Послуги
Реагування на інциденти
Що це таке?
Кібератаки стали звичним явищем у всьому світі, становлячи реальну і серйозну загрозу для організацій. Зросла не тільки кількість атак, а і їхня складність, масштабність та летальність. Велика кількість загроз створена, щоб бути непоміченими, водночас як компаніям часто доводиться стикатися з економічними наслідками втраченої інформації та довіри клієнтів.
Традиційні механізми захисту не можуть протистояти силі сучасних кіберзагроз. Багато організацій не мають достатнього рівня обізнаності та необхідну кількість ресурсів, щоб захистити себе від внутрішніх і зовнішніх кіберзагроз. Саме тому впровадження практики розслідування кіберінцидентів є необхідним кроком для забезпечення стабільності бізнесу компаній, збереження клієнтів та постійного розвитку.
Навіщо це потрібно?
Кіберінциденти перш за все спрямовані на дестабілізацію бізнесу компанії. Розроблена компанією «Делойт» Практика розслідування кіберінцидентів дозволить розв’язати низку проблем та ліквідувати або звести до мінімуму наслідки, на які наражається компанія у разі кібератаки, а саме:
- ризик порушення цілісності даних, що може призвести до компрометації даних та втрати значних сум коштів на клієнтських рахунках;
- ризик репутаційних втрат, коли розголос інформації про можливий злам чи компрометацію інформаційної системи може призвести до зниження іміджу компанії на ринку;
- ризик відтоку клієнтів у разі втрати коштів та підвищення занепокоєності захищеністю систем;
- вплив на фінансові показники, коли порушення конфіденційності та цілісності даних може призводити до прямих та непрямих фінансових втрат компанії.
Як здійснюється (етапи)?
Практика розслідування кіберінцидентів містить такі етапи, основними завданнями яких є:
- точно діагностувати кіберінциденти;
- локалізувати та мінімізувати наслідки і втрати;
- виявити основні причини, канали та докази;
- відновити скомпрометовані інформаційні системи;
- впровадити заходи захисту для унеможливлення таких інцидентів у майбутньому.
До основних етапів Практики розслідування кіберінцидентів належать:
1) Дослідження
Основне завдання під час дослідження кіберінциденту – підтвердити зазначений проспект події та визначити мережеву активність після події стосовно інфільтрації систем та ексфільтрації даних, а також визначити додаткові зламані комп'ютери та облікові записи користувачів.
- Зрозуміти потенційну широту і масштаб інциденту.
- Визначити потенційно скомпрометовані системи.
- Визначити журнали реєстрації подій, доступних для інциденту.
2) Оцінка збитку
Оцінка збитку фокусується на з'ясуванні скомпрометованих файлів і даних. Спроба представити загальну картину скомпрометованих або ексфільтрованих даних в інциденті, щоб визначити загальний збиток і основні проблеми, які повинні бути розглянуті в майбутніх діях. Оцінка збитку може дати додаткові вказівки щодо впливу ексфільтрації даних на компанію загалом.
- Визначити файли і дані для оцінки.
- Показники використання файлів та даних та збір розвідувальної інформації.
- Потенційні та фактично ексфільтровані дані.
3) Відновлення
Визначити короткострокові потреби та дії для усунення кіберзагрози на основі показників інциденту та рівня захищеності інформаційних систем. А також визначити довгострокові проекти для подальшого зміцнення інформаційної безпеки компанії.
- Визначити основні експлойти відомих вразливостей.
- Визначити невідомі вразливості.
- Визначити необхідні виправлення та оновлення.
- Відновити інформаційні системи.
- Довгострокові проекти посилення інформаційної безпеки.
До об’єктів розслідування слід внести такий перелік джерел та ресурсів:
- Інформаційні системи.
- Комп’ютерна мережа.
- Web-сайти та сервіси.
- Персонал.
- Процеси управління ІБ.
Результат (що отримає замовник)?
Практика розслідування кіберінцидентів компанії «Делойт» спрямована на миттєве реагування та інформування замовника для прийняття рішень щодо захисту систем, розуміння мотивів зловмисників. Завдяки комплексному поєднанню людей, методології та технологій ми можемо забезпечити швидку звітність, розуміння вже атакованих систем та даних, що перебувають під загрозою атаки. Чітке розуміння ключових ризиків та потреб компанії робить практику «Делойт» унікальним інструментом, в результаті впровадження якого компанія отримає низку конкурентних переваг:
- скорочення ризиків втрати даних;
- скорочення витрат на відновлення даних;
- проактивного, а не реактивного реагування на інциденти;
- інтелектуального розслідування, що дозволяє зрозуміти природу атак завдяки сучасним та передовим інструментам;
- управління в умовах кризових ситуацій.
Чому «Делойт»?
Команда «Делойт» – це сертифіковані спеціалісти в галузі інформаційної безпеки (CISM) та кібербезпеки (CSX) як часткового напряму. Ми володіємо знаннями найкращих практик (Cobit), стандартів інформаційної безпеки та практичним досвідом провадження (ISO/IEC 27001, ISO/IEC 27002, NIST). Також наша команда володіє низкою технік для збору та аналізу даних з багатьох операційних систем та ІТ-архітектур, поєднуючи широко прийняті інструменти і власне розроблене ПЗ; Команда має можливість ефективно збирати дані з безлічі середовищ, зокрема Windows, Mac OS X, Linux і мобільних платформ, як-от Android та iOS.
Ми використовуємо загальноприйняті інструменти і методи для збору і вивчення даних з цих операційних систем. Ці інструменти містять як комерційні (EnCase, Forensic Toolkit (FTK), HB Gary, Paraben, Mandiant, Bit9, NetWitness, Internet Evidence Finder, Hardware Write Block/Disk Duplicator), так і безкоштовні рішення (SANS Investigative Forensic Toolkit (SIFT), SANS Network Investigative Forensic Toolkit (SNIFT), Sleuthkit, Log2timeline, Autopsy, Registry Ripper, Sysinternals, Network Miner).