимость
RR (Risk Rating)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 142/431
- 60. Рейтинг риска: итоговый результат
Настройка порогов рейтинга
риска позволяет
автоматизировать варианты
реагирования для каждого
события, а не сигнатуры
Приоритет Точность
события
+ сигнатуры
+ Релевантность + ресурса-цели
атаки
Стоимость
RR (рейтинг риска)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 143/431
- 61. Рейтинг угрозы (Threat Rating)
Оценка каждой угрозы после отражения ее Cisco IPS
Политика IPS: Измерение рисков базируется на
RR > 85 Заблокировать IP вариантах реагирования IPS
100 • Атака с высоким рейтингом риска может
90
быть отражена автоматически
85
80
70
и не требовать внимания оператора
60 • Концентрация внимания на вариантах
50
реагирования на события с высоким
остаточным риском
40
30
Пример:
20
• Событие 2: Очень высокий рейтинг риска, но
10
блокируется не требует внимания, низкий рейтинг
0
1 2 3 4 5 угрозы
Event Number
• Событие 4: Высокий рейтинг риска, но недостаточный
Risk Rating Threat Rating
для блокирования Высокое внимание и рейтинг
угрозы
Результат. Рост эффективности реагирования и продуктивности
операций по автоматической приоритезации рисков
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 144/431
- 62. Недостаток классических сигнатур
Что находит обычная IPS Вердикт: Неизвестно
Фрагментированные SQL команды
Что? внутри веб-трафика
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 145/431
- 63. Репутационные технологии в IPS
Что находит Cisco IPS v7 Вердикт: блокировать
Фрагменты SQL
Что? внутри веб-трафика
Первое подключение HTTP
Как?
Динамический IP адресс
Кто? Динамический DNS
История веб-атак
Из скомпрометированной
Откуда? азиатской сети
Есть история ботнетовской Только “чистые”
активности источники
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 146/431
- 64. Единая панель управления угрозами
Панель инцидентов
Агрегация
Корреляция
Выделение важной
информации
15 427 105 событий
5 666 129 сессий
102 инцидента
40 инцидентов с
высоким уровнем
опасности
• Объединение данных Netflow, Syslog и информации о топологии сети
позволяет создать центр управления безопасностью на базе MARS
• Оперативное обнаружение угроз за счет снижения объема данных в режиме
реального времени позволяет администраторам сконцентрироваться на
решении высокоприоритетных задач
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 147/431
- 65. Обнаружение угроз и отражение атак
Путь распространения атаки и учет топологии сети
Жертва/зараженный хост
(красный)
Взломанный хост,
участвующий в атаке
(сиреневый)
Источник атаки
(коричневый)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 148/431
- 66. Расследование инцидента
10.1.1.10 генерирует атаку, сообщите мне подробности
Несколько нажатий на кнопки,
и вы увидите:
Точку назначения, которой
достигает 10.1.1.10
Сеансы интересующей вас
точки назначения
Или любую другую
информацию, которая
вас интересует
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 149/431
- 67. Распространение информации
Сбор и распространение информации,
способствующей повышению защищенности
Контактная информация с CSIRT, как единой точкой
контакта
Руководства по безопасности
Архив уведомлений и предупреждений
Лучшие практики
Политики, процедуры и чеклисты
Информация о патчах
Ссылки на вендоров
Текущая статистика по управлению инцидентами
Другая связанная информация
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 150/431
- 68. Сервисы повышения качества ИБ
Анализ рисков
Планирование непрерывности бизнеса
Консалтинг ИБ
Построение программы осведомленности
Обучение / тренинги
Оценка / сертификация продуктов
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 151/431
- 69. Определите
модель, место в
иерархии и власть
CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 152/431
- 70. Сценарии существования CSIRT
За функции CSIRT отвечает ИТ-подразделение
За функции CSIRT отвечает служба ИБ
Отсутствие формальной группы реагирования на
инциденты
Существующий персонал решает ограниченный спектр
задач CSIRT время от времени
Виртуальная CSIRT
Использование существующего персонала для создания
виртуальной CISRT и наличие выделенного менеджера
группы
Все инциденты напрямую передаются в
выделенную структуру CSIRT (34%)
Полностью выделенная группа, реализующая весь спектр
задач CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 153/431
- 71. Сценарии существования CSIRT
Комбинация 3-го и 4-го вариантов в
распределенной организации (21%)
Выделенные сотрудники в ИТ и иных подразделениях
реагируют на инциденты на местах, а в центре действует
основная CSIRT
Инциденты направляются в Help Desk, а затем в
CSIRT (по необходимости)
CSIRT является второй линией анализа
Координирующая CSIRT (13%)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 154/431
- 72. Модели существования CSIRT
Полностью независимая CSIRT
При наличии ресурсов на организацию CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 155/431
- 73. Модели существования CSIRT (продолжение)
Интегрированная CSIRT
При нехватке ресурсов на организацию CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 156/431
- 74. Модели существования CSIRT (окончание)
Кампусная CSIRT
При холдинговой
структуре
организации CSIRT
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 157/431
- 75. Место в организации
Не важно какое место в организации занимает CSIRT –
важна эффективность ее работы
41% - под ИТ-департаментом
24% - независимо от всех
31% рапортуют непосредственно CIO
38% рапортуют не CIO
Какое бы место в организации не занимала CSIRT
важно решить следующие вопросы:
Координация с другими подразделениями (ИТ, ИБ, ERM и т.п.)
Четкое описание обязанностей каждого подразделения
Эскалация
Ответственность
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 158/431
- 76. Власть CSIRT
Власть Описание
CSIRT имеют все полномочия для принятия решений
Полная и реализации любых действий от имени их клиентов
(в части касающейся деятельности CSIRT) – 34%
CSIRT обеспечивает поддержку своих клиентов и
Частичная совместно принимают решения (рекомендуют, но не
могут диктовать) – 24%
CISRT не имеет никаких полномочий и действует
Отсутствует
только как советник – 24%
CSIRT влияет на принятие решений своих клиентов
Косвенная косвенно (например, головная организация влияет на
свои дочки или оператор связи на своих клиентов)
Власть ≠ доверие
Заработайте доверие своих клиентов и эффективность
работы CSIRT возрастет многократно
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 159/431