Понять цели и установить их приоритеты
Понять цели и установить их приоритеты
Цели и приоритеты вашей компании и соседних организаций могут взаимно отличаться. Главным при этом будет то, что при сложных инцидентах не будет времени оценивать приоритеты. Поэтому ваши цели при обнаружении взлома должны быть отражены в документах и понятны вам еще до того, как взлом произойдет.
Знание своих целей важно при составлении соответствующего плана действий. Цели действий в условиях вашей сети могут включать в себя некоторые или все из нижеперечисленных.
Защитить информацию клиента. Возможно, ваша сеть хранит важную для клиентов информацию. Если хакер похитит, изменит, уничтожит или даже выставит такую информацию в Интернете, то вы можете предстать перед судом.
Изолировать атаку. Предотвратите использование ваших систем для запуска атаки против других компаний. В некоторых случаях вам будет нужно отключить систему от сети, чтобы предотвратить дальнейший ущерб и ограничить масштабы атаки. Например, если у вас имеется внешняя клиентская сеть (extranet), подключенная к вашей сети, а хакер пытается получить доступ к системе, которая соединяет вас с клиентской сетью, то вы должны защитить сеть вашего клиента. Если вы осознали это, то будьте готовы (и знайте как) перекусить провод.
Оповестить вышестоящее руководство. Руководство отвечает за соответствие, точность и надежность информации. Если системы в вашей компании взламываются, то руководитель информационной службы[6] должен знать об этом и быть в курсе событий.
Обеспечить документирование события. Запись всех подробностей может помочь руководству в получении информации по оценке взлома и при проведении расследований в отношении конкретных лиц.
Сделать «моментальный снимок» системы. «Моментальный снимок» представляет собой содержимое памяти компьютера (ОЗУ, регистров и т. д.) в определенный момент времени. (Иногда «моментальный снимок» называют «разгрузка памяти» или «дамп».) В «моментальном снимке» может сохраниться информация, которую хакер не успел стереть до завершения или отражения атаки и которая может помочь поймать взломщика. Для расследования такая информация может оказаться крайне важной.
Соединитесь с группой реагирования на инциденты, связанные с компьютерной безопасностью (CSIRT - Computer Security Incident Response Team). Важно связаться с одной из CSIRT[7] на ранней стадии вторжения, так как, возможно, у них имеется информация, которая может помочь вам прервать вторжение. Например, они могут знать, как устранить «дыру» в программе или аппаратуре изготовителя, через которую взломщик способен проникнуть в вашу сеть. Они также накапливают статистику по общему количеству взломов и способов, применяемых хакерами для получения доступа. Если вы добились контроля над ситуацией и устранили проблему доступа хакера в сеть, вам все равно следует обратиться к CSIRT для пополнения их статистики. Они не будут предавать огласке название вашей компании и тот факт, что она подверглась взлому. В мире существует множество CSIRT. Подробнее о них можно узнать в Приложении А, «Люди и продукты, о которых следует знать».
Установить взломщика. Данный пункт кажется очевидным, но не все помнят о его важности. Конечно, проще оставить все как есть. Но лучше его поймать. Не сдавайтесь в своих попытках установить взломщика, который нанес вред вашей информации. Если вам не удается сразу отследить путь атаки на вашу сеть, не оставляйте мысли о том, как важно иметь возможность для этого. Ряд изготовителей предлагают программное обеспечение, способное легко отследить путь атаки (если оно установлено на коммутирующем узле). Такая мера должна быть предусмотрена в стратегии вашего руководства.
Знать, кто и за что отвечает. Четко очерченные обязанности устраняют возникновение неопределенности. Знание того, кто и за что отвечает, ускоряет расследование и помогает установить виновного.
Знать, кому вы можете доверять. Сам по себе взлом оказался лишь частью реальной проблемы в First Fidelity. Другой ее частью явилось отсутствие доверия между главными игроками. Если предположить, что Майк виновен, то вопрос доверия превратится в проблему подбора сотрудников. Проводились ли соответствующие проверки персонала? Хотя это может показаться вторжением в чью-то личную жизнь, все же нужно проверять каждого, кто будет отвечать за компьютерную безопасность.
Если считать, что Майк невиновен, то вопрос доверия переходит в плоскость проблем общения. Почему Майку никто не сообщил сразу же о случившемся? Может быть, Дэйву помешало то, что Майк был из службы безопасности? Телефонный звонок мог бы положить начало конструктивному диалогу, и не пришлось бы тыкать друг в друга пальцами и «темнить» при расследовании. Может быть, существует молчаливое недоверие между системными администраторами и группой безопасности? Обида или недоверие сотрудников компании в отношении группы безопасности представляют серьезную проблему, которой надо уделять внимание. Ее игнорирование ставит компанию в рискованное положение. Процедура, в которой отражены действия при конфликте интересов, могла бы помочь и Дэйву. Он мог бы обойти группу безопасности, передав расследование вышестоящему руководству.