Особенности применения методов выявления различных инцидентов информационной безопасности

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Особенности применения методов выявления различных инцидентов информационной безопасности

Касимов Р.Ф.

Введение

При обеспечении информационной безопасности организации одним из самых важных видов деятельности является выявление инцидентов информационной безопасности. Необходимо понимать то, что невозможно избежать всех инцидентов информационной безопасности, так как всегда могут происходить события, влекущие за собой потенциальную угрозу.

Событие информационной безопасности - идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Инцидент информационной безопасности - одно или серия нежелательных или неожиданных событий в системе информационной безопасности, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации.

У крупных организаций каждые сутки фиксируется большое количество событий, не являющихся инцидентами, но один пропущенный инцидент может стоить это организации очень больших убытков, вплоть до прекращения деятельности.

Существует множество способов борьбы с инцидентами, как на уровне организационных процедур, так и на уровне программных решений. Одним из наиболее эффективных методов является внедрение системы защиты от утечек конфиденциальных данных Data Leak Prevention (DLP) - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) такого предотвращения утечек.

1. Обнаружение и идентификация событий

Реагирование на инциденты начинается с обнаружения и идентификации событий. Обнаружение, функция, найденная в структуре кибербезопасности NIST, должна быть развернута на основе выявленных рисков и потенциальных моделей атак известных угроз. Многие из возможностей, рассмотренных в этой главе, играют роль в других элементах реагирования на инциденты. Некоторые из них обеспечивают автоматическое обнаружение и идентификацию. Автоматизация желательна, когда она снижает затраты, повышает эффективность и является более надежной, чем ручные процессы. Значительный пример использования автоматизации существует, когда технология коррелирует и обнаруживает модели поведения и активности, которые не всегда легко увидеть человеческим глазом. Учитывая огромные объемы данных, производимых организациями в наши дни, обнаружение требует автоматизированных средств поддержки групп информационной безопасности и реагирования на инциденты. Как бы ни была хороша автоматизация, автоматизировать все невозможно, и какая-то форма ручного управления также должна существовать.

Возможности, общие для функций обнаружения и реагирования многих сущностей, включают в себя:

· Предотвращение потери данных

· Сбор данных, включая NetFlow и полные пакеты

· Обнаружение и реагирование на конечные точки

· Системы обнаружения вторжений

· Брандмауэры

· Маршрутизаторы и коммутаторы

· Система доменных имен

· Мониторинг приложений и инфраструктуры

· Управление инцидентами и событиями безопасности

Внедрение этих технологий требует осторожности. Отсутствие определения вариантов использования-конкретных сценариев, в которых существуют риски и пробелы в безопасности, для обнаружения которых предназначено решение, приводит к пробелам в реализации и неправильному управлению. Эти возможности, возможно, предупреждают организацию о событии или инциденте или используются для подтверждения того, имело ли место событие илиинцидент и должно ли оно быть расследовано.

2. Создание детективных возможностей

Чтобы обнаружить события, базовые возможности и технологии, нужны люди, которые их понимают. Эти технологии требуют ресурсов для настройки и поддержания реализации, так что правильные события обнаруживаются, а не события не тратят ресурсы наненужные исследования. Выбор того, следует ли реализовывать каждый из них, сводится к финансовым и риск-ориентированным решениям. Реализация этих типов возможностей отнимает время от других приоритетов. Хитрость заключается в том, чтобы сбалансировать выбор, основанный на факторах затрат и выгодах от снижения риска. Не всякое обнаружение требует технологии. Конечные пользователи являются примером того, как человеческий фактор может быть очень эффективным, например, замечать фишинговые электронные письма первыми, когда другие сотрудники не соблюдают хорошую гигиену электронной почты.

3. Защита от потери данных

Защита от потери данных это необходимое решение, предназначенное для обнаружения конфиденциальных данных в движении, при использовании и в состоянии покоя. Например, если DLP внедряется в организации здравоохранения, ожидается, что он будет решать ситуации, в которых данные передаются, хранятся и используются небезопасными способами. Это может включать отправку данных пациентов по электронной почте в виде открытого текста, хранение их в SharePoint или OneDrive, печать или сохранение на флэш-накопитель. Многие решения DLP содержат медицинскую страховку. Закон об ответственности и переносимости (HIPAA) устанавливает правила из коробки. Другие распространенные стандартные правила включают в себя правила обнаружения финансовой, личной информации (PII) и данных кредитных карт.

4. Реализация защиты от потери данных

Внедрение DLP сопряжено с определенными трудностями. Настройка правил для уменьшения или предотвращения ложных срабатываний требует времени и усилий. Для того чтобы реализация была эффективной, необходимо создать оперативный и воспроизводимый процесс обработки предупреждений об обнаружении. DLP можно настроить так, чтобы оповещать только команду кибербезопасности, предупреждать конечного пользователя и просить его предпринять какие-то действия перед передачей данных и исправлять ситуации путем блокировки и шифрования. Этот процесс управляется пониманием того, какие данные находятся в окружающей среде и чувствительность каждого типа. Один из способов установить это - с помощью матрицы, устанавливающей, как данные должны обрабатываться в определенных состояниях. На рис. 1 показаны примеры использования данных.

Рис. 1. Матрица, показывающая примеры состояний данных

Что делает реализацию и функционирование этой возможности успешной, так это применение вариантов использования на рис. 1 к действиям, необходимым при рассмотрении конкретных типов данных с точки зрения безопасности. В таблице1 показаны варианты использования и действия, необходимые для типовых типов данных.

Таблица 1. Матрица, описывающая, как конкретные типы данных должны обрабатываться для данного сценарии при обнаружении DLP-решением

Один выбор доступен при рассмотрении времени и усилий, необходимых для точной настройки DLP и изучение предупреждения-- это аутсорсинг управления решением. Организации всех размеров пользуются услугами, предлагаемыми поставщиками DLP и другими третьими сторонами, чтобы разгрузить эти операции. Это снимает повседневную нагрузку с локальной команды, потенциально с меньшими затратами, чем штатный сотрудник. Важно установить правила взаимодействия с поставщиком услуг, чтобы обеспечить соответствие мониторинга данных установленным уровням чувствительности. Поскольку воздействие на производительность бизнес-процессов и аппаратного обеспечения возможно, связь с базой пользователей и медленное, преднамеренное развертывание решения имеет смысл. Последнее, что нужно команде информационной безопасности, -- это внедрение, приводящее к замедлению бизнеса.

5. Обработка типов данных

Данные пересекают сеть и передаются клиентам и деловым партнерам. DLP обнаруживает экземпляры, в которых рассматриваемые типы данных находятся в движении. Конфиденциальные данные, передаваемые из организации открытым текстом, обычно запрещены и должны быть предотвращены. Некоторые данные в состоянии покоя требуют хранения в безопасных местах. Разрешение конфиденциальным данным находиться на сайтах SharePoint, OneDrive или, в некоторых случаях, на ноутбуках, как правило, является нарушением политики. DLP используется для идентификации случаев, в которых данные хранятся в нарушение политики. Опять же, решение может просто предупредить, зашифровать данные там, где они находятся, или переместить данные и оставить записку с новым местоположением, где данные находятся в состоянии покоя. Действия шифрования или перемещения обычно происходят после того, как решение было на месте в течение некоторого времени, и вероятность ложного срабатывания ниже.

6. Обнаружение и реагирование конечной точки

Обнаружение и реагирование конечных точек -- это способность, используемая для обнаружения изменений, внесенных в конечные точки в соответствии с известными показателями атаки или поведения и несогласованными базовыми показателями нормального поведения. Это делается путем записи того, что происходит в конечной точке--конфигурации, файле и учетных записях пользователей--и сохранения его для просмотра и анализа, когда это необходимо. Сущности могут хранить эти данные в базе данных или агрегировать их с другими данными и журналами в корреляционном решении, таком как SIEM. Эти решения действуют на передовой линии обнаружения и являются ценными во время локализации. Некоторые реализации используют поведение аналитика и машинный интеллект для оповещения о возможных событиях безопасности. Эти решения позволяют команде быстро реагировать на происходящее и принимать соответствующие меры. Некоторые распространенные игроки в этом пространстве включают:

· FireEye Endpoint Security.

· Carbon Black's Cb Response.

· Cybereason Total Enterprise Protection.

· Symantec Endpoint Protection.

· CrowdStrike Falcon Insight.

Это короткий список игроков в этом пространстве, и дифференциация каждого требует времени и исследований. Полный список можно найти в обзоре Gartner Peer Insights review.

7. Анализ трафика

информационный безопасность пакет сеть

Захват пакетов помогает командам реагирования на инциденты подтвердить наличие подозрительных событий. Организации внедряют эти решения на основе стратегии реагирования на инциденты и мониторинга. Сущности могут выбирать захват полных пакетов, заголовков и заголовков потока (заголовок и часть содержимого пакета) в зависимости от потребностей программы и предлагаемых решений. NetFlow -- это еще один вариант. Разработанный Cisco, NetFlow позволяет сущностям собирать данные о происхождении, назначении и количестве трафика. По словам Майкла Паттерсона, в своем блоге Plixer, обсуждая разницу между

NetFlow и захват пакетов, информация, предоставляемая NetFlow, улучшается. Сетевые устройства с поддержкой NetFlow собирают эти данные для проверки. Иногда информация NetFlow необходима для определения того, откуда в сети берется трафик, для обнаружения аномального поведения. Если активность DNS-сервера резко возрастает, информация NetFlow, поступающая на DNS-сервер, информирует аналитиков о том, откуда исходит трафик внутри объекта, чтобы можно было дополнительно исследовать конечную точку. Захват полных пакетов - идеальный метод анализа трафика, но очень дорогостоящий. То объем хранения данных является непомерно высоким как при хранении, так и при обслуживании. Захват полного пакета требует стратегического развертывания и конкретных вариантов использования. Поэтому NetFlow является эффективной альтернативой при анализе трафика. Эти данные можно использовать не только для реагирования на инциденты, но и для устранения проблем с производительностью. Большинство брандмауэров и маршрутизаторов на рынке способны захватывать трафик NetFlow. При реализации этой возможности есть много решений на выбор. Крупные производители сетевого оборудования предлагают эту возможность, и нишевые игроки существуют, добавление аналитики угроз поверх анализа трафика пакетов и NetFlow.

Размещено на Allbest.ru