На SOC Forum 2018 проходили крайне интересные киберучения для команд Security Operation Center (SOC). Мастером игры был Алексей Лукацкий.
Несколько команд отыгрывали то, как они бы повели себя в случае различных инцидентов у Банка. Начинающим SOC-ам и просто ответственным за оперативную ИБ может быть полезна информация с этих учений. Подумайте как бы вы поступали?
Ситуация 1. Сайт не работает, подключение к сайту не защищено
Разбор 1:
- Возможно проблема с сертификатом SSL, проверка Qualys, обратится к производителю сертификата.
- Завести инцидент, потом разбираться.
- Написать скрипт для call-центра что говорить клиента.
- Оповестить регулятора.
- Поставить заглушку на сайте.
- Возможно дело в том что chrome стал считать сертификаты symantec недоверенными.
Ситуация 2. Множество жалоб от клиентов, о несанкционированных списаниях средств
Разбор 2:
- Сообщать DPO и курирующему зампреду.
- В евросоюзе сообщаем DPA, в РФ - НКЦКИ и FinCERT.
- Клиентам сообщить об инциденте, что они не несут рисков и рекомендации по безопасности.
- Обратиться в правоохранительные органы.
Ситуация 3. Один из скриптов на сайте содержит вредоносный код, крадущий данные клиентов
Разбор 3:
- Ставим заглушку на сайт.
- Проверяем на уязвимости код, устраняем уязвимости.
- Мониторим площадки в даркнете на предмет появления там нашей информации.
- Проверяем остальные скрипты на сайте на предмет ВПО.
- Проверяем другие папки откуда мог быть загружен скрипт.
- Проверяем логи предшествующие инциденту.
- Снять дапм памяти и снапшот для расследования.
- Откатится на предыдущий бэкап. Уведомление зампреда.
- Обращение в правоохранительные органы. Выяснить у кого конкретно были похищены данные и уведомим их.
- Проведем анализ, кто выкладывал последний билд web приложения - найдем ответственного.