Инцидент ИБ
Инцидент информационной безопасности — событие или цепочка событий, которые нарушили или могли нарушить защищённость информации и требуют реагирования.
Что такое Инцидент ИБ
Инцидент в общем смысле — незапланированное событие, нарушившее нормальный ход работы. Инцидент информационной безопасности (инцидент ИБ) — одно или несколько нежелательных событий, которые с большой вероятностью нарушают конфиденциальность, целостность или доступность информации и требуют реакции.
Ключ к пониманию — цепочка «событие → событие ИБ → инцидент ИБ»:
- Событие — любая запись в логе. Пользователь вошёл в систему. Их миллионы.
- Событие ИБ — событие, значимое для защиты. Три неудачных попытки входа. Их тысячи.
- Инцидент ИБ — то, что нарушило или могло нарушить защищённость. Успешный вход из другой страны после 400 неудачных попыток. Их единицы.
Всю эту воронку и обслуживает связка SIEM + SOC: SIEM превращает события в события ИБ через корреляцию, аналитик превращает события ИБ в инциденты через разбор.
Важный нюанс: инцидент — это не обязательно успешная атака. Отражённая DDoS-атака, найденный на сервере майнер, потерянный сотрудником ноутбук с базой, случайно открытый наружу бакет — всё это инциденты, даже если ущерба не было. «Могло нарушить» в определении стоит не просто так.
Типовые категории
| Категория | Пример | Первый признак |
|---|---|---|
| Компрометация учётной записи | Вход из нетипичной геолокации | Аномалия в логах аутентификации |
| Вредоносное ПО | Шифровальщик, майнер | Скачок нагрузки на CPU, рост исходящего трафика |
| Утечка данных | Выгрузка базы инсайдером | Срабатывание DLP |
| Атака на доступность | DDoS | Всплеск RPS, нарушение SLA |
| Эксплуатация уязвимости | RCE через непропатченный сервис | WAF/IDS |
| Нарушение политики | Прод-доступ у уволенного | Расхождение в ревью доступов |
Жизненный цикл реагирования
- Подготовка. План, контакты, права, заранее собранные инструменты. Пишется до инцидента — во время уже поздно.
- Обнаружение и анализ. Что произошло, какие активы затронуты, критичность.
- Сдерживание. Изолировать сервер, отозвать токены, заблокировать учётку. Здесь чаще всего ошибаются: спешат перезагрузить машину и уничтожают память и артефакты. Сначала снапшот и дамп, потом действия.
- Устранение. Закрыть уязвимость, вычистить закрепление атакующего.
- Восстановление. Поднять сервис, из бэкапа, с контролем, что бэкап чистый.
- Выводы. Постмортем без поиска виноватых — иначе в следующий раз инцидент просто скроют.
Сроки уведомления в России
Требования жёсткие и разные для разных режимов — за просрочку штрафуют отдельно от самого инцидента.
| Что произошло | Кого уведомить | Срок |
|---|---|---|
| Утечка персональных данных | Роскомнадзор | 24 часа на факт, 72 часа на результаты расследования |
| Компьютерный инцидент на объекте КИИ (187-ФЗ) | НКЦКИ / ГосСОПКА | Часы с момента обнаружения, по установленному порядку |
ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак; подключение к ней обязательно для субъектов критической информационной инфраструктуры. Порядок информирования задан приказами ФСБ.
Что подготовить заранее
- Логи, которые переживут инцидент. Логи на взломанном сервере атакующий чистит первым делом. Отправка в централизованный сбор или SIEM — это не удобство, а условие расследования.
- Синхронное время. Без NTP на всех узлах вы не построите таймлайн.
- Бэкапы, отключённые от прода. Шифровальщик найдёт и зашифрует смонтированный бэкап-раздел вместе со всем остальным.
- Проверенное восстановление. Непроверенный бэкап — это не бэкап, см. disaster recovery.
Связанные термины
- SIEM — где инцидент обнаруживают
- SOC — кто на инцидент реагирует
- Информационная безопасность — общая рамка
- Персональные данные / 152-ФЗ — откуда берутся 24 и 72 часа
- Резервное копирование — чем восстанавливаются после шифровальщика
Готовы запустить GPU-задачу?
Запустить GPU-сервер