Расследование инцидентов безопасности
РАССЛЕДОВАНИЕ ИНЦИДЕНТОВ ИБ
Понятие инцидента информационной безопасности включает все неразрешенные или неприемлемые в рамках политики информационной безопасности действия, совершенные в сети или информационной системе. Расследование инцидентов ИБ актуально для любого бизнеса, поскольку успешное расследование помогает минимизировать негативные последствия экономического характера, к которым приводят подобные инциденты (утечка конфиденциальной информации, подмена данных, дискредитирование репутации компании).
Наши специалисты проводят расследования инцидентов информационной безопасности с выездом и без.
Расследование инцидентов информационной безопасности направлено на выявление лиц, виновных в совершении инцидента, и позволяет выработать меры по защите в будущем. Наличие определенной стратегии реагирования на инциденты ИБ существенно влияет на успех расследования.
Расследование включает комплексные работы по сбору данных и их анализу. Форензика отвечает за проверку технического плана: экспертиза компьютеров, серверных систем, сетей и носителей информации.
Работа наших специалистов позволит получить такие результаты, как:
- Восстановление хронологии событий при инциденте
- Обнаружение используемых инструментов
- Сбор доказательной базы по инциденту
- Установление источника инцидента (внутренний или внешний нарушитель)
- Оценивание масштаба произведенных действий
- Оценка возможных последствий и выдача рекомендаций по защите
Для сбора и анализа данных используется специализированное программное обеспечение, разработанное совместно с зарубежными компаниями и доказавшее свою эффективность.
Итогом расследования инцидентов информационной безопасности является установление виновника произошедшего и причин его действий, последствия инцидента для компании и выработки стратегии устранения последствий. В зависимости от причин возникновения инцидента и масштаба последствий определяются меры в отношении виновника инцидента. Важным моментом является и использование информации, полученной в ходе расследования, для разработки комплекса мер по профилактике инцидентов ИБ в будущем.
Отсутствие в России стандартизированных методик реагирования на инциденты информационной безопасности, а также необходимость высокого уровня доверия клиента и исполнителя расследования (поскольку последний получает доступ к важной для деятельности компании информации) определяет некоторые сложность с решением проблемы инцидентов ИБ. Лаборатория Цифровой Форензики обеспечивает гарантии соблюдения политики конфиденциальность и использует современные зарубежные стандарты реагирования для расследования инцидентов и разработки рекомендаций по повышению уровня информационной безопасности.
Организация и проведение расследований инцидентов информационной безопасности на предприятии
Цели проведения служебного расследования:
- найти виновного в произошедшем;
- выяснить причины произошедшего;
- выработать предложения по исключению подобных случаев в дальнейшем.
Основные задачи проведения служебного расследования.
- установление обстоятельств, причин и условий совершения служебного проступка служащим;
- определение степени виновности конкретного служащего и лиц, причастных к проступку;
- выработка рекомендаций по организации и проведению мероприятий предупредительно – профилактического характера, по устранению причин и условий, способ. совершению проступка.
Осуществление принципа неотвратимости наказания является необходимым условием эффективности юридической ответственности, обеспечения действенности ее функций. Принцип неотвратимости ответственности означает, что любое лицо независимо от своего служебного ли материального положения, иных обстоятельств подлежит заслуженному наказанию за совершенное им правонарушение.
Принцип неотвратимости наказания не должен нарушать принцип ответственности – презумпция невиновности.
В соответствии со ст. 49 Конституции РФ каждый обвиняемый в совершении преступления считается невиновным, пока его виновность не будет доказана в предусмотренном федеральным законом порядке и установлена вступившим в законную силу приговором.
Организация служебного расследования. Основные этапы.
- Организация проведения служебного расследования в компании возлагается на отдел внутренней безопасности.
- Для проведения служебного расследования руководителем компании создается комиссия.
- В некоторых случаях, расследование может проводиться одним специалистом контрольного комитета.
- В её состав комиссии, с учетом специфики проступка, включаются сотрудники кадровой службы, правового комитета и других структурных подразделений компании.
- Работу комиссии организовывает председатель, несет персон. ответственность за сроки, полноту и объективность.
- Сроки проведения расследования, как правило, указываются в распоряжении руководителя компании.
- Результаты проведения служебного расследования оформляются Служебной запиской после его окончания.
- Материалы расследования хранятся в отделе внутренней безопасности в течение нескольких лет, потом в архив.
Расследование инцидентов информационной безопасности
Сделано в России+7 (499) 653-71-52
StaffCop — это машина времени! В любой момент вы можете вернуться назад и посмотреть, что делал тот или иной сотрудник в указанный период времени, а так же установить возможные связи событий, на первый взгляд не имеющих ничего общего.
Программный комплекс Staffcop Enterprise — эффективный инструмент службы безопасности для расследования инцидентов, связанных с неправомерными действиями сотрудников, позволит выявить злоумышленников и лиц, занимающихся промышленным шпионажем.
Программа агент запускается на рабочих станциях или терминальных серверах, с операционными системами Windows или GNU/Linux, отслеживает действия пользователя и события на его компьютере, передает их на сервер, а также реализует различные блокировки и запреты доступа.
Агент StaffCop Enterprise может работать на удаленном компьютере, не находящемся в локальной сети компании.
В StaffCop реализована модель OLAP-куб, позволяющая быстро находить важные факты и строить многомерные отчеты на основе больших массивов данных в несколько кликов.
Многомерный конструктор отчетов
- Корелляция событий и данных в несколько кликов
- Выборка многомерных данных
Интерактивные графики и диаграммы
Карточки пользователей — агрегированная информация о пользователе за период времени
Контекстный анализ документов
Сквозной поиск с морфологией
Все функциональные возможности
Единый веб-интерфейс
Многомерный конструктор отчетов
Конструктор позволяет в несколько кликов получить необходимый набор данных, связанных между собой заданными параметрами.
В основе лежит технология OLAP (On-Line Analytical Processing — интерактивный анализ данных)
Каждое событие, будь то ввод с клавиатуры или посещение вебсайта, могут быть связаны по сходным свойствам (время, польователь, компьтер, адрес страницы, домен и т.д.)
Интерактивные отчеты
Конструктор позволяет в несколько кликов получить необходимый набор данных, связанных между собой заданными параметрами.
В основе лежит технология OLAP (On-Line Analytical Processing — интерактивный анализ данных)
Каждое событие, будь то ввод с клавиатуры или посещение вебсайта, могут быть связаны по сходным свойствам (время, польователь, компьтер, адрес страницы, домен и т.д.)
Детектор аномалий
Конструктор позволяет в несколько кликов получить необходимый набор данных, связанных между собой заданными параметрами.
В основе лежит технология OLAP (On-Line Analytical Processing — интерактивный анализ данных)
Каждое событие, будь то ввод с клавиатуры или посещение вебсайта, могут быть связаны по сходным свойствам (время, польователь, компьтер, адрес страницы, домен и т.д.)
Сквозной поиск и контекстный анализ
Конструктор позволяет в несколько кликов получить необходимый набор данных, связанных между собой заданными параметрами.
В основе лежит технология OLAP (On-Line Analytical Processing — интерактивный анализ данных)
Каждое событие, будь то ввод с клавиатуры или посещение вебсайта, могут быть связаны по сходным свойствам (время, польователь, компьтер, адрес страницы, домен и т.д.)
Расследование инцидентов при помощи Falcongaze SecureTower
Компания Falcongaze в новой версии DLP-системы SecureTower 6.2 представила модуль Центр расследования инцидентов, который упрощает работу сотрудников службы безопасности и автоматизирует рутинные задачи офицера безопасности при расследовании инцидентов ИБ. В статье мы расскажем, как реализована автоматизация составления отчетности об инциденте в Falcongaze SecureTower, и продемонстрируем, как провести расследование инцидента ИБ, сформировать доказательную базу и сделать отчеты с помощью модуля Центр расследования инцидентов.
Введение
Тема управления инцидентами информационной безопасности на сегодняшний день является одной из наиболее актуальных для компаний. Именно процесс управления инцидентами ИБ позволяет выявить инсайдеров или обнаружить следы утечек информации. При этом важнейшим этапом управления инцидентом ИБ является его расследование, которое помимо технической экспертизы также включает фиксацию доказательной базы и следов совершенного компьютерного преступления, что в свою очередь предполагает документирование и архивирование материалов расследования. Процесс формирования доказательной базы у офицеров безопасности превращается в рутинные ежедневные операции.
Для автоматизации рутинных задач офицера безопасности компания в DLP-системе Falcongaze SecureTower был добавлен новый модуль — Центр расследования инцидентов, предназначенный упростить работу сотрудников службы безопасности. Благодаря ему появилась возможность не выходя из Falcongaze SecureTower расследовать инциденты безопасности и формировать дела, в которых можно подробно фиксировать ход расследований, выявлять фигурантов дела, а после завершения расследования — получать автоматически составленные отчеты для руководителей. В рамках разработки этого модуля специалисты Falcongaze изучили алгоритмы работы сотрудников службы безопасности крупных предприятий и создали инструмент в максимальном соответствии с требованиями современного бизнеса и лучшими практиками. Все это позволяет пользователям системы быстро адаптироваться к новым возможностям Falcongaze SecureTower и значительно сэкономить время, которое раньше пришлось бы потратить на «бумажную» работу.
Для чего нужно автоматизировать процесс расследования инцидентов
Управление инцидентами — одна из важнейших процедур управления ИБ, рекомендованная международными и российскими стандартами в области ИБ. К настоящему времени разработано достаточное количество нормативных документов, регламентирующих вопросы управления инцидентами, в частности:
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»,
- РС БР ИББС-2.5-2014 «Рекомендации в области стандартизации Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности»,
- ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности,
- ISO/IEC 27001-2013 Information technology. Security techniques. Information security management systems. Requirements и ГОСТ P ИСО/МЭ 27001:2013 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
- CMU/SEI-2004-TR-015 Dening incident management processes for CSIRT;
- NIST SP 800-61 Computer security incident handling guide и др.
При том процесс расследования включает в себя стадию сбора и фиксации информации, относящейся к инциденту ИБ: формирование доказательной базы и следов совершенного компьютерного преступления. Корректно собранная и оформленная доказательная база — это фундамент, на котором строятся все дальнейшие этапы расследования.
При расследовании инцидентов и фиксации информации от офицеров безопасности требуется:
- создание дел (архивов) для группировки информации (файлов) по конкретному расследованию инцидента ИБ;
- подкреплять материалы по инциденту в дело в виде файлов;
- оформлять документы (акты, протоколы) согласно внутренним стандартам организации;
- обмениваться документами (материалами) с другими сотрудникам и представлять их руководству.
В Falcongaze SecureTower 6.2 для автоматизации рутинных задач офицера безопасности добавлен новый модуль — Центр расследования инцидентов, созданный в помощь сотрудникам службы безопасности при расследовании.
Как реализована автоматизация составления отчетности об инциденте в Falcongaze SecureTower
Центр расследований инцидентов в Falcongaze SecureTower — это единый центр, который позволяет удобно организовать работу с документацией в рамках расследований инцидентов безопасности.
Данный компонент позволяет:
- создавать дела для группировки информации по конкретному расследованию;
- прикреплять лиц, причастных к расследованию;
- подшивать как документы из результатов поиска, так и внешние файлы;
- собирать дела в группы, организовывать дела и группы в удобную структуру;
- оформлять дела согласно внутренним стандартам организации;
- распечатывать и экспортировать дела для передачи другим сотрудникам и представления руководству.
Центр расследований обладает гибким инструментарием, который значительно экономит время офицера безопасности. В том числе он обладает встроенным текстовым редактором, который позволяет без отрыва от материалов расследования создавать служебные записки и тому подобные документы. Компонент автоматизирует расследование инцидентов и может быть включен в бизнес-процессы организации.
Срок хранения дел в Центре расследований неограничен, что позволяет организовать архивное хранение. Также возможно оформление дела для сдачи во внешний архив согласно внутренним стандартам компании.
Кроме того, Falcongaze SecureTower предоставляет возможности для работы нескольких офицеров безопасности в одном Центре расследований. Эта функция позволяет ускорить и упростить обмен информацией, уменьшить время проведения расследований, снизить вероятность появления ошибок и разночтений.
Кроме проведения расследований компонент удобен для ведения досье. Рассмотрим работу Центра расследования на примере.
Расследование инцидента в Falcongaze SecureTower
Например, есть задача выявить нелояльных сотрудников, которые находятся в активном поиске новой работы. Такие работники представляют серьезную угрозу для компании, например, они могут украсть клиентскую базу или другую ценную информацию компании.
Для начала перейдем в Центр обеспечения безопасности SecureTower, в котором уже настроено правило «Поиск работы», и просмотрим уведомления.
Рисунок 1. Просмотр уведомлений по теме «Поиск работы» в Центре обеспечения безопасности SecureTower
Например, сотрудник Сергей Тихомиров по какой-то причине не вышел на работу и не отвечает на звонки. Поэтому нужно проанализировать его действия до этого момента. Поиск в уведомлениях Центра обеспечения безопасности SecureTower по правилу «Поиск работы» показал, что Сергей Тихомиров вел переписку в Skype с Олегом Прозоровым, который не является работником компании.
Рисунок 2. Просмотр уведомлений для сотрудника Сергея Тихомирова в Центре обеспечения безопасности SecureTower
Анализ переписки показал, что Сергей Тихомиров общался с представителем конкурирующей компании по поводу смены работы, который в свою очередь предлагал слить свою клиентскую базу и базу начальника.
Рисунок 3. Анализ переписки сотрудника Сергея Тихомирова в Центре обеспечения безопасности SecureTower
Таким образом, удалось установить, что это был не просто поиск работы, а значительный инцидент — утечка клиентской базы.
Для расследования создадим новое дело «Возможная утечка данных». Отметим, что каждое дело включает в себя следующие элементы:
- Заголовок. Отражает название дела и дату инцидента. В правой части заголовка находится кнопка, которая содержит команды управления делом.
- Вкладка «Дело». Содержит блоки: Описание инцидента (краткое), Информация об инциденте, Вовлеченные лица, Мероприятия и их результаты, Выводы и результаты расследования.
- Вкладка «Материалы расследования». Содержит прилагаемые документы.
- Вкладка «Журнал событий». Фиксирует информацию о том, какие пользователи работали с делом, вносили изменения в дело, просматривали (без внесения изменений).
Рисунок 4. Создание нового дела «Возможная утечка данных» в Центре расследования инцидентов SecureTower
В дело добавим описание и материалы: переписку пользователя Сергея Тихомирова, переданные файлы и карточки вовлеченных пользователей (фигурантов).
Рисунок 5. Добавление в дело описания и материалов
При формировании круга причастных лиц можно воспользоваться модулем «Активность пользователей».
Рисунок 6. Просмотр взаимосвязей пользователей в модуле «Активность пользователей»
Из графа взаимосвязей видно, что Сергей Тихомиров общался с Олегом Прозоровым, а также с другим сотрудником.
Для анализа взаимосвязей Олега Прозорова с другими сотрудниками компании создадим ему карточку и выведем граф взаимосвязей.
Рисунок 7. Просмотр взаимосвязей пользователей в модуле «Активность пользователей»
Из графа взаимосвязей видно, что Олег Прозоров, помимо переписки с Сергеем Тихомировым, общался также со старшим менеджером Еленой Кравцовой. При этом из графа видно, что был факт передачи двух файлов Прозорову от Елены Кравцовой.
Добавляем контакт Кравцовой в дело «Возможная утечка данных» как инициатора утечки.
На данном этапе расследования сформирован круг лиц причастных к утечке информации. Далее необходимо выполнить сбор информации (в данном случае это лог переписки в мессенджере) и файлов в рамках расследования инцидента и прикрепить их в материалы дела «Возможная утечка данных».
Рисунок 8. Общий вид вкладки «Материалы расследований» Центра расследования инцидентов SecureTower
Отметим, что в ходе ведения дела можно свободно вносить, изменять, удалять текстовую информацию, скрывать и открывать информационные блоки, добавлять и удалять вовлеченных лиц, документы, добавлять и удалять сами дела — в соответствии с ходом каждого отдельного расследования.
Рисунок 9. Текстовый редактор Центра расследования инцидентов SecureTower
Для представления результатов расследования руководству и другим заинтересованным лицам система предоставляет возможность распечатать или экспортировать дело.
Рисунок 10. Меню печати и экспорта результатов Центра расследования инцидентов SecureTower
Рисунок 11. Автоматически сформированный отчет о расследовании в формате PDF
На выходе документ содержит реквизиты, необходимые для бумажного документа: места для подписей, логотип компании.
Выводы
В статье мы познакомились с новым модулем — Центр расследования инцидентов DLP-системы Falcongaze SecureTower 6.2, который предназначен упростить работу сотрудников службы безопасности и автоматизировать рутинные задачи офицера безопасности. Мы рассказали, как реализована автоматизация составления отчетности об инциденте в Falcongaze SecureTower, на примере расследования утечки информации через Skype продемонстрировали, как с помощью модуля Центр расследования инцидентов и инструментов DLP-системы Falcongaze SecureTower провести расследование инцидента ИБ, сформировать дело, выявить причастных лиц (фигурантов дела), сформировать доказательную базу и автоматически подготовить отчеты о расследовании для руководства компании и заинтересованных лиц.
Центр расследований обладает гибким и удобным инструментарием, что позволяет удобно организовать работу с документацией в рамках расследований инцидентов ИБ. Наличие контекстного меню Центра расследований в разделах DLP-системы Falcongaze SecureTower позволяет непосредственно из DLP-системы создавать дела, добавлять материалы расследования. Встроенный текстовый редактор модуля позволяет создавать служебные записки и отчеты без отрыва от материалов расследования и не выходя из DLP-системы. В Центре расследований также можно организовать структурированный архив дел с неограниченным сроком хранения. Функциональность модуля также удобна для ведения досье.
