Security

Инцидент ИБ

Инцидент информационной безопасности — событие или цепочка событий, которые нарушили или могли нарушить защищённость информации и требуют реагирования.

Что такое Инцидент ИБ

Инцидент в общем смысле — незапланированное событие, нарушившее нормальный ход работы. Инцидент информационной безопасности (инцидент ИБ) — одно или несколько нежелательных событий, которые с большой вероятностью нарушают конфиденциальность, целостность или доступность информации и требуют реакции.

Ключ к пониманию — цепочка «событие → событие ИБ → инцидент ИБ»:

  • Событие — любая запись в логе. Пользователь вошёл в систему. Их миллионы.
  • Событие ИБ — событие, значимое для защиты. Три неудачных попытки входа. Их тысячи.
  • Инцидент ИБ — то, что нарушило или могло нарушить защищённость. Успешный вход из другой страны после 400 неудачных попыток. Их единицы.

Всю эту воронку и обслуживает связка SIEM + SOC: SIEM превращает события в события ИБ через корреляцию, аналитик превращает события ИБ в инциденты через разбор.

Важный нюанс: инцидент — это не обязательно успешная атака. Отражённая DDoS-атака, найденный на сервере майнер, потерянный сотрудником ноутбук с базой, случайно открытый наружу бакет — всё это инциденты, даже если ущерба не было. «Могло нарушить» в определении стоит не просто так.

Типовые категории

Категория Пример Первый признак
Компрометация учётной записи Вход из нетипичной геолокации Аномалия в логах аутентификации
Вредоносное ПО Шифровальщик, майнер Скачок нагрузки на CPU, рост исходящего трафика
Утечка данных Выгрузка базы инсайдером Срабатывание DLP
Атака на доступность DDoSВсплеск RPS, нарушение SLA
Эксплуатация уязвимости RCE через непропатченный сервис WAF/IDS
Нарушение политики Прод-доступ у уволенного Расхождение в ревью доступов

Жизненный цикл реагирования

  1. Подготовка. План, контакты, права, заранее собранные инструменты. Пишется до инцидента — во время уже поздно.
  2. Обнаружение и анализ. Что произошло, какие активы затронуты, критичность.
  3. Сдерживание. Изолировать сервер, отозвать токены, заблокировать учётку. Здесь чаще всего ошибаются: спешат перезагрузить машину и уничтожают память и артефакты. Сначала снапшот и дамп, потом действия.
  4. Устранение. Закрыть уязвимость, вычистить закрепление атакующего.
  5. Восстановление. Поднять сервис, из бэкапа, с контролем, что бэкап чистый.
  6. Выводы. Постмортем без поиска виноватых — иначе в следующий раз инцидент просто скроют.

Сроки уведомления в России

Требования жёсткие и разные для разных режимов — за просрочку штрафуют отдельно от самого инцидента.

Что произошло Кого уведомить Срок
Утечка персональных данныхРоскомнадзор 24 часа на факт, 72 часа на результаты расследования
Компьютерный инцидент на объекте КИИ (187-ФЗ) НКЦКИ / ГосСОПКА Часы с момента обнаружения, по установленному порядку

ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак; подключение к ней обязательно для субъектов критической информационной инфраструктуры. Порядок информирования задан приказами ФСБ.

Что подготовить заранее

  • Логи, которые переживут инцидент. Логи на взломанном сервере атакующий чистит первым делом. Отправка в централизованный сбор или SIEM — это не удобство, а условие расследования.
  • Синхронное время. Без NTP на всех узлах вы не построите таймлайн.
  • Бэкапы, отключённые от прода. Шифровальщик найдёт и зашифрует смонтированный бэкап-раздел вместе со всем остальным.
  • Проверенное восстановление. Непроверенный бэкап — это не бэкап, см. disaster recovery.

Связанные термины

Готовы запустить GPU-задачу?

Запустить GPU-сервер