Professional Documents
Culture Documents
Управління ризиками лекції
Управління ризиками лекції
Управління ризиками лекції
КОНСПЕКТ ЛЕКЦІЙ
з дисципліни
«УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ ТА/АБО
КІБЕРБЕЗПЕКИ»
для студентів
спеціальності - 125 Кібербезпека
Одеса, 2023
ЗМІСТ
Кібербезпека................................................................................................................................................................. 3
Термінологія........................................................................................................................................................... 4
Складові ризику.................................................................................................................................................... 5
Технічні та бізнес-впливи................................................................................................................................ 6
Управління ризиком........................................................................................................................................... 7
Аналіз ризиків.....................................................................................................................................................10
Кращі практики.................................................................................................................................................. 19
Типи процедур.................................................................................................................................................... 24
Невиконання........................................................................................................................................................ 30
Оцінка ризику..................................................................................................................................................... 32
Документування.................................................................................................................................................35
Реєстрація ризику.............................................................................................................................................. 37
Базовий приклад.............................................................................................................................................38
Ризик-менеджмент.................................................................................................................................................. 39
ПРИЙНЯТТЯ РИЗИКУ..................................................................................................................................41
РОЗПОДІЛ РИЗИКУ........................................................................................................................................43
АУТСОРСИНГ РИЗИКУ...............................................................................................................................45
ПОПЕРЕДЖЕННЯ РИЗИКУ.......................................................................................................................45
Додаткові матеріали............................................................................................................................................... 47
КЛАСИФІКАЦІЯ РИЗИКІВ.........................................................................................................................47
Загрози.................................................................................................................................................................... 71
Уразливі місця.................................................................................................................................................... 73
Рейтинг загроз.....................................................................................................................................................74
Кібербезпека
У нашому світі з високим ступенем зв’язку розвиток технологій
прискорюються експоненціально, надаючи людям нові та швидші способи
роботи з інформацією. Разом з цим відбувається зростання рівня загроз
інформаційної та/або кібербезпеки. Важко переоцінити значення безпеки в
сучасних інформаційних системах.
Термінологія
Кібербезпека стосується захисту особистої чи корпоративної
інформації або інформаційних ресурсів від несанкціонованого доступу,
атак, крадіжки або пошкодження даних. У контексті кібербезпеки ви
зустрінете різні загальні терміни, які мають особливе значення:
Актив: будь-що цінне, що може бути скомпрометовано,
викрадено або чому може бути завдано шкоди, включаючи інформацію,
фізичні ресурси та репутацію.
Загроза: будь-яка подія чи дія, яка потенційно може спричинити
пошкодження активу або переривання послуг.
Атака: навмисна спроба обійти одну або декілька служб безпеки
чи засобів керування інформаційною системою.
Уразливість: стан, який робить систему та її активи відкритими
для шкоди включно з такими речами як помилки програмного забезпечення,
ненадійні паролі, неналежний фізичний захист і погано спроектовані мережі.
Експлойт: техніка, яка використовує вразливість для здійснення
атаки. Експлойт також може стосуватися упакованої форми інструментів,
таких як програми або скрипти, які автоматизують процес зламу, щоб навіть
некваліфікований зловмисник міг використати експлойт для здійснення
атаки.
Контроль: контрзахід, який ви застосовуєте, щоб уникнути,
зменшити або протидіяти ризикам безпеки через загрози чи атаки.
Складові ризику
Ваша відповідальність як професіонала з кібербезпеки полягає у
виявленні ризиків і захисті ваших систем від них. У цьому контексті ризик –
це міра вашої схильності до ймовірності пошкодження або втрати. Це
означає ймовірність виникнення небезпеки або небезпечної загрози. Ризик
часто пов’язаний із втратою системи, живлення чи мережі та іншими
фізичними втратами. Однак ризик також впливає на людей, практику та
процеси.
Хоча здається, що існує необмежена кількість можливостей і варіацій,
коли йдеться про типи атак, які можна влаштувати, на жаль, час і ресурси, які
ви можете присвятити захисту активу, не безмежні. Ви повинні визначити, як
боротися з різними ризиками, коли плануєте безпеку своїх активів, що є
процесом, який називається управлінням ризиками. Щоб ефективно
управляти ризиком, необхідно враховувати фактори, властиві ризикам, з
якими ви маєте справу.
Часто вважається, що ризик складається з трьох факторів, що
виражається у такій формулі:
Ризик = Загрози × Вразливі місця × Наслідки
Загроза: щось або хтось, хто може скористатися вразливими
місцями.
Вразливість: слабке місце або недолік, який дозволяє
зловмиснику порушити цілісність системи.
Наслідком є збиток, який виникає через те, що загроза
скористалася вразливістю.
У наступному прикладі хакер (загроза) використовує бекдор
(вразливість), щоб установити зловмисне програмне забезпечення на
загальнодоступний веб-сервер, що спричиняє збій сервера (технічний
наслідок). Це призводить до втрати прибутку та потребує часу та грошей,
щоб переконатися, що сервер очищено від «інфекції» (незаплановані
витрати). Тоді акціонери компанії можуть втратити впевненість у безпеці
громадських послуг організації, що може зменшити ймовірність
продовження підтримки компанії.
Технічні та бізнес-впливи
Наслідки можуть включати як технічні, так і бізнес-наслідки.
Наприклад, технічні наслідки атаки можуть включати певну послугу, яка стає
недоступною для користувачів (тобто, відмова в обслуговуванні [DoS]) або
різні активи, що скомпрометовані, наприклад, видалення даних або надання
доступу неавторизованому користувачеві. У свою чергу, ці технічні
проблеми можуть призвести до кінцевого впливу на бізнес, наприклад, до
розгніваних клієнтів, пошкодження ділових відносин, незапланованих витрат
і втрати довіри акціонерів.
Управління ризиком
Щоб задовольнити постійно зростаючі потреби в інформаційній
безпеці та надійності інформації, професіонал повинен мати можливість
керувати ризиками, яким піддається його інформація. Управління ризиками
зазвичай визначається як циклічний процес ідентифікації, оцінки,
аналізу та реагування на ризики.
Цей процес не закінчується – поки інформація існує, вона
потребуватиме захисту. Таким чином, управління ризиками повторюється
безстроково, щоб ви могли завжди зберігати свою інформацію якомога
безпечніше. Без управління ризиками ваша безпека буде пасивною; і якщо ви
пасивно захищаєте свою інформацію, вона буде залежати від швидких змін
технологічного прогресу.
ERM (Корпоративне управління ризиками)
Комплексний процес оцінювання, вимірювання та пом’якшення
багатьох ризиків, які пронизують організацію, називається корпоративним
управлінням ризиками (ERM – Enterprise Risk Management). Процес
ERM є важливою частиною будь-якої організації, яка прагне досягти своїх
цілей. Традиційно відповідальність за ERM організації покладалася на
фінансового та актуарного фахівця (актуарій – спеціаліст з оцінки ризиків,
фінансовий аналітик і консультант у сфері страхування, людина, яка
застосовує на практиці актуарну математику; офіційно вповноважена особа,
яка має відповідну фахову підготовку та обчислює страхові тарифи).
Однак, враховуючи те, що сьогоднішній інформаційний ландшафт
зосереджений на інформації та взаємопов’язаних системах у всьому світі,
обов’язки ERM також повинен розділити ІТ-відділ.
Обсяг і складність ресурсів, які надають підприємства, можуть бути
величезними, і, безперечно, є викликом для тих, хто відповідає за їх безпеку.
Цей корпоративний підхід до наявності та доступності ресурсів спрямований
на виявлення ризиків, тобто через мозковий штурм пропонує численні
варіанти, за допомогою яких зловмисники можуть скомпрометувати роботу
бізнесу, а також ідентифікує способи, якими середовище підприємства,
співробітники, клієнти та партнери можуть ненавмисно зробити те саме.
Розподіливши функції управління ризиками на всіх рівнях організації,
ви можете підвищити обізнаність про проблеми кібербезпеки та розглянути
всі рівні управління ризиками.
Причин, які спонукають до впровадження ERM, багато. Нижче
наведено деякі з них.
Зберігання конфіденційної інформації про клієнта від
несанкціонованого доступу
Зберігання комерційної таємниці від публічної сфери
Уникнення фінансових втрат через пошкоджені ресурси
Уникнення правових проблем
Підтримання позитивного суспільного сприйняття бренду/іміджу
підприємства
Забезпечення безперервності господарської діяльності
Встановлення довіри та відповідальності в ділових відносинах
Виконання вимог стейкхолдерів (зацікавлених сторін)
Якими б не були причини, ERM стає все більш важливою стратегією в
діловому світі та складною частиною обов’язків будь-якого спеціаліста із
забезпечення захисту інформації.
Схильність до ризику – це властивість, яка визначає, наскільки
організація вразлива до втрат. При кількісній оцінці ризик зазвичай
визначається як добуток ймовірності того, що інцидент станеться, і
очікуваного впливу або збитку, який настане, якщо він відбудеться.
Організація наражає себе на ризик у кожній своїй дії. Ці дії
відбуваються в процесі ведення бізнесу організацією, постійна потреба в
оцінці цих ризиків породила індустрію безпеки в цілому. Без ризику не було
б потреби в безпеці, оскільки не було б наслідків для погано виконаних
бізнес-процесів. Оскільки підприємства дедалі більше залежать від
технологій, зростаюча кількість ризиків пов’язана з професіоналами з
комп’ютерної безпеки як основним засобом керування цими ризиками.
Завдяки ERM організація може підтримувати низький рівень ризику,
але ніколи не може його повністю уникнути. Ось чому це так важливо для
безпеки постійно бути пильними щодо елементів ризику (включаючи
загрози, атаки та вразливі місця), які потенційно можуть завдати шкоди
активам підприємства. Ігнорування ризику вашої організації обмежить її
здатність виживати в будь-якій галузі.
Аналіз ризиків
При визначенні того, як захистити комп’ютерні мережі, комп’ютерні
установки та інформацію, аналіз ризиків – це процес безпеки, який
використовується для оцінки збитків від ризиків, які можуть вплинути
на організацію. Стиль змісту та результатів будь-якого аналізу ризиків має
відображати рамки та юрисдикцію, в межах якої працює організація.
Наприклад, у Великій Британії аналіз ризиків, який виконується для уряду
або як частина державних контрактів, має представляти результати діловою
мовою. На противагу цьому, якщо аналіз ризиків проводиться як частина
сертифікації ISO 27000, тоді такого обмеження не існує, окрім ймовірності та
наслідків ризиків.
Методи аналізу ризику, які використовують для розрахунку ризику,
можна розділити на три категорії:
1. Якісні: Методи якісного аналізу використовують описи та слова
для вимірювання ймовірності та впливу ризику. Наприклад, оцінки впливу
можуть бути серйозними/високими , помірними/середніми або низькими.
Подібним чином рейтинги ймовірності можуть бути ймовірно,
малоймовірно або рідко. Якісний аналіз зазвичай базується на сценаріях.
Слабкість якісного аналізу ризику полягає в його методології, яка іноді є
суб’єктивною та не піддається перевірці. Ви також можете призначити числа
від 0 до 9 для вимірювання сили впливу та потенціалу пошкодження. Однак
ви не виконуєте розрахунки за числами, присвоєними ризикам. Метою
якісної оцінки є, наприклад, ранжування ризиків за шкалою від 1 до 25 (будь-
яке ранжування за будь-якою шкалою).
2. Кількісні: кількісний аналіз повністю базується на числових
значеннях. Дані аналізуються з використанням історичних записів, досвіду,
найкращих галузевих практик і записів, статистичних теорій, тестування та
експериментів. Ця методологія може бути слабкою в ситуаціях, коли ризик
важко визначити кількісно. Метою кількісного аналізу є обчислення
ймовірних втрат для кожного ризику.
3. Напівкількісні (або напівякісні чи змішані): метод
напівкількісного аналізу існує, оскільки неможливо провести суто кількісну
оцінку ризику, враховуючи, що деякі проблеми не піддаються цифрам.
Наприклад, скільки моральний стан вашого працівника коштує в гривнях?
Чого варта ваша корпоративна репутація? Напівкількісний аналіз
намагається знайти золоту середину між двома попередніми типами аналізу
ризику, щоб створити гібридний метод.
При
клад документа Політики
Рисунок 1.3: Приклад документа процесу
Типи процедур
Нижче наведено приклади загальних процедур безпеки, які можна
знайти в багатьох організаціях.
Видобуток доказів: щоб підтримати процес судового розслідування,
коли це необхідно після інциденту безпеки, організація повинна розробити
процедури для збору та надання доказів. Залежно від обставин інциденту ці
докази можуть зберігатися всередині компанії, але їх також може
знадобитися надати третій юридичній особі. Процедури повинні гарантувати,
що докази підтримують цілісність і підтверджуються на кожному етапі
процесу, щоб їх актуальність і точність не могли бути поставлені під сумнів.
Виправлення: дослідники безпеки, групи розробників і зловмисники
постійно виявляють нові вразливості програмного забезпечення, навіть якщо
це програмне забезпечення існує роками. Таким чином, виправлення є
життєво важливою процедурою, яка запобігає використанню цих
уразливостей зловмисником. В організації процедури виправлення часто не
є простим натисканням кнопки оновлення чи навіть автоматизованим
процесом. Службі безпеки та іншому персоналу може знадобитися ретельно
перевірити виправлення, перш ніж вони надішлють їх у робочі системи,
переконавшись, що зміни в програмному забезпеченні не вплинуть на роботу
негативно.
Розвиток компенсаційного контролю: компенсаційний контроль – це
захід безпеки, який використовується для зменшення ризику, коли основний
контроль безпеки не працює або не може повністю відповідати очікуванням.
Наприклад, основним контролем може бути те, що хост генерує сповіщення
для адміністратора, коли виявляє підозрілу поведінку, як-от повторні невдалі
спроби входу. Однак існує ймовірність, що сповіщення не дійде до
адміністратора з будь-якої причини або що хост взагалі не попередить про
дію. Таким чином, перегляд журналів вручну, таких як системний
журнал/журнали подій, журнали автентифікації та журнали брандмауера, є
компенсаційним контролем, оскільки людина може помітити підозрілу
поведінку, яку автоматизована система не помітила. Ви також можете
розробити компенсаційні елементи керування для підтримки первинних
елементів керування, а не просто замінити їх у разі необхідності. Наприклад,
залучення до аналізу даних може допомогти зміцнити існуючий інструмент
або систему. Співробітники служби безпеки можуть виконувати аналіз
тенденцій і історичний аналіз, щоб передбачити майбутню поведінку певної
системи, яку статичний інструмент може бути не в змозі передбачити, а
також персонал може збирати в одне ціле та співвідносити дані, щоб надати
інструменту повнішу перспективу подій.
Контрольні процедури тестування: так само, як тестування патчів
(виправлень), організаціям може знадобитися окреслити процедури
тестування запланованих або існуючих засобів контролю безпеки. Ці
процедури мають перевірити ефективність контролю щодо зниження ризику
та зважити це проти його вартості. Процедури тестування контролю краще
виконувати не один раз, а постійно, щоб ви могли визначити, коли засіб
керування відстає від сучасних технологій або коли він більше не відповідає
мінливим потребам бізнесу.
Планування виправлення: коли оцінка безпеки або інший огляд
визначає проблемні області в організації, має бути розроблений план
усунення цих проблем. Плани виправлення зазвичай включають кроки з
видалення або призупинення роботи системи на час усунення помилки; це
має бути зроблено таким чином, щоб максимально уникнути збоїв. Плани
виправлення можуть також включати загальні кроки для реалізації самого
виправлення, припускаючи, що це відоме рішення. В іншому випадку план
може потребувати надання більш узагальнених кроків для нового та
неперевіреного рішення.
Управління винятками: у цьому контексті винятком є будь-яка
обставина, яка ускладнює для організації виконання стандартних процедур
усунення. Наприклад, організація може мати застаріле програмне
забезпечення, яке є невід’ємною частиною бізнес-операцій. Оцінка безпеки
визначає кілька вразливостей в інтерфейсах прикладного програмування
(API) і бібліотеках, які він використовує. Зазвичай коригувальною дією буде
лише оновлення цих API та бібліотек, але це, по суті, порушить застарілу
програму. Переписування коду в застарілій програмі, щоб вона працювала з
цими оновленнями, теж не зовсім здійсненне. Це виняток із процесу
відновлення.
Суворі процедури керування винятковими ситуаціями передбачатимуть
подібні проблеми та інструктуватимуть персонал щодо найкращих дій. У
наведеному вище прикладі працівникам служби безпеки знадобиться план,
щоб повідомити керівникам вищого рівня про їхній вибір: або прийняти
ризик, або відмовитися від застарілої програми та шукати нове рішення.
План керування винятковими ситуаціями також може надати персоналу
служби безпеки компенсаційні засоби контролю, які не зовсім пом’якшують
ризик, але принаймні дещо його зменшують або переносять в інше місце
(страхування ризику).
Невиконання
Недотримання певних ділових документів, особливо тих, які мають
юридичну силу, може призвести до серйозних покарань для організації чи
особи. Наприклад, припустімо, що ваша організація має ISA з іншою
організацією. Якщо ваша безпека надто сильно відхиляється від вимог, з
якими ви погодилися в ISA, і станеться порушення, ваша організація не лише
нестиме відповідальність за порушення, але й суб’єкт господарювання, з
яким ви співпрацюєте, також може подати позов проти вашої організації. Це
може призвести до великих штрафів, які серйозно вплинуть на бізнес-
операції та прибутковість. Ви можете нести значну відповідальність навіть за
юридично необов’язкові угоди. Негативні наслідки часто більш
нематеріальні. Ваша організація може втратити повагу в очах зацікавлених
сторін і потенційних партнерів, що може вплинути на її репутацію на ринку.
Навіть фізичні особи можуть бути притягнуті до відповідальності за
невиконання, особливо таких документів, як NDA. Якщо ваш роботодавець
змусить вас підписати NDA і ви розголошуєте конфіденційну інформацію
неавторизованим сторонам, ви можете втратити роботу та отримати позов
про відшкодування збитків.
Дотримуйтесь цих вказівок під час інтеграції документації у ваші
стратегії ERM:
Завантажте безкоштовні шаблони політики, щоб спростити створення
політики.
Розгляньте можливість найняти консультанта, якщо ваша організація
не може підтримувати внутрішню розробку політики.
Використовуйте пряму, стислу мову та уникайте юридичного жаргону
в політиках.
Залучайте бізнес-лідерів до розробки політики та переконайтеся, що
виконавче керівництво схвалює політику перед тим, як її застосовувати.
Підтримка політики з чітко визначеними процесами та процедурами.
Зробіть процеси та процедури легкими для дотримання та пристосуйте
їх до технічних можливостей вашої аудиторії.
Порівняйте політику, процеси та процедури з політиками інших
організацій.
Розглядайте політики, процеси та процедури як живі документи, які
можуть змінюватися в міру розвитку бізнесу та технологій.
Включіть найкращі практики, такі як ротація робочих місць,
обов’язкові відпустки та навчання користувачів, у свою політику на основі
конкретних вимог підприємства.
Залучайте HR, юрисконсультів, керівництво та інші організації до
процесу розробки політики, щоб отримати унікальні перспективи.
Переконайтеся, що політика містить положення щодо відповідності
законодавству та нормам.
Визначте будь-яку конфіденційну ідентифікаційну інформацію, яку
обробляє ваша організація.
Відверто повідомляйте своїм клієнтам, як і з якою метою
використовуватиметься їхня ідентифікаційна інформація.
Порадьте своїх клієнтів щодо найкращих практик збереження
конфіденційності.
Розробіть план безперервності бізнесу (business continuity plan, BCP),
щоб підтримувати повсякденну роботу в разі інциденту.
Визначте в BCP, які компоненти знаходяться під загрозою та як їх слід
зберігати в безпеці.
Перевіряйте свій BCP і перевіряйте його регулярно.
Визначте різноманітні ділові документи та угоди, які стосуються
потреб вашого підприємства.
Використовуйте таку угоду, як SLA, у будь-якому партнерстві, яке
потребує надійної безпеки та юридичної та фінансової відповідальності.
Оцінка ризику
Оцінка ризику використовується для виявлення, аналізу та обчислення
ризиків. Вона виконується для ідентифікації будь-яких інформаційних
активів, які можуть стати ціллю кібератаки: апаратне забезпечення,
програмне забезпечення, дані клієнтів та інтелектуальну власність. Після
визначення типів даних оцінка ризику визначить типи ризиків, пов’язані з
кожним типом ідентифікованого ризику. Потім буде запроваджено засоби
контролю, щоб запобігти виникненню будь-якого із зазначених ризиків. Цей
процес буде постійним циклом, який слід виконувати регулярно, оскільки
система та активи організації постійно змінюватимуться.
Яка є загроза ?
Чи вразлива система до цієї загрози?
Як цей ризик вплине на організацію (репутаційні або матеріальні
збитки)?
Крім цього, існує 2 типи методів оцінки ризиків, які можна виконати.
Документування
Оцінка ризиків буде основою стратегії управління ризиками для
організації, тому це фундаментальна частина процесу. Нижче наведено
кроки, які ви можете виконати під час проведення оцінки ризику.
1. Будьте в курсі системи: що це таке, що вона робить, хто нею
користується тощо.
2. Визначте загрози: несанкціонований доступ, неправомірне
використання інформації, витік даних, втрата даних або порушення роботи
служби.
3. Визначте ризик і вплив ризику: ризик матиме високий, середній
чи низький вплив на систему?
4. Проаналізуйте контрольне середовище: ви можете зробити це,
переглянувши кілька категорій інформації та оцінивши середовище. Ви
шукаєте все, що може допомогти запобігти загрозам, будь-яку форму
пом’якшення, процеси виявлення або будь-який тип контролю, який можна
використовувати для виявлення загроз у системі. Знову ж таки, кожен з цих
засобів можна категоріювати згідно з такими категоріями: задовільний,
задовільний із рекомендаціями, потребує покращення, невідповідний.
5. Визначте оцінку ймовірності: визначте, наскільки ймовірна
кожна подія, проаналізувавши засоби контролю, які ваша організація має на
місці для запобігання цим проблемам. Це також можна класифікувати на
високий, середній і низький рівень ймовірності.
6. Нарешті, ви зможете розрахувати рейтинг ризику:
Інша документація:
Політика ризиків
План пом’якшення (покращення, зменшення) ризиків
План комунікації ризиків
План реагування на ризики
Процес ризику
Реєстрація ризику
Розглянемо вміст реєстру ризиків і побачимо, для чого його можна
використовувати.
Кроки :
Базовий приклад
Нижче наведено приклад реєстру ризиків, взятий із Tyler Cybersecurity .
Його завершено та внесено всю відповідну інформацію залежно від
виявленого ризику.
Ризик-менеджмент
Ризик-менеджмент – це не автономна діяльність, ізольована від
основних видів діяльності. Ризик-менеджмент є частиною обов’язків
керівництва та невід'ємною частиною всіх організаційних процесів,
включаючи стратегічне планування, проекти і процеси.
Ризик-орієнтоване управління передбачає створення необхідної
культури та інфраструктури бізнесу для:
виявлення причин і основних факторів виникнення ризиків;
ідентифікації, аналізу та оцінки ризиків;
прийняття рішень на основі проведеної оцінки;
вироблення антиризикових керуючих впливів;
зниження ризику до прийнятного рівня;
організації виконання протиризикової програми;
контролю виконання запланованих дій;
аналізу та оцінки результатів.
Методи реагування на ризики
УХИЛЕННЯ ВІД РИЗИКІВ.
ПРИЙНЯТТЯ РИЗИКІВ.
РОЗПОДІЛ ТА АУТСОРСИНГ РИЗИКУ.
ПОПЕРЕДЖЕННЯ РИЗИКУ.
ЗНИЖЕННЯ СТУПЕНЯ РИЗИКУ.
ПРИЙНЯТТЯ РИЗИКУ
ПРИЙНЯТТЯ РИЗИКУ передбачає взяття ризику на свою
відповідальність або його збереження та не передбачає вживання жодних
заходів щодо захисту від нього. Застосовується у випадках, коли рівень
ризику знаходиться на прийнятному рівні, а вплив на нього є неможливим
або економічно неефективним і за умови настання ризику призводить до
втрат.
ПРИЙНЯТТЯ РИЗИКУ Втрати у разі настання ризику можуть
покриватись за рахунок: поточного грошового потоку; отримання кредитів,
позик; державних дотацій; використання додаткових коштів, що вносяться
власниками бізнесу з метою його підтримки; спонсорства; резервування
власних коштів для непередбачених випадків; самострахування.
ПРИЙНЯТТЯ РИЗИКУ може бути запланованим (свідомим) та
незапланованим (несвідомим)
Незаплановане прийняття ризику виникає, якщо: джерело небезпеки не
було виявленим; страхового покриття виявилося недостатньо; третя сторона
не виконала взятих на себе зобов'язань щодо компенсації збитків від ризиків;
втрати виявилися поза рамками пункту контракту про передачу ризику третій
стороні; можливість зниження ризику була проігнорована через низьку
ймовірність його реалізації.
Заплановане прийняття ризику передбачає два підходи до покриття
можливих втрат: покривати втрати по мірі їх виникнення; резервувати певну
суму доходу в кожен період.
Резервування коштів полягає в тому, що на підприємстві створюються
відокремлені фонди відшкодування збитків за рахунок частини власних
коштів (фінансові резерви, резервні фонди). Залежно від призначення фонди
створюються в формах: натуральна форма – підприємства створюють
страхові запаси сировини, матеріалів та комплектуючих, залишають вільні
потужності, встановлюють додаткові контакти. грошова форма – резервні
грошові фонди створюються головним чином для непередбачених витрат,
пов'язаних зі зміною цін і тарифів, оплатою ризиків, покриттям
кредиторської заборгованості, збитків щодо ліквідації господарського
суб'єкта, збитків від стихійних лих. Найважливішою умовою створення
резервів є визначення необхідного в кожному конкретному випадку обсягу
резервного запасу і порівняння витрат на їх створення з витратами на
страхування.
При резервуванні важливо правильно визначити розмір фонду. Малий
розмір фонду призведе до того, що його буде недостатньо для компенсації
збитків. Велийкий розмір фонду відволікає значні кошти, які не залучаються
в обіг, є мертвим капіталом і не приносять прибутку. Для прийняття
правильного рішення щодо розміру фонду слід враховувати: прийнятний для
підприємства рівень ризику; розміри фонду, достатні для забезпечення
компенсації втрат від збереженого ризику; часовий масштаб накопичення і
функціонування фонду. Періодично розмір фонду повинен переглядатися.
Самострахування полягає в створенні власних страхових фондів,
призначених для покриття збитків, за типом фондів страхових компаній.
Самострахування зазвичай реалізується через створення кептивних
страхових компаній (страхові компанії, які входять в групу нестрахових
організацій (промислових, фінансово-промислових груп тощо) і страхують
ризики всієї групи).
Кептивне страхування ПЕРЕВАГИ дозволяє інвестувати кошти фондів
в межах об'єднаної ділової одиниці; дозволяє зберегти прибуток всередині
групи; дозволяє отримати пільги по оподаткуванню (передбачається
законодавством певних країни); Дозволяє уникнути бюрократичної тяганини
при оформленні страхування. НЕДОЛІК додається новий ризик погіршення
загальних фінансових результатів, пов'язаний з настанням великих,
катастрофічних ризиків.
РОЗПОДІЛ РИЗИКУ
РОЗПОДІЛ РИЗИКУ передбачає розподіл відповідальності за ризик
між підприємством та третіми особам при збереженні його загального
існуючого рівня. Застосовується у випадках, коли вплив на ризик з боку
підприємства є неможливим або економічно не виправданим, а рівень ризику
не є прийнятним для підприємства. СПОСОБИ РОЗПОДІЛУ РИЗИКУ:
1. Шляхом укладання договорів.
2. Через використання диверсифікації.
3. Через організаційну форму бізнесу.
ПОПЕРЕДЖЕННЯ РИЗИКУ
ПОПЕРЕДЖЕННЯ РИЗИКУ передбачає проведення превентивних
заходів, спрямованих на зниження ймовірності настання несприятливої події.
інструменти попередження ризику: заходи, що підвищують надійність
функціонування та поліпшують якісні характеристики підприємства; заходи,
що покращують реакцію підприємства на вплив зовнішнього середовища;
заходи, що дозволяють змінити параметри впливу зовнішнього середовища
на підприємство.
Заходи, що підвищують надійність функціонування та поліпшують
якісні характеристики підприємства: превентивні заходи щодо запобігання
аварій основних технічних засобів; система поточного та капітальний
ремонту техніки; постійний контроль за забезпеченням збереження майна;
система якості; удосконалення системи управління підприємством;
ретельний відбір персоналу; підвищення кваліфікації, рівня освіти
співробітників; впровадження гнучких технологій.
Заходи, що покращують реакцію підприємства на вплив зовнішнього
середовища: вивчення кон'юнктури ринку; маркетингові дослідження;
прогнозування та планування діяльності; впровадження системи
стратегічного управління; використання додаткової інформації для
прийняття рішень; ретельна перевірка партнерів; використання нових
інформаційних технологій тощо.
Перевірка бізнес-партнерів: аналізуються установчі та інші документи;
перевіряються факти реєстрації підприємства, отримання ліцензії,
постановки на облік у податковій інспекції та регулярності сплати податків;
при виникненні сумнівів встановлюються факти можливої втрати паспортів
особами, відомості про яких містяться у поданих документах;
встановлюється факт розташування за вказаною фактичною адресою
підприємства; перевіряються виробничі і фінансові можливості щодо
виконанню умов договору; з незалежних джерел з'ясовується репутація
керівника і головного бухгалтера підприємства.
Заходи, що дозволяють змінити параметри впливу зовнішнього
середовища на підприємство: пошук нових ринків збуту; активний
маркетинг; формування свого споживача; посилення санкцій за невиконання
договірних зобов'язань.
КЛАСИФІКАЦІЯ РИЗИКІВ
Здійснення будь-якої діяльності завжди пов’язане з невизначеністю
ситуації і мінливістю середовища, що, в свою чергу впливає на отримання
очікуваного кінцевого результату.
Згідно з основними принципами діяльності комерційної організації
– прагнення отримання якомога більшого прибутку обмежується
можливістю понести збитки. Звідси з’являється поняття ризику.
Компанія завжди повинна намагатися мінімізувати ризик. Але якщо
вона керується в своїй поведінці прагненням повністю виключити його, то їй
зрештою доведеться взяти на себе найбільший ризик з усіх можливих: ризик
внаслідок бездіяльності.
У своїй праці «Ефективне управління підприємством» П. Ф. Друкер
виділяє такі види ризику:
ризик, який необхідно приймати; ризик, який є «вбудованим» в саму
природу бізнесу;
ризик, який компанія може собі дозволити;
ризик, який компанія не може собі дозволити;
ризик, який компанія не може собі не дозволити [1, с. 192].
Майже в кожній індустрії існують ризики, які треба приймати, щоб
просто залишитися в бізнесі. Нерідко це ризики, які в будь-якому іншому
бізнесі вважали б неприпустимими. Втратити гроші і марно витратити сили
на пошуки сприятливої можливості – це ризик, який компанія може на себе
взяти. Ризик, який компанія не може собі дозволити – це, перш за все, ризик
виявитися нездатним розвинути свій успіх. Можливість прориву – це ризик,
який компанія не може собі не дозволити.
Яскравим прикладом реалізації можливості прориву є історія Xerox
Corporation. Вченими був розроблений новий технологічний процес для
подолання обмеження в технології копіювання офісних документів.
Спочатку він пропонувався багатьом великим компаніям, але всі вони
відкинули його як занадто ризикований та дорогий. А Haloid Corporation (так
у той час називалася компанія Xerox) була невеликою фірмою, але взяла
технологію на озброєння. Їй довелося зайняти і інвестувати 40 млн. дол., щоб
зробити новий технологічний процес досконалим. Але нагорода за цей ризик
була великою і швидкою.
Оскільки ризик охоплює майже усю діяльність господарюючого
суб’єкту, існує й різноманіття ризиків, з якими зіштовхується підприємство у
ході своєї діяльності. Але історія бізнесу – це історія не тільки проривів, це
ще й історія банкрутств. Щоб уникнути такої долі, компанії потрібна інша,
більш детальна градація ризиків, щоб була змога вирішити, на який ризик
компанія здатна піти та якого ризику вона має уникнути. Незважаючи на те,
що у рамках економічної діяльності підприємства ризик є постійно
присутнім, цей феномен і досі є вивченим недостатньо. І до нинішнього часу
немає загальноприйнятого трактування поняття «ризик», немає
загальноприйнятої класифікації видів ризику, немає фундаментальних робіт,
які б розкривали сутність та зміст цієї економічної категорії у повній мірі.
Відповідно до класичної теорії, найвизначнішими представниками
якої були Міль та Сеніор, в структурі підприємницького прибутку
вирізняють дві складові: відсоток, як частка на вкладений капітал та плата за
ризик, як відшкодування можливого ризику. Отже, в рамках цієї концепції
ризик ототожнюється лише з матеріальними втратами, які може понести
підприємство в результаті прийняття того чи іншого рішення. Це тлумачення
ризику було однобічним і спричинило розроблення іншої теорії –
неокласичної. Її представниками були Маршалл, Пігу та Найт.
Неокласична теорія заснована на положенні, що підприємство, яке
працює в умовах невизначеності і прибуток якого є величиною змінною, у
своїй діяльності повинно керуватися двома критеріями: розміром
очікуваного прибутку та величиною його можливих коливань. Дж. М. Кейнс
доповнив неокласичну теорію ризику, систематизувавши існуючі теорії та
дав докладну класифікацію підприємницьких ризиків, ввів чинник
«задоволення», який полягав у тому, що підприємець в очікуванні
більшого прибутку піде на більший ризик. Кейнс розглядав питання
ризиків зі сторони суб’єкта, який здійснює інвестиційну діяльність і виділив
три види ризику:
підприємницький ризик – невизначеність отримання очікуваного
прибутку від вкладення коштів;
ризик кредитора – ризик неповернення кредиту, що включає в себе
юридичний ризик (ухилення від повернення кредиту) і кредитний ризик
(недостатність забезпечення);
ризик зміни цінності грошової одиниці – ймовірність втрати коштів у
результаті зміни курсу національної грошової одиниці (ринковий ризик) [2].
Сьогодні у західній практиці більшість експертів погоджуються з
наступною класифікацією:
ринкові ризики (пов'язані з коливаннями цін на біржові товари);
кредитні ризики (ризики недотримання зобов'язань контрагентами
компаній);
операційні ризики (найчисленніші, що охоплюють різноманітні
ризики – від збоїв в інформаційній системі до нелояльності персоналу);
бізнес-ризики (наприклад, ризик того, що новий товар компанії при
появі на ринку спіткає невдача).
Література
1. Друкер, Питер, Ф. Эффективное управление предприятием.: Пер. с
англ. – М.: ООО «И.Д. Вильямс», 2008. – 224с.: ил. Парал. тит. англ.
2. Дж. М. Кейнс. Общая теория занятости, процента и денег.
3. Альгин А.П. Грани экономического риска. – М.: Знание, 1991. – 64с.
– (Новое в жизни, науке, технике. Сер. «Практика хозяйствования и
управления»; №1).
4. В.В. Черкасов Проблемы риска в управленческой деятельности:
Монография, М.: «Рефл-бук», Киев: «Валер», 1999.
5. Валдайцев С.В. Оценка бизнеса: учеб.: 3-е изд. перераб. и доп. – М.:
ТК Велби, Изд-во Проспект, 2008. – 576с.
6. Балабанов И.Т. Риск-менеджмент. М. – Финансы и статистика, 1996.
– 192с.: ил.
7. Гранатуров В.М. Экономический риск: сущность, методы измерения,
пути снижения: Учебное пособие. – 2е изд., перераб. и доп. – М.:
Издательство «Дело и Сервис», 2002 – 160с.
8. Вітлінський В.В., Наконечний С.І. Ризик у менеджменті. – К.: ТОВ
«Борисфен-М», 1996. – 336с.
9. Тэпман Л.Н. Риски в экономике: Учеб. пособие для вузов / Под ред.
проф. В.А. Швандара. – М.: ЮНИТИ-ДАНА, 2002. – 380 с.
10. Ризик у ринковій економіці: Навчальний посібник/ Андрєєва Т.Є.,
Петровська Т.Е. – Харків: Бурун Книга, 2005. – 128с.: 12іл.
11. Устенко О.Л. Теория экономического риска: Монография. – К.:
МАУП, 1997. – 164с.
12. Ілляшенко С.М. Економічний ризик: Навчальний посібник. 2-ге
вид., доп. перероб. – К.: Центр навчальної літератури, 2004. – 220с. 11
13. Хохлов Н.В. Управление риском: Учеб. Пособие для вузов. – М.:
ЮНИТИ-ДАНА, 2001. – 239с.
14. Райзберг Б.А. Предпринимательство и риск. – М.: Знание, 1992. –
62с. – (Новое в жизни, науке, технике. Сер. «Экономика», №4).
Приклади [5].
Приклад 1. Коли йдеться про строки виконання/завершення будь-яких
проектів, завжди є певна невизначеність. Керівник проекту стосовно
прогнозу завершення проекту може працювати з невизначеністю двома
способами: 1- «Я взагалі не знаю, коли ми завершимо проект»; 2 – «Я очікую
завершення проекту 31 жовтня, але з певних причин маю сумніви з цього
приводу. Дата завершення проекту може відбутись в період з 25 жовтня по 14
листопада».
Між цими двома рівнями невизначеності є величезна різниця. У
першому випадку невизначеність неконтрольована, у другому –
контрольована (причини завчасного чи запізнілого завершення проекту
мають бути відомі керівнику).
Приклад 2. Керівник проекту має намір завершити роботу над
проектом 30 жовтня поточного року, але розуміє, що ця дата майже 100%
нереальна, але причин назвати не може, як і більш імовірної дати, тому
запросив фахівця з ризик-менеджменту. Фахівець вивчив технічні умови та
отримані на сьогодні результати, ознайомився з результатами зустрічей з
акціонерами та виконавцями і постановив: «Немає жодних шансів встигнути
не лише до 30 жовтня, а й взагалі до кінця року. Найімовірніша дата –
початок квітня наступного року, однак і ця дата не є надійною. Початок
травня дасть вам імовірність успіху більше 50%. Але якщо потрібна дата зі
100% гарантією, краще орієнтуватись на кінець наступного року».
І керівник, і фахівець з ризик-менеджменту мають сумніви стосовно
завершення проекту вчасно, однак невизначеність фахівця контрольована, а
керівника – ні.
Література
1. ВітлінськийВ. В. Аналіз, моделювання та управління економічним
ризиком / В. В. Вітлінський, П. І. Верчено. - К. : КНЕУ, 2000. - 292 с.
2. Вітлінський В. В. Ризикологія в економіці та підприємництві :
монографія / В. В. Вітлінський, Г. І. Великоіваненко. - К. : КНЕУ, 2004. - 480
с.
3. Клименко С. М. Обґрунтування господарських рішень та оцінка
ризиків / С. М. Клименко, О. С. Дуброва. - К. : КНЕУ, 2005. - 252 с.
4. Лук’янова В. В. Економічний ризик / В. В. Лук’янова, Т. В. Головач.
- К. : Академвидав, 2007. - 464 с.
5. Tom Demarko. Waltzing with Bears: Managing Risk on Software
Projects.
Загрози
Нижче наведено список загроз – це не остаточний список, його необхідно
адаптувати до окремої організації:
Доступ до мережі сторонніх осіб
Бомба
Загроза вибуху
Порушення договірних відносин
Порушення законодавства
Компромат конфіденційної інформації
Приховування особистості користувача
Пошкодження, заподіяні третьою особою
Пошкодження в результаті тестування на проникнення
Знищення записів
Катастрофа (спричинена людиною)
Катастрофа (природна)
Розкриття інформації
Розкриття паролів
Підслуховування
Розкрадання
Помилки в технічному обслуговуванні
Збій зв'язку
Фальсифікація записів
Пожежа
Потоп
Шахрайство
Промислове шпигунство
Витік інформації
Переривання бізнес-процесів
Втрата електроенергії
Втрата допоміжних послуг
Несправність обладнання
Шкідливий код
Зловживання інформаційними системами
Зловживання інструментами аудиту
Забруднення
Соціальна інженерія
Помилки програмного забезпечення
Страйк
Терористичні атаки
Крадіжка
Громовий удар
Ненавмисна зміна даних в інформаційній системі
Несанкціонований доступ до інформаційної системи
Несанкціоновані зміни записів
Несанкціоноване встановлення програмного забезпечення
Несанкціонований фізичний доступ
Несанкціоноване використання матеріалів, захищених авторським правом
Несанкціоноване використання програмного забезпечення
Помилка користувача
Вандалізм
Уразливі місця
Нижче наведено список уразливостей – це не остаточний список, його
необхідно адаптувати до окремої організації:
8. Formjacking
Formjacking – це тип кібератаки, коли хакери вводять шкідливий код
JavaScript у форму веб-сторінки – найчастіше форму сторінки платежу. Коли
відвідувач сайту вводить інформацію про свою платіжну картку та натискає
«Надіслати», цей шкідливий код збирає номер платіжної картки, а також
іншу інформацію, як-от ім’я, адреса та номер телефону клієнта. Потім код
надсилає цю інформацію в інше місце на вибір зловмисників.
У багатьох випадках кіберзлочинці захоплюють сторінку оплати на
сайтах електронної комерції, щоб викрасти фінансову інформацію та номери
кредитних карток. Мета полягає в тому, щоб переглянути цінні дані, подані у
формах. Використання formjacking різко зросло в останні роки. В середньому
4800 веб-сайтів щомісяця скомпрометовані за допомогою коду для
зловживання форм.
7. Cryptojacking
Cryptojacking — це тип кіберзлочинності, який передбачає
несанкціоноване використання пристроїв людей (комп’ютерів, смартфонів,
планшетів або навіть серверів) кіберзлочинцями для майнінгу криптовалюти.
Як і багато інших форм кіберзлочинності, мотивом є прибуток, але, на
відміну від інших загроз, він покликаний залишатися повністю прихованим
від жертви.
Майнінг для криптовалюти вимагає величезної обчислювальної
потужності комп’ютера, тому хакери заробляють гроші, таємно
підключаючись до чужих систем. Для бізнесу системи з криптоджекінгом
викликають серйозні проблеми з продуктивністю та дорогі простої, оскільки
ІТ-команди відстежують та видаляють код криптоджекінгу.
5. Управління оновленнями
Багато атак починаються із застарілого програмного забезпечення.
Відсутність оновлення програмного забезпечення може зробити компанії
вразливими до порушень інформаційної безпеки, і як тільки зловмисники
дізнаються про вразливість програмного забезпечення, вони можуть
використати його для здійснення кібератаки.
Керування оновленнями – це процес розповсюдження та застосування
оновлень до програмного забезпечення. Ці оновлення часто необхідні для
виправлення помилок (також іменованих «вразливими місцями» або
«помилками») у програмному забезпеченні.
4. Соціальна інженерія
Атаки соціальної інженерії використовують соціальні взаємодії для
отримання доступу до цінних даних. Кіберзлочинці обманом маніпулюють
своїми цілями, щоб зробити певні дії, наприклад, обхід заходів безпеки або
розголошення певної конфіденційної інформації. Навіть найкращі системи
кібербезпеки не можуть зупинити атаку соціальної інженерії, оскільки мета
пропускає хакера в систему.
3. Фішингові атаки
Фішингові атаки продовжують відігравати домінуючу роль у
ландшафті цифрових загроз. У своєму звіті про розслідування порушень
даних за 2021 рік (DBIR) Verizon Enterprise виявила, що фішинг є одним із
найпоширеніших видів дій щодо порушень даних, які вона проаналізувала.
Його дослідники спеціально спостерігали за фішингом у понад третині (36%)
порушень. Це більше, ніж на 22% роком раніше.
2. Хмарні вразливості
Чим більше ми покладаємося на хмару для зберігання даних, тим вище
ризик серйозного порушення. Хмарні послуги вразливі до широкого спектру
кібератак, але багато компаній вважають, що вони безпечні, оскільки
використовують технології хмарної безпеки.
Насправді технології – це лише частина рішення. Оскільки жодна
технологія не може повністю усунути вразливості, для надійного захисту
потрібен цілісний підхід. Страхування є важливою частиною цього захисту
як частиною комплексного плану управління кіберризиками.
1. Атаки програм-вимагачів
Програми-вимагачі – це тип зловмисного програмного забезпечення,
яке заважає вам отримати доступ до комп’ютера або даних, які на ньому
зберігаються. Сам комп’ютер може бути заблокований, або дані на ньому
можуть бути вкрадені, видалені або зашифровані. Потім зловмисник
вимагатиме від жертви викуп, щоб відновити доступ до даних після оплати.
Частота атак програм-вимагачів різко зросла за останній рік: у першому
півріччі 2021 року було здійснено на 93% більше, ніж за аналогічний період
минулого року, згідно з середньорічним звітом Check Points з безпеки. Згідно
зі звітом Міністерства фінансів США, лише за перші шість місяців 2021 року
підозріла діяльність, пов’язана з атаками програм-вимагачів, склала
приблизно 590 мільйонів доларів. За весь 2020 рік ця сума склала всього 410
мільйонів доларів.
Міністерство освіти і науки України
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ОДЕСЬКА
ПОЛІТЕХНІКА»
КАФЕДРА КІБЕРБЕЗПЕКИ ТА ПРОГРАМНОГО
ЗАБЕЗПЕЧЕННЯ
КОНСПЕКТ ЛЕКЦІЙ
з дисципліни
«УПРАВЛІННЯ та ОБРОБКА ІНЦИДЕНТІВ
КІБЕРБЕЗПЕКИ»
для студентів
спеціальності - 125 Кібербезпека
Одеса, 2023
Зміст
Обробка інцидентів і планування реагування............................................4
Документація..............................................................................................4
SOCs.........................................................................................................7
Організація CSIRT.....................................................................................8
Ролі CSIRT..................................................................................................8
Зовнішні CSIRT..........................................................................................9
Ідентифікація інциденту..........................................................................13
Джерела IOC.............................................................................................14
Стримування інцидентів..........................................................................17
Після інциденту........................................................................................20
Аналіз причин...........................................................................................21
Перевірка...................................................................................................22
Стримування та пом’якшення....................................................................22
Загартовування системи..........................................................................23
Ізоляція......................................................................................................24
Медові горщики.......................................................................................25
Чорний список..........................................................................................26
Білий список.............................................................................................27
DNS фільтрація.........................................................................................28
Криміналістичні аналітики......................................................................42
Обов'язки експерта-криміналіста...........................................................43
Спілкування з експертами-криміналістами...........................................44
Організація CSIRT
Організації часто створюють групу реагування на інциденти
кібербезпеки (Cybersecurity Incident Response Team, CSIRT), щоб допомогти
ідентифікувати інциденти інформаційної безпеки та керувати ними. Особи,
які входять до складу CSIRT, навчаються належним методам збору та
збереження для розслідування інцидентів безпеки. Спеціальна публікація
Національного інституту стандартів і технологій (NIST SP) 800-61r2 визначає
наступні моделі для організації такої групи.
Центральна команда: одна команда обробляє інциденти від
імені всієї організації. Цей підхід підходить для невеликих організацій, які
територіально не розосереджені.
Розподілена команда: для більших або географічно
розосереджених організацій може бути більш доречним мати індивідуальні
CSIRT для різних сегментів організації або різних географічних місць.
Організаційна структура звітності, процеси, політика та персонал мають бути
однаковими для різних команд, щоб забезпечити узгоджену реакцію в усій
організації з розподілом інформації між різними CSIRT.
Координаційна група: можна додати загальну центральну
команду для надання вказівок і координації між розподіленими командами.
Ролі CSIRT
Незалежно від організаційної моделі члени CSIRT можуть мати певні
ролі та обов’язки.
Менеджер/керівник групи: контролює CSIRT і гарантує, що всі
члени команди працюють якнайкраще від своїх можливостей.
Слідчий: намагається виявити вплив і джерело інциденту.
Спеціаліст із безпеки: надає технічну підтримку іншим членам
команди під час роботи зі спеціалізованими системами.
Персонал довідкової служби: надають технічну підтримку співробітникам і
клієнтам, які постраждали від інциденту.
Кризовий комунікатор: ефективно повідомляє зацікавленим
сторонам важливі деталі інциденту.
Аудитор: переглядає та оцінює існуючі політики безпеки,
процедури та механізми, щоб переконатися, що їх дотримуються під час
реагування на інцидент.
Юридичний радник/консультант: допомагає надавати
юридичні консультації або спілкуватися з правоохоронними органами, коли
інцидент вважають кримінальним.
Розробник програмного забезпечення: створює та підтримує
інструменти, які використовує CSIRT.
Постійне навчання
Це правда, що весь персонал, незалежно від кваліфікації в галузі
кібербезпеки , повинен пройти навчання відповідно до своїх ролей. Для
CSIRT це особливо важливо: безперервність роботи може залежати від того,
чи кожен член групи реагування буде в курсі останніх загроз і заходів
протидії. Команда, не готова до боротьби з поточною загрозою, не
працюватиме оптимально та може поставити організацію під загрозу перед
обличчям нового типу атаки. Тому члени CSIRT повинні проходити
регулярне навчання, бажано кожні шість місяців. Режим навчання має
включати оновлену інформацію про загрози та оцінку технічних навичок
кожного члена та його здатності працювати з колегами в команді.
Зовнішні CSIRT
Різні фактори можуть перешкодити організації створити та керувати
власною CSIRT. Мати ще одну команду для управління та фінансової
підтримки не завжди можливо, особливо тому, що CSIRT повинні бути готові
до роботи в будь-який час. Ось чому може бути гарною ідеєю передати
повноваження CSIRT компанії, яка спеціалізується на реагуванні на
інциденти. Просто майте на увазі, що плавна інтеграція зовнішнього джерела
в організацію може бути складною, тому все одно потрібно бути готовим
сприяти потребам CSIRT у разі виникнення інциденту. Якщо інцидент
переходить у криміналістичне розслідування, може також знадобитися
зберегти реакцію на інцидент, щоб надати точні свідчення правоохоронним
органам. Також існує ймовірність того, що CSIRT буде складатися з
внутрішнього та зовнішнього персоналу.
Один день із життя CSIRT
Може здатися очевидним, що щоденні завдання CSIRT складатимуться
з реагування на інциденти комп’ютерної безпеки. Тим не менш, насправді,
CSIRT виконує багато різних видів діяльності, які можуть здатися
неочевидними з назви. Протягом будь-якого дня члену CSIRT може
знадобитися виконати типи завдань, описані нижче.
Негайне вживання заходів у відповідь на інциденти. Перша реакція
включає такі дії, як:
Захист систем і мереж від зловмисників.
Реалізація стратегій реагування або обхідного шляху.
Вивчення інших систем і мереж для пошуку додаткових ознак
активності зловмисників.
Відновлення систем і мережевих операцій, що включає
виправлення, ремонт і перебудову систем.
Виконання аналітичних завдань та завдань з вирішення проблем.
Перша відповідь включає такі завдання аналізу, як:
Визначення відповідних заходів, які захистять системи та мережі
від зловмисників.
Моніторинг або дослідження відповідних консультацій або
сповіщень щодо рішень і стратегій пом’якшення.
Розробка нових стратегій реагування або обхідних шляхів, якщо
це необхідно для боротьби з загрозами, що виникають.
Визначення інших операцій, які слід виконати для виявлення
додаткових пов’язаних атак.
Ефективне спілкування. Члени CSIRT часто повинні координувати
роботу та використовувати досвід і навички інших, серед яких:
Інші члени CSIRT.
Інші функції в організації включають функції ІТ-технологій,
відповідність, бізнес-операції та безпеку об’єктів.
Консультанти і продавці.
Адаптація до змін: члени CSIRT повинні мати можливість
адаптуватися та мислити нестандартно, оскільки ландшафт кібербезпеки
змінюється дуже швидко.
Проведення настільних навчань: настільні навчання – це зустріч для
обговорення можливих надзвичайних ситуацій та інцидентів безпеки. Члени
CSIRT розглядають теоретичні чи гіпотетичні ситуації, щоб досягти
консенсусу щодо відповідних реакцій на ці ситуації. Рішення CSIRT під час
настільних вправ допоможуть їм, коли теоретичне стане реальністю.
Захист доказів, приватності та конфіденційності: у процесі
реагування на інцидент кібербезпеки CSIRT має бути обережним, щоб не
знищити докази, якщо у зв’язку з інцидентом стався злочин. CSIRT також
має бути обережним, щоб не скомпрометувати дані, які мають бути
конфіденційними.
Спілкування в межах CSIRT
Коли стався інцидент безпеки, комунікація є ключовою для виконання
планів, розроблених організацією для таких випадків. Наявність
налаштованого процесу ескалації зв’язку сприятиме отриманню знань і
командній роботі, необхідним для вирішення інциденту та відновлення
нормального функціонування організації.
Джерела IOC
Нижче наведено деякі додаткові IOC, як технічні, так і нетехнічні, а
також потенційне джерело кожного IOC.
Програмне забезпечення для захисту від зловмисного
програмного забезпечення: сповіщення, яке створюється, коли в системі
хоста виявлено сигнатуру вірусу.
Система виявлення вторгнень у мережу/система запобігання
вторгнень у мережу (Network intrusion detection system/network intrusion
prevention system, NIDS/NIPS): сповіщення, що створюється після
виявлення автоматичного сканування портів.
Система виявлення вторгнень на хост/система запобігання
вторгнень на хост (Host intrusion detection system/host intrusion prevention
system, HIDS/HIPS): сповіщення, створене після того, як криптографічний
хеш важливого файлу більше не відповідає його відомому, прийнятому
значенню.
Системні журнали: запис у журналі подій Windows вказує, коли
користувач увійшов на хост.
Журнали мережевого пристрою: запис у журналі брандмауера
вказує на розірване з’єднання, призначене для заблокованого порту.
Інформація про безпеку та керування подіями (Security
information and event management, SIEM): сповіщення генерується, якщо в
будь-яких відповідних журналах виявляється аномальна поведінка.
Пристрій контролю трафіку: незвичайно великий обсяг трафіку
в мережі вказує на стан спроби відмови в обслуговуванні (Denial of Service,
DoS).
Внутрішній персонал: свідчення співробітників вказують на те,
що вони могли бути свідками порушення.
Люди за межами організації: зовнішня сторона, яка стверджує,
що несе відповідальність за атаку.
Дослідження: сторонні дослідження та інформація з бази даних
уразливостей вказують на нову загрозу, яка може бути націлена на вашу
організацію.
Аналіз причин
Іншим компонентом AAR є аналіз першопричини або спроба
визначити каталізатор інциденту. Найпростіший спосіб знайти
першопричину – це продовжувати задавати собі питання: «Що було
першочерговим, що дозволило цьому статися?» З кожною відповіддю ви
знову задаєте одне й те саме запитання: «Що саме дозволило цьому статися?»
Ви продовжуєте задавати це питання, повертаючись назад. Як правило,
першопричину можна розкрити приблизно у шести питаннях. І, як правило,
буде більше однієї першопричини.
Перевірка
Команда реагування на інциденти зацікавлена в тому, чи дійсно буде
вжито запропоновані ними коригувальні дії – зрештою, їм не потрібно
рятувати організацію від інциденту того самого типу, якого можна було б
легко уникнути. Ось чому деякі команди проходять процес перевірки,
щоб переконатися, що запропоновані ними елементи керування мають
очікуваний ефект. Процес перевірки може включати перевірку того, що
організація впроваджує виправлення безпеки в уразливих системах, змінює
конфігурацію дозволів користувача, щоб гарантувати, що зловмисники не
можуть легко використовувати привілеї, і реалізує режим сканування
вразливостей. Якщо команда реагування вважає, що під час інциденту вона
не отримала достатньо інформації, яка повинна діяти, вона також може
переконатися, що послуги моніторингу безпеки та журналювання належні.
Стримування та пом’якшення
Стримування та пом’якшення наслідків мають бути основною
частиною плану реагування на інциденти (Incident Response, IR) будь-якої
організації. У цьому модулі будуть висвітлені різні методи, які необхідно
застосувати для належного стримування та пом’якшення інциденту безпеки.
Загартовування системи
Загартовування (захист, зміцнення) системи – це процес, за
допомогою якого хост або будь-який інший пристрій стає більш безпечним
шляхом зменшення поверхні атаки цього пристрою. Зміцнення є
найефективнішим як профілактичний захід під час проектування безпеки
системи, але це не завжди можливо через обмеження часу, грошей і потребу
в зручності (коли використання системи без засобів загартовування є
простішим або зручнішим і це принципово, бо дає певні переваги для
бізнесу, які виправдовують ризик). Однак захист може бути корисним після
того, як стався інцидент, щоб усунути будь-які тривалі ефекти або очистити
заражену систему. Захист також може видалити та запобігти подальшому
доступу неавторизованих користувачів до скомпрометованих систем.
Медові горщики
Honeypot – це практика, яка затримує зловмисників в ізольованому
середовищі, де їх можна контролювати та утримувати від компрометації
систем у виробництві. Honeypot змушує зловмисника повірити, що він
справді завдає шкоди системі, дозволяючи групі безпеки проаналізувати
поведінку зловмисника. Це може допомогти групі безпеки визначити
джерело атаки та вжити більш комплексних заходів для усунення загрози
організації.
Наприклад, організація створює базу даних, повну підставних даних,
замаскованих під важливі фінансові записи. Організація розміщує цю базу
даних в окремій під мережі.
Рисунок 1.2 - Підмережа з honeypot
Чорний список
Чорний список – це процес блокування відомих програм, служб,
трафіку та інших передач до систем та з систем. Чорні списки створюються,
коли організація знає джерело або механізм потенційної загрози та визначає,
що цю загрозу можна повністю виключити з організації. Чорні списки
корисні для реагування на інциденти, оскільки вони можуть блокувати
джерело шкідливого програмного забезпечення. Джерело може бути
зовнішнім по відношенню до організації або внутрішнім за допомогою
методів стійкості, таких як руткіти та логічні бомби. Прикладом зовнішнього
джерела є те, що робочі станції користувачів в організації заражені
шкідливою рекламою на, здавалося б, законних веб-сайтах. Рекламні
оголошення можуть не локалізуватися на одному сайті, тому запобігання
відвідування користувачами одного конкретного сайту може бути не
настільки ефективним. Замість цього програмне забезпечення для
блокування реклами чи сценаріїв може бути реалізовано на робочих станціях
користувача або налаштовано веб-фільтр організації для блокування URL-
запитів для відомих доменів реклами. Створення чорного списку доменів,
сайтів або технологій, які можуть бути джерелом шкідливих програм,
допоможе зупинити поширення інфекції.
Прикладом внутрішнього джерела зловмисного програмного
забезпечення є припущення, що є виявлені докази активації «логічних бомб»
за невідомих обставин. Логічні бомби використовують для блокування диску
користувача з метою отримання викупу за розблокування (програми-
вимагачі). Такі логічні бомби поширюються через певні TCP/IP порти,
чорний список може містити номери цих портів, які використовує логічна
бомба для поширення. Крім того, впровадження чорного списку на
брандмауері може допомогти запобігти зараженню більшої кількості хостів.
Обмеження
Є два основних обмеження чорних списків. Перше – ризик отримати
хибні спрацьовування, коли сайт, служба, порт тощо насправді мають
законне використання. Це може стати свого роду побічним збитком у спробі
захиститися від атаки зловмисного програмного забезпечення. Інша головна
слабкість чорного списку – усе невідоме. Неможливо знати кожен окремий
вектор зловмисної атаки, а ті, що в списку, можуть бути недостатньо
повними.
Білий список
Білий список – це відповідь на проблему чорного списку щодо того,
що невідомо. У білому списку все інше, крім того, що є надійним,
блокується. У прикладі зовнішньої зловмисної реклами можна створити
список рекламних доменів, які вважаються законними, і відфільтрувати всі
інші. Набагато легше пояснити те, що відомо як безпечне або прийнятне.
У відповідь на постійний інцидент білий список може бути кращою
альтернативою, якщо підтвердження та дослідження зловмисних джерел
зловмисного програмного забезпечення або займає надто багато часу, або
може бути змінено. Краще з самого початку знати, що є дружнім, ніж
витрачати час на виявлення всіх можливих ворогів. Можливо, хтось
пропустив порт, який логічна бомба використовує для зв’язку і який не
враховується в чорному списку. Це дозволить інфекції поширюватися,
незважаючи на всі зусилля. Однак застосування білого списку всіх законних
портів робить цей невідомий порт імовірно заблокованим.
Білий список також корисний для збереження списку програм, які хост
може встановити, або мережевої адреси, з якою він може спілкуватися. Якщо
робочій станції користувача потрібен лише текстовий процесор, програма
для роботи з електронними таблицями та багато іншого, все інше програмне
забезпечення (включно з шкідливим програмним забезпеченням) можна за
замовчуванням заблокувати. У той же час CSIRT локалізує і пом'якшує
інцидент.
Обмеження
Білі списки зазвичай є безпечнішим вибором для пом’якшення
інцидентів, але вони не бездоганні. Вони можуть бути неймовірно
обмеженими, не дозволяючи користувачам і системам передавати дані новим
або змінним одержувачам. Їх необхідно постійно налаштовувати, щоб
уникнути втручання в бізнес-операції, що може бути непомірно дорогим і
тимчасовим для деяких організацій.
DNS фільтрація
Як бачимо, одним із механізмів залучення до чорного та білого списків
є фільтрація. Фільтрація системи доменних імен (Domain Name System,
DNS), яка також називається веб-фільтрацією, – це процес обмеження запитів
на пошук, які перевіряються в організації. Типовий процес DNS перетворює
загальне ім’я сайту в IP-адресу та повертає її користувачеві, який робить
запит. Однак, розмістивши фільтр на DNS, пошук DNS можна зупинити,
якщо він виявить ім’я/IP-адресу у своєму фільтрі (чорний список) або не у
своєму фільтрі (білий список). Замість того, щоб повертати користувачеві
ненадійний сайт, фільтр зазвичай перенаправляє його на локальний сервер із
повідомленням про блокування.
DoS-Інцидент (Приклад 2)
Криміналістичні аналітики
Комп’ютерні криміналістичні аналітики відомі під різними іншими
назвами посад, як-от судово-комп’ютерний експерт, цифровий експерт-
криміналіст і комп’ютерно-криміналістичний детектив. Криміналістичні
аналітики можуть працювати в поліції чи службі безпеки, банку, організації
служби комп’ютерної безпеки або в групі кібербезпеки у великій організації.
Вони використовують свої технології та навички розслідування для
відновлення інформації з комп’ютерних систем, пам’яті та накопичувачів,
можливо, співпрацюючи з представниками правоохоронних органів для
розслідування кіберзлочинів або вилучення електронних доказів, пов’язаних
з іншими видами злочинів, або для аналізу доказів (як свідок-експерт,
наприклад), щоб допомогти організаціям або окремим особам захистити себе
в судовій справі. Судово-медичні аналітики можуть бути залучені до
розслідувань, зосереджених на широкому спектрі вторгнень або порушень,
таких як хакерство; тероризм; політичне, промислове або комерційне
шпигунство; викрадення співробітниками конфіденційної інформації
компанії; онлайн-шахрайство; і нелегальна порнографія. Групи ІТ-технологій
або безпеки також можуть звернутися до криміналістичних аналітиків для
допомоги в плануванні ІТ-систем і процесів, щоб переконатися, що докази
будуть належним чином оброблені під час інциденту кібербезпеки.
Обов'язки експерта-криміналіста
Як частина CSIRT, криміналістичний аналітик може виконувати низку
ролей після інциденту безпеки або в загальній підтримці кібербезпеки,
наприклад:
Розслідування та реконструкція причини інциденту кібербезпеки, що
може включати завдання на будь-якій або всіх фазах
криміналістичного процесу: збір, експертиза, аналіз і звітування.
Розслідування того, чи мали місце будь-які злочини, порушення
комплаєнсу (відповідність будь-яким внутрішнім або зовнішнім
вимогам або нормам) або невідповідна поведінка.
Проведення криміналістичних процедур для захисту доказів, які
можуть знадобитися, якщо стався злочин.
Визначення конфіденційних захищених даних.
Сприяння та підтримка процесів і інструментів, що використовуються
для захисту доказів і забезпечення відповідності.
Підтримка поточних процесів аудиту та ведення записів.
Коли спеціалісти з реагування на інциденти розуміють обов’язки
експерта-криміналіста, вони зможуть краще спілкуватися та передавати їм
свої результати.
Спілкування з експертами-криміналістами
Члени CSIRT можуть бути запрошені тісно співпрацювати з
криміналістичними аналітиками. Пам’ятайте, що мета служби реагування
на інциденти – повернути роботу в нормальний стан, тоді як судово-
медичний персонал стурбований збором доказів для можливого
переслідування злочину. Однак під час відновлення роботи служби
реагування, безсумнівно, звернуть увагу на атаки та вразливості, які вони
виявлять у процесі. Ця інформація може бути життєво важливою для
судового розслідування, і якщо її не надати групі експертів, це може
перешкодити їхнім зусиллям. Одна з першочергових цілей цієї співпраці –
фактично визначити, чи є обґрунтованим судово-медичне розслідування. Ця
рішучість має бути підкріплена жорсткою політикою: який вид грошової
втрати чи крадіжки майна слід вважати позовним? Чи містить ваш поліс
також якісь докази?
Повідомляючи результати інциденту криміналістичній групі,
враховуйте наступне:
Призначте особу для зв’язку , яка може бути контактною точкою для
криміналістичної групи. Цей контакт здійснюватиме весь зв’язок із
командою криміналістів. Таким чином, ваш CSIRT матиме єдиний,
авторитетний голос, за допомогою якого можна повідомляти реальні
результати, а не фрагментовані та, можливо, суперечливі дані.
Переконайтеся, що команда криміналістів має чітке уявлення про
масштаб інциденту. Вони повинні знати, які активи постраждали та які
бізнес-процеси були порушені. Спеціалісти з реагування на інциденти
можуть не знати всього цього, але все, що вони можуть надати команді,
є важливим.
Деталізуйте всі окремі фізичні та віртуальні активи, на які вплинув
інцидент. Також переконайтеся, що CSIRT пояснює, чому, на їхню
думку, це вплинуло на кожен конкретний актив.
Деталі, коли та як зловмисне програмне забезпечення було поміщено
на карантин, щоб зупинити його поширення в мережі. Команда
криміналістів може використовувати це зловмисне програмне
забезпечення в карантині як доказ.
Опишіть будь-які процедури стримування, пом’якшення або
відновлення, які виконуються на пристроях. Якщо немає однозначної
копії диска чи іншого пристрою, групі експертів, можливо, доведеться
покладатися на уражену систему як доказ. Можливість відокремити дії
реагування на інциденти від зловмисних спростить команді задачу
ідентифікувати відповідну інформацію.
Поясніть криміналістичній групі, які інструменти використані для
реагування на інцидент; Що кожен з них робить; Чи є якісь проблеми,
які вони можуть викликати в процесі збору доказів. Використовуючи
приклад зловмисного програмного забезпечення, згаданий раніше,
зверніть увагу на специфіку роботи вашого антивірусного програмного
забезпечення: можливо воно відразу видаляє шкідливе програмне
забезпечення, а не ризикує поміщати його на карантин. Це варто
повідомити експерту-криміналісту.
Надайте будь-яку інформацію про час кожної події в інциденті. Коли
спеціалісти з безпеки вперше помітили інцидент? Коли вони почали
відповідати? Коли вони розпочали та завершили свої зусилля зі
стримування/пом’якшення/відновлення? Час зазвичай генерується
автоматично за допомогою журналів та інших рішень для звітування
про події, але CSIRT може знадобитися надати деяку інформацію про
часову шкалу вручну.
Інструкції щодо виконання завдання після інциденту