Киберучения оперативной безопасности (SOC) часть 1

На SOC Forum 2018 проходили крайне интересные киберучения для команд Security Operation Center (SOC). Мастером игры был Алексей Лукацкий.

Несколько команд отыгрывали то, как они бы повели себя в случае различных инцидентов у Банка. Начинающим SOC-ам и просто ответственным за оперативную ИБ может быть полезна информация с этих учений. Подумайте как бы вы поступали?

Описание инцидентов

Ситуация 1. Сайт не работает, подключение к сайту не защищено

Разбор 1:

• Возможно проблема с сертификатом SSL, проверка Qualys, обратится к производителю сертификата.
• Завести инцидент, потом разбираться.
• Написать скрипт для call-центра что говорить клиента.
• Оповестить регулятора.
• Поставить заглушку на сайте.
• Возможно дело в том что chrome стал считать сертификаты symantec недоверенными.

Ситуация 2. Множество жалоб от клиентов, о несанкционированных списаниях средств

Разбор 2:

• Сообщать DPO и курирующему зампреду.
• В евросоюзе сообщаем DPA, в РФ - НКЦКИ и FinCERT.
• Клиентам сообщить об инциденте, что они не несут рисков и рекомендации по безопасности.
• Обратиться в правоохранительные органы.

Ситуация 3. Один из скриптов на сайте содержит вредоносный код, крадущий данные клиентов

Разбор 3:

• Ставим заглушку на сайт.
• Проверяем на уязвимости код, устраняем уязвимости.
• Мониторим площадки в даркнете на предмет появления там нашей информации.
• Проверяем остальные скрипты на сайте на предмет ВПО.
• Проверяем другие папки откуда мог быть загружен скрипт.
• Проверяем логи предшествующие инциденту.
• Снять дапм памяти и снапшот для расследования.
• Откатится на предыдущий бэкап. Уведомление зампреда.
• Обращение в правоохранительные органы. Выяснить у кого конкретно были похищены данные и уведомим их.
• Проведем анализ, кто выкладывал последний билд web приложения - найдем ответственного.

продолжение во второй части >>>