Нарушение безопасности рано или поздно происходит в каждой компании. Организации, не подготовленные к этому, впадают в панику, теряют время и часто только усугубляют ситуацию. Напротив, компании с заранее разработанным Incident Response Plan, то есть планом реагирования на инциденты, берут ситуацию под контроль и сводят ущерб к минимуму. IR-план — это не просто документ, а важный показатель зрелости безопасности компании.
Шесть этапов процесса IR по NIST
Стандарт NIST Special Publication 800-61 разделяет процесс реагирования на инциденты на шесть этапов, и этот подход принят как стандарт по всему миру. Первый этап — подготовка, на котором формируется команда, готовятся инструменты и разрабатываются политики. Второй этап — обнаружение и анализ, когда системы мониторинга фиксируют инцидент. Третий этап — сдерживание, на котором останавливается распространение ущерба. Четвёртый этап — устранение, пятый — восстановление, а шестой — извлечение уроков, чтобы каждый инцидент давал материал для улучшения.
Команда и роли
Команда реагирования, то есть CSIRT или CERT, должна состоять из разных специалистов. Руководитель инцидента управляет всем процессом и принимает решения. Технические аналитики исследуют логи и трафик, определяя природу атаки. Специалист по коммуникациям ведёт диалог с клиентами, СМИ и регуляторами. Юридический советник оценивает правовые последствия и обязательные уведомления. В крупных компаниях отдельный SOC работает круглосуточно и принимает инциденты в первой линии.
Tabletop-учения и симуляции
IR-план может выглядеть отлично на бумаге, но на практике он сразу же разваливается. Именно поэтому регулярное проведение tabletop-учений крайне важно. Tabletop-учение — это теоретический сценарий, в котором члены команды в режиме реального времени обсуждают процесс реагирования на атаку. Более продвинутые компании проводят симуляции red team, когда специалисты, выступающие в роли реальных атакующих, атакуют систему. Эти учения помогают выявить пробелы в IR-плане.
Коммуникация и уведомления
Внешняя коммуникация во время инцидента — очень деликатный вопрос. Когда и как сообщать клиентам, что говорить прессе, когда оповещать регуляторов — всё это должно быть заранее спланировано. Согласно требованиям GDPR, о нарушении персональных данных необходимо уведомить регулятор в течение 72 часов. Шаблоны коммуникации должны быть подготовлены заранее и согласованы с юридическим отделом. Плохо организованная коммуникация часто наносит больше ущерба, чем сам технический инцидент.
Практика Сайт.уз
Команда безопасности Сайт.уз ежеквартально проводит IR-учения и моделирует сценарии атак. Внедрённая в 2024 году система автоматизированных playbook сократила время реакции на типовые инциденты с 47 минут до 6 минут. В стоимость базового хостинга от 95 000 сум входит уведомление клиентов об инциденте и техническая поддержка. Для корпоративных клиентов предлагается специальная услуга IR-retainer от 3 200 000 сум, в рамках которой команда экспертов прибывает на место в течение 24 часов. В 2024 году система успешно обработала 1 247 инцидентов безопасности, и 99,2 процента из них не затронули данные клиентов.