36 Процесс реагирования на компьютерные инциденты
Шаг Описание Соображения по поводу безопасности
3 Многие из традиционных датчиков Чтобы повысить уровень безопасности, вам необходимо (IDS/IPS), используемых в настоящее улучшить технические средства контроля безопасности время, не способны идентифициро- и сократить разрыв между заражением и обнаружением вать инфильтрацию и дальнейшее распространение по сети 4 Это уже часть побочного ущерба, Должны существовать технические средства контроля нанесенного этой атакой. Учетные безопасности, позволяющие ИТ-специалистам сбрасы- данные были скомпрометированы, вать пароль пользователя и в то же время обеспечивать и у пользователя возникли проблемы многофакторную аутентификацию с аутентификацией 5 Не каждый инцидент связан Если бы технические средства контроля безопасности с безопасностью; поэтому важно, (шаг 3) смогли идентифицировать атаку или, по крайней чтобы служба технической поддержки мере, предоставить какое-либо свидетельство выполнила начальную диагностику подозрительной активности, службе технической с целью изолировать проблему поддержки не пришлось бы устранять проблему – она могла просто следовать за процессом реагирования 6 На данный момент служба технической Служба технической поддержки должна получить поддержки делает то, что должна, как можно больше информации о подозрительной собирает доказательства того, что деятельности, чтобы обосновать причину, по которой они система была скомпрометирована, считают, что это инцидент, связанный с безопасностью и сообщает о проблеме 7 На этом этапе вступает в дело процесс Важно документировать каждый отдельный этап реагирования на компьютерные процесса и после разрешения инцидента учитывать инциденты. Он следует своим извлеченные уроки с целью повышения общего уровня собственным путем, который может безопасности варьироваться в зависимости от компании, отраслевого сегмента и стандарта
Хотя в предыдущем сценарии есть много возможностей для улучшения,
в этой вымышленной компании есть кое-что, чего не хватает многим другим компаниям во всем мире, – само реагирование на компьютерный инцидент. Если бы не процесс реагирования, специалисты службы технической поддерж- ки исчерпали бы свои усилия по устранению неполадок, сосредоточившись на проблемах инфраструктуры. Компании, у которых есть хорошая стратегия безопасности, имеют в своем распоряжении процесс реагирования на инци- денты. Они также обеспечат соблюдение следующих рекомендаций: весь IT-персонал должен быть обучен, чтобы знать, как справиться с ин- цидентом в области безопасности; все пользователи должны быть обучены основам безопасности, чтобы выполнять свою работу качественно и избежать заражения; должна быть интеграция между системой технической поддержки и ко- мандой реагирования на инциденты, чтобы обмениваться данными; этот сценарий может иметь некоторые вариации, которые могут создать различные проблемы, требующие преодоления. Один из вариантов за- ключается в том, что на шаге 6 не будет обнаружено никаких призна- ков компрометации. В этом случае служба технической поддержки без