Managementul incidentelor de securitate computerizată - Computer security incident management

În domeniul securității computerului și al tehnologiei informației , gestionarea incidentelor de securitate computerizată implică monitorizarea și detectarea evenimentelor de securitate pe un computer sau rețea de calculatoare și executarea de răspunsuri adecvate la aceste evenimente. Managementul incidentelor de securitate computerizată este o formă specializată de gestionare a incidentelor , al cărei scop principal este dezvoltarea unui răspuns bine înțeles și previzibil la evenimente dăunătoare și intruziuni computerizate.

Gestionarea incidentelor necesită un proces și o echipă de răspuns care urmează acest proces. Această definiție a gestionării incidentelor de securitate computerizată respectă standardele și definițiile descrise în Sistemul Național de Management al Incidentelor (NIMS). Coordonatorul incidentului gestionează răspunsul la un incident de securitate de urgență. Într-un dezastru natural sau un alt eveniment care necesită răspuns de la serviciile de urgență, coordonatorul incidentului ar acționa ca legătura cu managerul incidentelor serviciilor de urgență.

Prezentare generală

Gestionarea incidentelor de securitate computerizată este o funcție administrativă de gestionare și protejare a activelor, rețelelor și sistemelor informatice. Aceste sisteme continuă să devină mai critice pentru bunăstarea personală și economică a societății noastre. Organizațiile (grupuri, asociații și întreprinderi din sectorul public și privat) trebuie să înțeleagă responsabilitățile lor față de binele public și pentru bunăstarea membrilor și a părților interesate. Această responsabilitate se extinde la a avea un program de management pentru „ce trebuie să faci, atunci când lucrurile merg prost”. Managementul incidentelor este un program care definește și implementează un proces pe care o organizație îl poate adopta pentru a promova propria bunăstare și securitatea publicului.

Componentele unui incident

Evenimente

Un eveniment este o modificare observabilă a comportamentului normal al unui sistem, mediu, proces, flux de lucru sau persoană (componente). Există trei tipuri de evenimente de bază:

  1. Normal - un eveniment normal nu afectează componentele critice sau nu necesită controale de modificare înainte de implementarea unei rezoluții. Evenimentele normale nu necesită participarea personalului superior sau notificarea conducerii evenimentului.
  2. Escalarea - un eveniment escaladat afectează sistemele de producție critice sau necesită implementarea unei rezoluții care trebuie să urmeze un proces de control al modificărilor. Evenimentele evacuate necesită participarea personalului superior și notificarea părților interesate despre eveniment.
  3. Urgență - o urgență este un eveniment care poate
    1. impact asupra sănătății sau siguranței ființelor umane
    2. încălcați controalele primare ale sistemelor critice
    3. afectează material performanța componentelor sau din cauza impactului asupra sistemelor componente împiedică activitățile care protejează sau pot afecta sănătatea sau siguranța persoanelor
    4. să fie considerat o situație de urgență ca politică sau prin declarația coordonatorului de incidente disponibil

Personalul de securitate și tehnologie a informațiilor trebuie să se ocupe de evenimente de urgență conform planului de răspuns al incidentelor informatice bine definit.

Incident

Un incident este un eveniment atribuibil unei cauze rădăcină umană. Această distincție este deosebit de importantă atunci când evenimentul este produsul intenției malițioase de a face rău. O notă importantă: toate incidentele sunt evenimente, dar multe evenimente nu sunt incidente. O defecțiune a sistemului sau a aplicației din cauza vârstei sau a defectului poate fi un eveniment de urgență, dar un defect sau o defecțiune aleatorie nu este un incident.

Echipa de răspuns incident

Coordonatorul incidentelor de securitate gestionează procesul de răspuns și este responsabil de asamblarea echipei. Coordonatorul se va asigura că echipa include toate persoanele necesare pentru a evalua în mod corespunzător incidentul și a lua decizii cu privire la cursul adecvat al acțiunii. Echipa incidentă se întâlnește în mod regulat pentru a examina rapoartele de stare și pentru a autoriza remedii specifice. Echipa ar trebui să utilizeze un loc de întâlnire fizic și virtual alocat în prealabil.

Ancheta incidentelor

Ancheta urmărește să determine circumstanțele incidentului. Fiecare incident va justifica sau va necesita o anchetă. Cu toate acestea, resursele de investigare, cum ar fi instrumentele criminalistice, rețelele murdare, rețelele de carantină și consultarea cu forțele de ordine pot fi utile pentru rezolvarea eficientă și rapidă a unui incident de urgență.

Proces

Procesul inițial de gestionare a incidentelor

Autor: Michael Berman (tanjstaffl)
  1. Angajatul, vânzătorul, clientul, partenerul, dispozitivul sau senzorul raportează evenimentul la Help Desk .
  2. Înainte de a crea biletul, biroul de ajutor poate filtra evenimentul ca fals pozitiv. În caz contrar, sistemul de asistență creează un bilet care surprinde evenimentul, sursa evenimentului, gravitatea evenimentului inițial și prioritatea evenimentului.
    1. Sistemul de bilete creează un ID unic pentru eveniment. Personalul IT trebuie să utilizeze biletul pentru a capta e-mail, IM și alte comunicări informale.
    2. Activitățile ulterioare, cum ar fi controlul modificărilor, rapoartele de gestionare a incidentelor și rapoartele de conformitate trebuie să trimită numărul biletului.
    3. În cazurile în care informațiile despre eveniment sunt „Acces restricționat”, biletul trebuie să facă referire la documentele relevante din sistemul securizat de gestionare a documentelor.
  3. Primul nivel responsivilor capturează date eveniment suplimentare și efectuează analiza preliminară. Primul Răspuns determină criticitatea evenimentului. La acest nivel, este fie un eveniment Normal, fie o Escalare.
    1. Evenimentele normale nu afectează sistemele de producție critice sau necesită controale de modificare înainte de implementarea unei rezoluții.
    2. Evenimentele care afectează sisteme critice de producție sau necesită controale de schimbare trebuie escaladate.
    3. Managementul organizației poate solicita o escaladare imediată fără revizuirea primului nivel - al doilea nivel va crea bilet.
  4. Evenimentul este gata de rezolvare. Resursa intră în rezoluție și în categoria problemelor în bilet și trimite biletul pentru închidere.
  5. Titularul biletului (angajat, vânzător, client sau partener) primește rezoluția. Ei stabilesc că problema este rezolvată pentru satisfacția lor sau escaladarea biletului.
  6. Raportul de escaladare este actualizat pentru a arăta acest eveniment, iar biletului i se alocă o a doua resursă de nivel pentru a investiga și a răspunde la eveniment.
  7. Resursa al doilea nivel efectuează o analiză suplimentară și reevaluează criticitatea biletului. Când este necesar, resursa de la cel de-al doilea nivel este responsabilă de implementarea unui control al modificărilor și de notificarea gestionării IT a evenimentului.
  8. Intervenții de urgență:
    1. Evenimentele pot urmări lanțul de escaladare până când se stabilește că este necesar un răspuns de urgență.
    2. Managementul organizației de nivel superior poate determina dacă este necesar un răspuns de urgență și să invoce acest proces direct.

Detaliu de răspuns de urgență

Autor: Michael Berman (tanjstaffl)
  1. Răspunsul de urgență este inițiat prin escaladarea unui eveniment de securitate sau o declarație directă de către CIO sau alt personal al organizației executive. CIO poate atribui coordonatorul incidentului, dar în mod implicit, coordonatorul va fi cel mai înalt membru al personalului de securitate disponibil la momentul incidentului.
  2. Coordonatorul incidentului reunește echipa de răspuns la incident. Echipa se întâlnește folosind un spațiu de întâlnire pre-definit. Unul dintre (CIO, CSO sau Director IT) trebuie să participe la fiecare întâlnire a echipei incidente.
  3. Procesul-verbal al ședinței surprinde starea, acțiunile și rezoluția (rezoluțiile) incidentului. Coordonatorul incidentului raportează costurile, expunerea și riscul continuu de afaceri al incidentului. Echipa de răspuns la incident determină următorul curs de acțiune.
  4. Blocare și reparare - Efectuați acțiunile necesare pentru a preveni deteriorarea suplimentară a organizației, reparați sistemele cu impact și efectuați modificări pentru a preveni reapariția.
  5. Fals pozitiv - Echipa incidentă determină că această problemă nu a justificat un răspuns de urgență. Echipa oferă un raport scris conducerii superioare și problema este tratată fie ca un incident normal, fie este închisă.
  6. Monitorizare și captură - Efectuați o investigație detaliată cu monitorizare continuă pentru a detecta și captura făptuitorul. Acest proces trebuie să includă notificarea următorului personal superior și profesional:
    1. CEO și CFO
    2. Avocat corporatist și relații publice
  7. Examinați și analizați datele de jurnal pentru a determina natura și scopul incidentului. Această etapă ar trebui să includă utilizarea virusului, a programelor spyware, a rootkit-ului și a altor instrumente de detectare pentru a determina repararea și atenuarea necesară.
  8. Reparați sistemele, eliminați vectorii de atac și reduceți vulnerabilitățile exploatabile.
  9. Raportul de testare documentează validarea procesului de reparație.
    1. Sisteme de testare pentru a asigura respectarea politicii și atenuarea riscurilor.
    2. Efectuați reparații suplimentare pentru a rezolva toate vulnerabilitățile actuale.
  10. Cercetați incidentul pentru a stabili sursa atacului și capturarea făptuitorului. Acest lucru va necesita utilizarea instrumentelor medico-legale, analiza jurnalului, medii de laborator curat și laborator murdar și o posibilă comunicare cu Legea sau alte entități externe.
  11. „Raportul privind starea de anchetă”, care conține toate informațiile actuale cu privire la incident. Echipa de răspuns la incidente folosește aceste informații pentru a determina următorul curs de acțiune. (Vezi Ref 2 și Ref 3)

Definiții

Primul răspuns / revizuirea primului nivel
prima persoană care urmează să fie pe scenă sau să primească notificarea unui eveniment, organizațiile ar trebui să ofere instruire primului respondent să recunoască și să reacționeze corect la circumstanțele de urgență.
Bilet de ajutor (control)
un document electronic capturat într-o bază de date și un sistem de urmărire / rezoluție a problemelor
Proprietar de bilete
persoana care raportează evenimentul, proprietarul principal al bunurilor asociate evenimentului sau dreptul comun sau proprietarul jurisdicțional.
Raport de evacuare (control)
Documentația primului respondent pentru escaladarea biletului, Răspunsul scrie aceste informații în bilet sau în jurnalul WIKI pentru eveniment. Biletul face referire la jurnalul WIKI pentru eveniment.
Al doilea nivel
Resurse tehnice senior alocate pentru rezolvarea unui eveniment escaladat.
Coordonator incident
persoană fizică desemnată de conducerea organizației pentru a asambla echipa de răspuns la incident, a gestiona și documenta răspunsul la incident.
Raportul privind starea investigației (control)
documentația rezultatelor investigației curente, coordonatorul poate documenta acest material în bilet, WIKI sau jurnalul inginerului.
Proces-verbal de ședință (control)
documentarea ședinței echipei incidente, procesul verbal documentează participanții, natura actuală a incidentului și acțiunile recomandate. Coordonatorul poate documenta acest material în bilet, WIKI sau jurnalul inginerului.
Blocarea controlului schimbării
proces ordonat ca rezoluție la incident. Acest proces respectă aceleași cerințe de autorizare și răspuns ca un control al schimbărilor de urgență.
Raport de testare (control)
acest raport validează faptul că personalul IT a efectuat toate reparațiile necesare și disponibile la sisteme înainte de a le readuce online.
Camera de război
un mediu sigur pentru revizuirea materialelor confidențiale și investigarea unui incident de securitate.
Raportează către managementul superior (control)
coordonatorul incidentului este responsabil pentru elaborarea unui raport de conducere. Coordonatorul poate documenta acest material în bilet, WIKI sau jurnalul inginerului

Detectarea pașilor de răspuns la incident - Un incident poate fi detectat de un senzor, un analist de rețea sau un utilizator care raportează ceva neobișnuit cu computerul său. Conținere - În caz de trafic de rețea dăunătoare sau de un virus al computerului, managerul de răspuns incident ar trebui să oprească traficul prin scoaterea computerului de pe rețea. Curățare - Rulați o scanare de virus pentru a elimina virusul sau a șterge computerul curat și reimaginarea mașinii. Invers Engineering - Folosiți instrumente criminalistice pentru a înțelege de ce în primul rând a avut loc traficul rău intenționat. Odată ce incidentul este înțeles complet, fă-ți planuri pentru a-ți reduce riscul viitor.

Vezi si

Referințe

  1. ^ "ISO 17799 | ISO / IEC 17799: 2005 (E)" . Tehnologia informației - Tehnici de securitate - Cod de practică pentru gestionarea securității informațiilor . Oficiul ISO pentru drepturi de autor. 2005-06-15. p. 90–94.
  2. ^ "NIMS - Sistemul de comandă incident" . Sistemul de Management Incident național . Departamentul Securității Naționale. 2004-03-01. Arhivat de la original la 18-03-2007 . Preluat 2007-04-08 .
  3. ^ "Crearea unei echipe de răspuns la incidente de securitate computerizată" (PDF) . Computer Echipa de răspuns de urgență . US-CERT. 2003-04-01 . Preluat 2007-04-08 .

Citirea ulterioară