Предположим, ваша компания подверглась атаке киберпреступников, но отделалась легким испугом, поскольку атака была обнаружена и отражена поздно, но все же вовремя — без серьезного влияния на бизнес. Однако просто продолжать работать как прежде и забыть об инциденте было бы контрпродуктивно. В конце концов, злоумышленники нашли способ скомпрометировать ваши системы [...] — csoonline.com
Предположим, ваша компания подверглась атаке киберпреступников, но отделалась легким испугом, поскольку атака была обнаружена и отражена поздно, но все же вовремя — без серьезного влияния на бизнес. Однако просто продолжать работать как прежде и забыть об инциденте было бы контрпродуктивно. В конце концов, злоумышленники нашли способ скомпрометировать ваши системы, обойдя меры защиты.
Именно поэтому здесь необходим пост-инцидентный разбор (Post-Incident Review): структурированный процесс, в рамках которого компания анализирует,
- что прошло хорошо,
- что пошло не так, и
- как можно улучшить производительность в будущем.
На первый взгляд это кажется простым — однако необходимо учесть несколько важных моментов для разработки надежной стратегии пост-инцидентного разбора. Какие именно, мы выяснили в беседе с различными экспертами по безопасности.
1. Действовать оперативно
Сроки имеют решающее значение при инцидентах безопасности не только для анализа. Если вы отложите Post-Incident Review на недели или месяцы после произошедшего, возрастет риск того, что важные детали будут забыты — и лица, принимающие решения в области безопасности, и их команды не смогут составить полную картину атаки.
Поэтому Дэвид Тейлор, управляющий директор ИТ-консалтинговой компании Protiviti, советует действовать как можно оперативнее: «Разбор вскоре после инцидента гарантирует, что все детали еще свежи в памяти, а также создает ощущение срочности». Кроме того, по словам ведущего консультанта, участники разбора смогут составить точную хронологию событий.
Как должна выглядеть эта хронология, знает Хизер Клаусон Хоган, соучредитель и управляющий партнер юридической фирмы CM Law, специализирующейся на защите данных: «Прежде всего, необходимо зафиксировать, что именно произошло — от первых признаков проблемы до ее устранения».
Это поможет всем участникам понять, на каких этапах возникли задержки или ошибки, а на каких нет. «По сути, это сводится к тому, чтобы облечь инцидент в понятную «историю» и извлечь из нее соответствующие уроки», — объясняет правовой эксперт.
2. Провести анализ первопричин
Обязательной частью Post-Incident Review является также анализ первопричин (Root Cause Analysis) — по крайней мере, если вы заинтересованы в предотвращении будущих инцидентов.
Этого же мнения придерживается Майкл Браун, Field CISO в ИТ-сервисной компании Presidio: «Выявление основной причины инцидента имеет решающее значение. Команды должны выяснить, является ли это технической уязвимостью, человеческой ошибкой или пробелами в процессах/технологиях. Только так можно гарантировать, что устраняются не только симптомы».
3. Выявить пробелы
Post-Incident Review также должен включать оценку эффективности команды безопасности с точки зрения установленных процессов (например, плана реагирования на инциденты). По словам менеджера Protiviti Тейлора, это необходимо для постепенного повышения квалификации команды: «Это может предоставить ценную информацию для инновационных оптимизаций, выявить пробелы в обучении и устранить неэффективность на этапе реагирования».
Presidio подает в этом отношении хороший пример, как рассказывает Field CISO Браун: «В рамках наших пост-инцидентных разборов мы оцениваем работу нашей команды реагирования на инциденты в различных областях — например, обнаружение, время реагирования, коммуникация, координация или соблюдение процессов».
4. Проанализировать влияние на бизнес
Полное понимание последствий инцидента безопасности — это многогранная задача, которая должна включать как количественный, так и качественный анализ. Первое, по словам специалиста по безопасности Брауна, должно включать такие аспекты, как финансовые потери, утрата доли рынка или заказов клиентов.
Второе же должно касаться таких вопросов, как:
- Была ли устойчивость бизнеса нарушена?
- Были ли своевременно проинформированы ответственные органы?
- Возник ли репутационный ущерб?
5. Учесть контекст
Еще одним ключевым фактором для пост-инцидентного анализа является контекст инцидента безопасности. Его учет имеет решающее значение при составлении хронологии инцидента, из которой могут извлечь уроки все участники.
«Слишком часто при последующих обсуждениях опускается контекст, в котором принимались решения», — критикует исследователь безопасности Эйринн Леветт и добавляет: «Документируйте инцидент так, как он развивался — не только результат. Инциденты развиваются с течением времени — и команда, которая с ними работает, редко имеет доступ ко всем фактам заранее».
Каждое новое открытие — например, в отношении вектора атаки, ее масштаба или инструментов, использованных злоумышленниками, — может изменить цели расследования команды, считает Леветт: «То, что начиналось как план по сдерживанию, может быстро перерасти в масштабный проект по восстановлению. Только отслеживая, когда и почему произошли изменения, можно впоследствии проследить, какие меры были приняты».
6. Сотрудничать между отделами
Руководит Post-Incident Review CISO или другие руководители в области безопасности или ИТ. Однако рекомендуется привлекать к работе и сотрудников других отделов, которые могут внести ценные сведения. Так, эксперт по безопасности Леветт рекомендует расширить команду по разбору инцидентов коллегами из отделов управления, юриспруденции и риск-менеджмента: «Они могут связать основную причину инцидента с общими, более широкими пробелами в политике».
По мнению Леветт, также целесообразно привлекать финансовый и кадровый отделы, а также — в зависимости от характера и тяжести инцидента — членов правления. Последнее, по убеждению эксперта, сигнализирует о стратегическом приоритете и помогает связать технические выводы с обсуждениями рисков на уровне управления.
«Важно, чтобы все участники имели равное право голоса — независимо от их должности или роли», — добавляет Тейлор из Protiviti. Это не только помогает лучше понять инциденты безопасности, но и способствует созданию кооперативной среды.
7. Избегать обвинений
Заниматься «поиском виноватых» (Fingerpointing) в рамках Post-Incident Review, скорее всего, непродуктивно. Поэтому юрист по ИТ Хьюгиан также рекомендует сосредоточиться на обучении и оптимизации: «Обвинения вас никуда не приведут. Необходимо вскрыть фактический ход событий, понять процессы принятия решений и выявить все факторы, которые способствовали ошибкам. Такой подход может помочь в принятии будущих стратегических решений, касающихся инструментов, обучения и политик».
Леветт также не одобряет культуру обвинений: «Дело не в том, принял ли конкретный человек правильное решение. Скорее, нужно ответить на такие вопросы, как: «Была ли команда в состоянии принимать хорошие решения в сложившихся обстоятельствах?» Или: «Помогли бы лучшая документация, другие инструменты или большее финансирование для более быстрых и лучших результатов?»»
8. Принять меры
Все выводы, полученные в ходе Post-Incident Review, будут относительно бесполезны, если после них ничего не предпринять. А это значит: за выводами должны последовать конкретные действия.
Чтобы реализовать это наилучшим образом, правовой эксперт Хьюгиан рекомендует письменно зафиксировать, в каких аспектах требуется оптимизация, когда это должно быть сделано и кто за это отвечает: «Эти улучшения могут включать обновления программного обеспечения, изменения в политике или новые инициативы по обучению. Независимо от этого, именно последующая работа делает Post-Incident Review по-настоящему полезным. Если ее нет, то и реализуемых рекомендаций не будет — и все это останется не более чем академическим упражнением», — заключает эксперт по защите данных. (fm)
Хотите прочитать больше интересных материалов по теме ИТ-безопасности? Наша бесплатная новостная рассылка предоставит вам все, что необходимо знать специалистам и руководителям по безопасности, прямо на ваш почтовый ящик.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bob Violino