Составьте план реагирования на инциденты
Реагирование на инцидент — это когда возникает проблема, она идентифицируется, а затем вам нужно отреагировать на нее. Реагирование на такой инцидент будет считаться «Реагированием на инцидент», и вам необходимо знать основные концепции реагирования на инциденты, чтобы иметь возможность эффективно управлять своей сетью. В этой статье мы рассмотрим все основы реагирования на инциденты, цепочки поставок и способы решения проблем, возникающих в сети на базе Microsoft. План реагирования на инциденты — это план, который позволяет вам действовать надлежащим образом во время «инцидента», чтобы вы могли решить проблемы, вернуться к работе и сдержать инцидент одним махом.
Составьте план реагирования на инциденты
«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».
Определение плана реагирования на инциденты
Теперь, когда вы знаете, что такое план реагирования на инциденты, вам нужно понять, почему он важен и почему он вообще существует. К настоящему моменту, прочитав эту книгу, вы знаете, что вам нужно подумать о безопасности, потому что вы столкнетесь с проблемами… в конце концов. Проблемы будут возникать, и если инцидент действительно возникнет, вам (и вашим сотрудникам) нужно будет знать, как с ним справиться. Если инцидент действительно произошел, вы можете рассмотреть следующие пункты, и все они должны быть включены в ваш план:
Проведение первоначальной оценки. Проведение первоначальной оценки имеет решающее значение для плана. Вы должны знать, как увидеть инцидент и оценить, является ли он инцидентом или нет. Сделайте первые шаги, чтобы определить, имеете ли вы дело с реальным инцидентом или с ложным срабатыванием. Ваша первоначальная оценка должна быть очень краткой.
- Сообщение об инциденте: Сообщение об инциденте является следующим в плане и, вероятно, одним из самых важных пунктов. Убедитесь, что в случае возникновения инцидента вы доложите об этом руководителю группы, чтобы план инцидента мог стать реальностью.
- Сдерживание ущерба и последующая минимизация риска. Сдерживание ущерба и минимизация риска имеют решающее значение для инцидента. Например, если инцидент в вашей первоначальной оценке представляет собой червь, который самореплицируется в вашей сети, вы можете сдержать ущерб, отключив затронутую рабочую станцию от коммутатора или концентратора. Это сдерживает ущерб, минимизирует риск.
- Определение типа и серьезности компрометации. Определение типа и серьезности компрометации необходимо для определения того, какие ресурсы вам потребуются для ее устранения. Если у вас есть очень большая проблема, которая может стоить компании миллионы (или, что еще хуже, вывести ее из бизнеса), вам нужно обозначить ее как таковую и присвоить ей уровень серьезности, например Высокий приоритет. Вы должны попытаться определить «точный» характер атаки. Также постарайтесь определить точку возникновения атаки — откуда именно она исходит и непосредственно после нее попытайтесь выявить системы, которые были скомпрометированы.
- Защита доказательств. Защита доказательств важна по нескольким причинам. Во-первых, вы никогда не захотите сами загрязнять улики; вы также можете убедиться, что кто-то другой не повредит его намеренно.
- Уведомление внешних агентств: Уведомление внешних агентств, таких как правоохранительные органы, — это то, что вам нужно запланировать. Надеюсь, до этого не дойдет, но если дойдет, нужно знать, как с этим бороться и к кому обращаться. Большинство правоохранительных органов в наши дни либо строят, либо создали какое-то подразделение по борьбе с киберпреступностью.
- Восстановление систем. Восстановление систем указано как один из наиболее важных шагов плана действий в случае инцидента, который вы можете выполнить… после инцидента; вы должны вернуть свои системы в онлайн.
- Оценка ущерба и стоимости в результате инцидента. Оценка ущерба и стоимости в результате инцидента — это то, что вам нужно сделать для компании, в которой вы работаете. Особенно для компаний, которые публично принадлежат акционерам, в случае крупных убытков эти данные будут иметь очень важное значение. Это должен сделать руководитель группы реагирования на инциденты.
- Просмотр ответов и обновление политик: просмотр ответов и обновление политик на постоянной или регулярной основе — это то, что вам необходимо реализовать как часть вашей стратегии. План не годится, если он не актуален и хорошо подготовлен. Обновлять план после фактического ответа также является хорошей идеей, чтобы вы могли оценить сам план и то, как вы, возможно, смогли сделать что-то лучше.
Очень важно тщательно протестировать процесс реагирования на инциденты до того, как произойдет инцидент. Без тщательного тестирования вы не можете быть уверены, что принятые вами меры окажутся эффективными при реагировании на инциденты. Когда происходят определенные инциденты, вам может потребоваться не только решить непосредственную проблему, но и исследовать человека, стоящего за ней. Компании могут обнаружить, что их веб-сайты или сети взломаны сторонними лицами, они могут получать угрозы по электронной почте или стать жертвами любого количества киберпреступлений. В других случаях администратор может обнаружить, что люди внутри организации совершают преступления или нарушают политики. Как только системы будут защищены от дальнейшего вторжения, вам потребуется получить информацию, полезную для поиска и судебного преследования виновных. Поскольку любые полученные вами факты могут стать доказательством в суде, необходимо использовать компьютерную криминалистику.
Компьютерная криминалистика - это применение компьютерных навыков и методов расследования с целью получения доказательств. Он включает в себя сбор, изучение, сохранение и представление доказательств, которые хранятся или передаются в электронном формате. Поскольку целью компьютерной криминалистики является ее возможное использование в суде, необходимо соблюдать строгие процедуры, чтобы доказательства были допустимыми.
Даже когда инцидент не носит криминального характера, важно следовать судебно-медицинским процедурам. Вы можете столкнуться с инцидентами, когда сотрудники нарушают политики. Например, сотрудник мог нарушить установленную компанией политику допустимого использования и проводить значительное время за просмотром порнографии в рабочее время. Используя судебно-медицинские процедуры для расследования инцидента, вы создадите более жесткое дело против сотрудника. Поскольку каждое действие, которое вы предприняли, соответствовало установленным правилам и надлежащим образом собирало доказательства, сотруднику будет труднее оспаривать факты. Также, если в ходе вашего расследования вы обнаружите незаконную деятельность (например, наличие у человека детской порнографии), то внутреннее расследование становится уголовным. Любые действия, предпринятые вами в ходе расследования, будут тщательно изучены, и все, что вы найдете, может стать уликой.
Как мы увидим в следующих разделах, существует ряд стандартов, которые необходимо соблюдать, чтобы гарантировать, что доказательства не будут скомпрометированы, а информация будет получена правильно. Несоблюдение судебно-медицинских процедур может привести к тому, что судьи сочтут доказательства неприемлемыми, адвокаты защиты могут оспорить их достоверность, а делу может быть нанесен значительный ущерб. Во многих случаях единственным доступным доказательством является то, что существует в цифровом формате. Это может означать, что возможность наказать правонарушителя зависит от вашей способности собирать, исследовать, сохранять и представлять доказательства.
Компьютерная криминалистика — относительно новая область, появившаяся в правоохранительных органах в 1980-х годах. С тех пор это стало важной следственной практикой как для полиции, так и для корпораций. Он использует научные методы для поиска и документирования доказательств, хранящихся на компьютерах и других электронных устройствах. Получение этой информации может привести к получению единственного доступного доказательства для осуждения преступника или к более традиционным доказательствам, полученным с помощью других методов расследования.
Компьютерная криминалистика использует специализированные инструменты и методы, которые разрабатывались годами и признаются в суде. Используя эти инструменты, цифровые улики можно извлекать различными способами. Электронные улики могут находиться на жестких дисках и других устройствах, быть удалены, чтобы их больше не было видно через обычные функции компьютера, или скрыты другими способами. Невидимое по обычным каналам, криминалистическое программное обеспечение может раскрыть эти данные и восстановить их до предыдущего состояния.
Судебная экспертиза состоит из четырех основных компонентов: доказательства должны быть собраны, исследованы, сохранены и представлены. Задачи, связанные с судебной экспертизой, либо попадают в одну из этих групп, либо выполняются в большинстве или во всех из них. Постоянным элементом является необходимость документации, чтобы каждое действие в расследовании фиксировалось. При сдаче теста помните о четырех основных компонентах и о том, что все быть задокументировано.
Какова ваша роль
В то время как правоохранительные органы проводят расследования и собирают доказательства, понимая, что цель состоит в том, чтобы найти, арестовать, привлечь к ответственности и осудить подозреваемого, мотивация бизнеса не всегда ясна. Работа сетевого администратора заключается в обеспечении резервного копирования и работы сети, в то время как веб-мастер работает над возобновлением работы сайта электронной коммерции. Имея это в виду, почему компьютерная криминалистика важна для этих профессий? Причина в том, что если хакер выводит из строя веб-сайт или сеть, он может продолжать делать это до тех пор, пока его не поймают. Выявление и устранение угроз является краеугольным камнем безопасности, независимо от того, являются ли эти угрозы электронными или физическими по своей природе.
Даже когда для расследования преступления вызывается полиция, в расследовании будет задействовано несколько человек. Члены ИТ-персонала, назначенные в группу реагирования на инциденты, как правило, первыми реагируют на инцидент, а затем работают со следователями, чтобы предоставить доступ к системам и экспертные знания. Старший персонал должен быть уведомлен о последствиях инцидента и любой невозможности вести нормальную работу.
Если полиция не вызывается, и вопрос должен решаться внутри организации, то группа реагирования на инциденты будет выполнять гораздо более широкий спектр функций. Они не только займутся первоначальным реагированием на инцидент, но и проведут расследование и предоставят доказательства внутреннему органу. Этим органом может быть руководящий персонал или, в случае правоохранительных органов, отдел внутренних дел. Несмотря на то, что в ситуации может не участвовать полиция, процедуры судебно-медицинской экспертизы должны быть одинаковыми.
При проведении расследования должно быть назначено лицо, ответственное за место происшествия. Этот человек должен обладать знаниями в области криминалистики и принимать непосредственное участие в расследовании. Другими словами, только потому, что владелец компании доступен, он не должен быть ответственным, если он неграмотен в компьютере и/или не знаком с процедурами. Ответственное лицо должно иметь право принимать окончательные решения о том, как охранять место происшествия и как искать, обрабатывать и обрабатывать улики.
Есть три конкретные роли, которые люди могут выполнять при проведении расследования. «Скорая помощь» — это человек, который первым прибывает на место преступления. Это не означает, что дворник, заметивший сервер, издает забавные звуки, а тот, кто обладает знаниями и навыками, чтобы справиться с инцидентом. Первым реагирующим может быть офицер, сотрудник службы безопасности, член ИТ-персонала или группы реагирования на инциденты или любое количество других лиц. Первый респондент отвечает за определение масштабов места преступления, его безопасность и сохранение хрупких улик.
Определение масштаба места преступления относится к установлению его масштаба. Что затронуто и где могут существовать доказательства? По прибытии на место они должны определить, какие системы были затронуты, поскольку они будут использоваться для сбора доказательств. Если бы эти системы располагались в одном помещении, то рамками места преступления было бы само помещение. Если бы это был один сервер в чулане, то чулан был бы местом преступления. Если бы была задействована система объединенных в сеть компьютеров, то место преступления могло бы распространиться на несколько зданий.
После того, как место преступления определено, первый реагирующий должен установить периметр и защитить его. Охрана места преступления требует оцепления территории, где находятся улики. Пока не установлено, какое оборудование может быть исключено, все в районе следует рассматривать как возможный источник улик. Сюда входят работающие и неработающие рабочие станции, ноутбуки, серверы, портативные КПК, руководства и все, что связано с преступлением. До тех пор, пока место происшествия не будет обработано, никто не должен быть допущен на территорию, а лица, находившиеся в этом районе в момент совершения преступления, должны быть задокументированы.
Первый ответчик не должен касаться ничего, что находится на месте преступления. В зависимости от того, как было совершено преступление, традиционная криминалистика также может использоваться для установления личности человека, стоящего за преступлением. В ходе расследования полиция может собрать ДНК, отпечатки пальцев, волосы, волокна или другие вещественные доказательства. Что касается цифровых доказательств, важно, чтобы лицо, оказывающее первую помощь, ни к чему не прикасалось, поскольку это может изменить, повредить или уничтожить данные или другие идентифицирующие факторы.
Сохранение хрупких улик — еще одна важная обязанность лица, оказывающего первую помощь. Если источник доказательств включен, они должны принять меры для его сохранения и документирования, чтобы он не был утерян. Например, компьютер, который может содержать улики, можно оставить включенным, а программы открывать на экране. Если произойдет отключение питания, компьютер выключится, и вся несохраненная информация, которая была в памяти, будет потеряна. Фотографирование экрана или документирование того, что на нем появилось, обеспечит запись того, что было показано, и может быть использовано позже в качестве доказательства.
Когда следователи прибывают на место происшествия, важно, чтобы лицо, оказывающее первую помощь, предоставило им как можно больше информации. Если первый респондент что-то коснулся, важно, чтобы следователь был уведомлен, чтобы это можно было добавить в отчет. Любые наблюдения должны быть упомянуты, так как это может дать представление о разрешении инцидента.
Следователь может быть сотрудником правоохранительных органов или группы реагирования на инциденты. Если член группы реагирования на инциденты прибывает первым и собирает некоторые доказательства, а полиция прибывает или вызывается позже, важно, чтобы лицо, ответственное за группу, передало все доказательства и информацию, касающуюся инцидента. Если в сборе доказательств участвовало более одного члена группы, то следователю необходимо будет предоставить документацию о том, что каждый из них видел и делал.
Когда на место происшествия прибудет лицо, расследующее инцидент, должна быть установлена цепочка подчинения. Следователь должен ясно дать понять, что он или она является ответственным, чтобы важные решения принимались или представлялись ему или ей. Следует также установить цепочку сохранности, документально фиксируя, кто имел дело с доказательствами или владел ими в ходе расследования. После начала расследования любой, кто имеет дело с уликами, должен расписаться и расписаться, чтобы иметь четкое представление о том, кто владел уликами в любой момент времени.
Даже если лицо, оказывающее первую помощь, провело первоначальный поиск доказательств, следователю необходимо будет установить, что является доказательством и где оно находится. При обнаружении дополнительных улик периметр, ограждающий место преступления, может быть изменен. После этого следователь либо поручит техникам на месте преступления начать обработку места происшествия, либо будет выполнять обязанности техника. Следователь или назначенное ответственное лицо остается на месте происшествия до тех пор, пока все доказательства не будут должным образом собраны и доставлены.
Техники на месте преступления - это лица, прошедшие обучение компьютерной криминалистике и обладающие знаниями, навыками и инструментами, необходимыми для обработки места преступления. Технический специалист несет ответственность за сохранение улик и приложит для этого огромные усилия. Технический специалист может получить данные из памяти системы, сделать образы жестких дисков перед их выключением и убедиться, что системы правильно выключены перед транспортировкой. Перед транспортировкой все улики будут запечатаны в пакет и/или помечены биркой, чтобы идентифицировать их как конкретное доказательство. Информация, идентифицирующая доказательства, добавляется в журнал, чтобы существовала надлежащая опись каждой части. Доказательства дополнительно упаковываются, чтобы снизить риск повреждения, например, от электростатического разряда или толчков во время транспортировки. После транспортировки улики хранятся под замком, чтобы предотвратить фальсификацию, до тех пор, пока они не будут должным образом исследованы и проанализированы.
Как видите, роли, участвующие в расследовании, имеют разные обязанности и требуют специальных знаний для правильного выполнения. Хотя приведенные выше абзацы дают общее представление о том, что происходит, нам все равно нужно взглянуть на конкретные задачи, чтобы понять, как выполняются определенные обязанности. Понимание этих аспектов судебно-медицинской экспертизы жизненно важно не только для расследования, но и для успеха в этой области.
Роб Шимонски благодарит Деб Шиндер (www.shinder.net) за создание оригинального контента.