Обнаружение, изоляция и устранение инцидентов во многом напоминают обезвреживание взрывных устройств — чем быстрее и лучше вы это проделаете, тем меньший урон нанесет инцидент, связанный с безопасностью системы.
Джин Шульц, главный инженер
Наступил субботний вечер. Сеть вашей компании была прекрасно спроектирована, отлично работала и еще лучше обслуживалась. Группа по обеспечению безопасности бьла хорошо обучена, а политики и процедуры поддержания безопасности отражены в инструкциях. Но, стремясь поскорее написать эти инструкции (с тем чтобы получить большую премию), вы забыли внести в них процедуру реагирования на инциденты. И пока вы поздравляли себя с отлично проделанной работой, хакер проник в самое чувствительное место системы.
Что делать теперь? Судьба хранящейся в системе информации зависит от того, как быстро вы сможете ответить на этот вопрос (если только на него есть ответ). Сотрудники компании ждут указаний, что им делать, как и когда. Им также нужно знать, к кому обращаться при обнаружении взлома. Иначе ситуация может быстро выйти из-под контроля. Эскалация ответных усилий особенно важна, если масштабы вторжения выходят за рамки знаний, которые есть у группы обеспечения.
После обнаружения вторжения каждый ваш шаг будет означать движение либо к сохранению, либо к утрате секретов вашей компании. Представьте себе, что случится, если вся важная информация в вашей компьютерной системе будет похищена или уничтожена. Это невозможно? Так утверждают все, пока их система не подверглась взлому!
Всегда помните о важности хранящейся в вашей системе информации! Будьте готовы ее защитить! Убедитесь в том, что каждый (сверху донизу) сотрудник вашей компании знает, что делать при взломе для защиты информации от похищения, модификации или уничтожения.
Рассмотрим пример…
Кошмар реагирования на инцидент[2]
Дэйв Армстронг являлся системным администратором корпоративной сети банка First Fidelity Bank в округе Анаканст. В понедельник, поздно вечером, Дэйв обнаружил, что какой-то хакер полностью контролирует все 200 с лишним систем[3] банка и «бродит» по ним, собирая пароли и тщательно просматривая данные.
