Типовые инциденты информационной безопасности#

Примечание

Информация, представленная ниже носит общерекомендательный характер и должна быть адаптирована под требования и особенности конкретной организации.

Инцидент информационной безопасности — это любое событие, которое нарушает политику информационной безопасности организации и подвергает риску конфиденциальные данные – например, финансовые данные клиентов. Примеры типов инцидентов:

  • DDoS-атаки,

  • несанкционированный доступ к сети,

  • заражение вредоносным ПО,

  • атаки программ-вымогателей,

  • внутренние атаки и фишинг,

  • нарушение правил ИБ компании и т.п.

Инциденты ИБ, связанные с работой продуктов CedrusData могут быть идентифицированы, выявлены и зарегистрированы за счет мониторинга событий информационной безопасности — регистрации и последующего анализа. Мониторинг может быть автоматизированным — с использованием специализированных средств (SIEM), ручным или смешанным, с использованием обоих способов.

SIEM позволяют осуществлять централизованный сбор и анализ по заранее заданным правилам корреляции событий информационной безопасности. В случае срабатывания правила и выявления инцидента ИБ такие системы информируют ответственного. Он, в свою очередь, принимает решение о наличии инцидента и приступает к его обработке.

Для удобства интеграции с SEIM-решениями, CedrusData предоставляет следующие интерфейсы для получения журналов:

Если в мониторинге не используется SIEM, ответственные просматривают журналы регистрации событий с определенной периодичностью и принимают решения о наличии инцидента и дальнейшим действиям. Дополнительная информация, способствующая выявлению инцидентов ИБ, может быть получена от пользователей. Например, сотрудник сообщает о потенциальных нарушениях информационной безопасности.

Ниже приводится список типовых инцидентов информационной безопасности, связанных с работой CedrusData, и процедур реагирования на них.

Инцидент

Обнаружение

Процедура реагирования

Несанкционированный вход в систему

Журнал расширенного аудита ИБ, событие ИБ «LoginEvent» с указанием пользователя, у которого не должно быть доступа в систему

В зависимости от настроенного типа аутентификации:
- Файл паролей> удалить запись пользователя из файла, заданного опцией file.password-file файла etc/password-authenticator.properties
- IdP (LDAP, JWT, OAuth, Kerberos, etc.): деактивировать пользователя в IdP или добавить исключающую маску в параметр http-server.authentication.password.user-mapping.pattern (config.properties)
- сертификат: отозвать сертификат пользователя в УЦ или добавить исключающую маску в параметр http-server.authentication.password.user-mapping.pattern (config.properties)

Неоднократные попытки неуспешного входа в систему

Журнал расширенного аудита ИБ, несколько событий ИБ «LoginEvent» подряд с текстом сообщения Authentication failed в поле error

Реагирование аналогично событию «Несанкционированный вход в систему»

Несанкционированный доступ к функциям администрирования

События ИБ, вызванные действиями пользователя, у которого не должно быть доступа к административным функциям

Открыть конфигурацию доступа, используя вариант в соотвествии с настроенным типом авторизации:
- группы LDAP: исключить пользователя из группы LDAP с доступолм к административным функциям
- Файл-провайдер групп: открыть файл в редакторе, исключить пользователя из группы LDAP с доступолм к административным функциям

Попытка подмены сервера AD

Журнал server.log, cобытие ИБ «LdapGroupMapping» (сообщение Executing LDAP query) с параметрами, не соответствующими настройкам компании

Открыть файлы etc\password-authenticator.properties и etc\group-provider.properties, изменить настройки подключения по LDAP на правильные.

Ослаблены ограничения парольной политики

Журнал server.log, событие ИБ «JdkLdapClient» (сообщение Password validation successful) с параметрами, не соответствующими правилам компании

Открыть файлы etc\password-authenticator.properties и etc\group-provider.properties, изменить настройки подключения по LDAP на корректные.

Ослаблены требования по неуспешным попыткам входа

Журнал server.log, появление событий ИБ «JdkLdapClient» (сообщение Password validation failed for user DN) и «LdapAuthenticator» (сообщение Authentication failed for user) в количестве, не соответсвующему политикам, установленным в компании

Пользователя, указанного в сообщении, открыть в LDAP, установить ограниченное количество попыток подключения

Создано неверное правило безопасности

Журнал расширенного аудита ИБ, события ИБ «AccessControlEvent» и при котором содержимое файла политик rules.json (см. Контроль доступа с помощью файла) не соответствует правилам компании

Зайти в Web-интерфейс CedrusData, раздел «Контроль доступа», изменить соответствующие правила безопасности на правильные.

Отсутствие доступных лицензий

Журнал server.log, cобытие ИБ «LicenseManager», сообщение license file is not found

Добавить в систему лицензию (см. Управление лицензией CedrusData).

Порядок действий при выявлении инцидентов информационной безопасности#

Информация об инцидентах ИБ может поступать в подразделение ИБ из разных источников:

  1. Система Helpdesk. Передача от пользователей данных по инцидентам с использованием различных каналов связи (телефон, инструментарий Helpdesk, электронная почта). Для эффективного сбора данных о возможных инцидентах ИБ необходимо иметь в системе виды, классы инцидентов, которые позволят однозначно идентифицировать различные события.

  2. Сообщения непосредственно от пользователей ИС в подразделение ИБ. Для обеспечения сбора данных об инцидентах ИБ может быть выделено контактное лицо в подразделении ИБ, на имя которого от пользователей ИС могут поступать данные об инцидентах ИБ по разным каналам связи (телефон, электронная почта).

  3. Инциденты, обнаруженные сотрудниками ИБ.

  4. Лог-файлы ИС.

В подразделах выше описаны возможные источники (лог-файлы) ИС, которые могут содержать данные о событиях ИБ.

Основные шаги процесса реагирования на инциденты ИБ:

  1. Обнаружение инцидента – идентификация инцидента ИБ. На основании полученных данных от пользователей или собранных самими сотрудниками подразделения ИБ происходит идентификация факта что произошел инцидент ИБ.

  2. Оповещение об инциденте и блокирование влияния инцидента на работу ИС – сотрудником ИБ, который обнаружил инцидент ИБ, направляется уведомление об этом инциденте Администратору ИС, руководителю подразделения ИБ, а также руководителям подразделений, сотрудники которых были вовлечены в инцидент ИБ. В рамках данного шага сотрудник ИБ самостоятельно или с привлечением Администратора ИС проводит мероприятия по блокированию негативного влияния инцидента ИБ на работу ИС.

  3. Первичный сбор данных и регистрация инцидента ИБ – проведение начального расследования, запись деталей событий, сопровождающих инцидент, регистрация инцидента ИБ в соответствующем журнале.

  4. Разработка и реализация оперативного плана по устранению последствий – разработка плана мероприятий с участием необходимых для этого сотрудников, в том числе Администратора ИС, и реализация набора мероприятий. В частности, в рамках данного шага может быть разработаны (при условии, что такой план отсутствует) и исполнены следующие планы:

  5. План восстановления ИС (разрабатывается при внедрении ИС);

  6. План блокировки учетных записей пользователей, которые получили несанкционированный доступ;

  7. План корректировки полномочий отдельных пользователей, которые получили доступ с нарушением ролевой модели;

  8. Детальное расследование инцидента и корректировка процессов – проводится сбор и анализ всех данных, которые связаны с произошедшим инцидентом ИБ. По итогам анализа полученных данных формируются предложения по улучшению процессов внесения изменений в настройки ИС, процессов выдачи прав пользователям, процессов анализа действий пользователе при работе с ИС, процессов контроля и анализа работы ИС.