Вестник цифровой трансформации CIO.RU

Что делать, если «вас взломали»?
Что делать, если «вас взломали»?




Шесть рекомендаций, которым стоит последовать, если ваша компания оказалась жертвой хакерского взлома

15:56 13.01.2016  |  0 Комментариев | Боб Вайолино | Шесть рекомендаций, которым стоит последовать, если ваша компания оказалась жертвой хакерского взлома601 просмотров



Что делать, если сеть компании взломали? Задаться ответом на этот вопрос в последнее время пришлось руководству торговых сетей Target и Home Depot, киностудии Sony Pictures Entertainment и других организаций. И вполне вероятно, что в предстоящие месяцы число пострадавших от масштабных взломов вырастет.

РЕКЛАМА

Взлом наносит большой ущерб, особенно когда похищены или скомпрометированы данные клиентов. Но то, как компания отреагирует на атаку, может иметь большое значение в отдаленной перспективе.

Быстрая и эффективная реакция позволяет свести к минимуму ущерб или, по крайней мере, выставить организацию в положительном свете перед клиентами, бизнес-партнерами и обществом в целом. А замедленная и неудачная реакция способна усугубить ситуацию и принести убытки на много лет вперед.

Приведем шесть рекомендаций, которым стоит последовать, если ваша компания оказалась жертвой хакерского взлома.

Что делать, если «вас взломали»?

1. Сохраняйте спокойствие и осуществляйте план реагирования

Первое, что нужно сделать после взлома, — ввести в действие хорошо продуманный план реагирования на происшествия. Если, конечно, он у вас есть. А если нет, то надо его быстро подготовить.

В таком плане нужно предусмотреть, кто будет отвечать за реагирование в целом, перечислить других участников, меры, которые должны принять разные группы, технические средства, которые понадобятся для распознавания атаки и противодействия ей, и т. д.

«Легко запаниковать, начав пытаться ограничивать ущерб, — отмечает Эрик Коул, преподаватель, директор программы киберзащиты SANS Institute. — Но часто, когда нет плана реакции, вы можете неосознанно начать уничтожать улики и делать все только хуже».

В план надо включить: оценку масштабов взлома; идентификацию скомпрометированных данных; совместное с юридическим отделом выяснение, нужно ли довести инцидент до сведения правоохранительных органов; определение того, насколько атака скомпрометировала организацию в целом; оценку ущерба.

При осуществлении плана нужно сосредоточиться на нескольких ключевых задачах. Одна из них — сдерживание. Необходимо позаботиться о том, чтобы вытеснить атакующего из сети. Атакующие могут вести себя очень агрессивно, и если, все еще сохраняя доступ к данным, они поймут, что вы пытаетесь очистить систему, то могут нанести большой ущерб.

Чтобы свести к минимуму возможный дальнейший ущерб от атаки, обычно пытаются изолировать систему и поставить под контроль поток трафика.

Вторая задача — ликвидация уязвимостей. Полное отключение систем на период инцидента — не лучшее решение, однако необходимо уделить время устранению проблемы для предотвращения повторного заражения. Во время инцидента в организациях часто стремятся все восстановить из резервных копий, чтобы как можно быстрее вернуться к работе, но при этом не уделяют внимания устранению самих брешей, которые были использованы атакующим для взлома.

Если противник ворвался в сеть однажды, а проблема не устранена, он сделает это снова.

Третья задача — восстановление. После устранения брешей, использовавшихся для компрометации систем, нужно переключить внимание на восстановление данных и возвращение систем к работе: важно всегда проверять системы, прежде чем вводить их в рабочую эксплуатацию. В процессе восстановления нередко происходит повторное заражение систем.

После проверки систем нужно выполнять их мониторинг, чтобы не позволить атакующему вернуться. «Акцент нужно делать не на активном противодействии противнику, а на пассивном мониторинге процессов и предотвращении повторного взлома и заражения», — добавляет Коул.

2Соберите команду реагирования

«Если произошел взлом, оценкой ситуации должна заняться команда реагирования на инциденты», — подчеркивает Тим Фрэнсис, руководитель по киберстрахованию Travelers.

В такую команду надо включить бизнес-руководителей, сотрудников ИТ-службы и представителей операционного, кадрового, юридического и PR-отделов.

«Возможно, вам понадобится “инструктор по взломам” — адвокат с опытом работы по делам, связанным с нарушениями безопасности и приватности. Он поможет с юридической защитой и толкованием законов и декретов, которые могут быть применены к вашей организации в связи с утечкой данных», — уточняет Фрэнсис.

3По мере необходимости взаимодействуйте с поставщиками и специалистами в области безопасности

Когда надо выяснить причину взлома и позаботиться о предотвращении дальнейших атак, во многих случаях может понадобиться помощь поставщиков ИТ-систем предприятия и компаний, специализирующихся на консультировании по вопросам безопасности.

В начале 2014 года инфраструктура виртуальных машин Иллинойсского технологического института оказалась задействованной в распределенной атаке на отказ в обслуживании, направленной против другого вуза.

«Мы выяснили, что причиной стала уязвимость в платформах VMware, для которой мы не поставили заплату, — сообщает Луис Макхью, системный администратор, преподаватель института. — Брешь нашли в результате проведенного нами исследования и консультаций со специалистами техподдержки VMware. Оказалось, что через нас осуществлялось отражение пакетов NTP для усиления основной DDoS-атаки; мы тогда все еще пользовались NTP для синхронизации времени на серверах».

По признанию Макхью, заплату не установили вовремя в нарушение рекомендаций по лучшим практикам. «Теперь мы внесли изменения, которые нам посоветовали в VMware, — установили заплаты и укрепили серверы для защиты от будущих атак. Кроме того, мы отключили ненужные сервисы на всех системах, регламентировали правила установки заплат для Windows- и Linux-серверов и настроили межсетевые экраны на периферийных маршрутизаторах», — рассказал Макхью.

4Решите юридические вопросы

После инцидента со взломом топ-менеджерам по ИТ, безопасности и другим нужно провести собрание с участием корпоративных и внешних юристов для обсуждения возможных последствий.

«Адвокаты помогут решить вопросы, касающиеся уведомления властей, а кроме того, могут быть особые требования к таким уведомлениям в контрактах с поставщиками и процессинговыми центрами», — отмечает Ларри Кунин, председатель практики по безопасности и утечкам данных адвокатской конторы Morris Manning & Martin.

Так как первопричина появления бреши не всегда сразу ясна, на решение проблем может уйти определенное время и нужно будет принять меры по сохранению всех улик, подчеркивает Скотт Верник, глава практики по приватности и защите данных юридической фирмы Fox Rotshild.

Нужно всегда помнить, что у правоохранительных или регулирующих органов могут возникнуть какие-то требования и что впереди вас может ждать судебное разбирательство. Поэтому при проведении расследований и устранении проблем нужно заботиться о сохранении улик. Возможно, надо будет «клонировать» содержимое серверов, ноутбуков и настольных систем, а также сделать снимки документов и провести расследование по копиям, а не оригиналам.

Юридические вопросы обычно касаются возможности расследования правительством местного или федерального уровня, а также уведомления различных заинтересованных сторон, в том числе бизнес-партнеров, согласно соответствующим нормативным требованиям.

Некоторые правила и процедуры уведомления о взломе могут зависеть даже от отрасли.

Необходимо стараться быть максимально честными и открытыми. Это может быть непросто, поскольку не всегда сразу выясняются все подробности. Но что касается заинтересованных сторон, особенно клиентов, работников и представителей госструктур, то чем быстрее вы все раскроете и чем более открытыми будете, тем лучше, как правило, все заканчивается для вас.

5Урегулируйте вопросы страхования

После взлома как можно скорее уведомите свою страховую компанию. Необходимо, чтобы ИТ-персонал собрал и задокументировал факты относительно инцидента. Часто важную роль в уточнении времени начала атаки и выявлении компьютеров, через которые был совершен взлом, играют протоколы событий безопасности сети.

Данные нужно классифицировать, чтобы выяснить, были ли скомпрометированы финансовая информация и сведения, позволяющие установить личность (например, номера социальной страховки, электронные медицинские карты и иные конфиденциальные сведения). Это позволит сосредоточиться на защите самых важных конфиденциальных данных. Нужно задокументировать в человеко-часах время, затраченное на борьбу с атакой, а также затраты на восстановление.

6Будьте на связи

Важно держать служащих, клиентов, бизнес-партнеров и другие заинтересованные стороны в курсе последней информации об атаке, ее влиянии и реакции организации. Молчание может указывать на вашу некомпетенцию, путаницу или что-то худшее.

«Компаниям очень часто приходится многократно менять публикуемую информацию о масштабах взлома, — отмечает Даррен Хэйес, доцент, директор по кибербезопасности факультета компьютерной науки Университета Пейс. — В Target, возможно, до сих пор не знают, сколько именно записей о покупателях было украдено. Поэтому вам придется уведомить всех клиентов, которым нужно быть бдительными. Также не стоит быть консервативными в оценках последствий взлома».

Пользуйтесь инструментами анализа эмоциональной окраски высказываний, чтобы отыскивать клиентов, жалующихся в социальных сетях, и отвечать на эти жалобы. Считается, что инструменты такого рода нужны прежде всего для маркетинга, но они могут быть эффективными и после инцидентов со взломом.

Но эффективная связь — это еще не все. Нужно также учесть психологические последствия атаки для служащих и клиентов, особенно если результатом стала утечка данных электронной почты или информации, позволяющей установить личность.

«Когда в систему компании проник чужак, это вызывает ощущение серьезного нарушения личного пространства, — полагает Том Кинан, профессор компьютерной науки и природоохранного проектирования Университета Калгари. — Большинство людей воспринимают информацию из электронной почты, даже рабочей, как личную переписку. После взлома стоит найти профессиональных психологов, которые помогут людям справиться с шоком, вызванным тем, что их частная информация попала в чужие руки».

- Bob Violino. You’ve Been Hacked. Now What? Network World. Feb 23, 2015


Теги: Информационная безопасность CSO
На ту же тему: