Primjena komandnog sistema za incidente kao odgovor na sajber incidente

Sistem komandovanja incidentima (ICS) razvijen je u Kaliforniji 1960-ih da bi koordinirao napore između odvojenih vatrogasnih odjeljenja prilikom međusobnog reagovanja na šumske požare. Kasnije su ga usvojile i javne i privatne organizacije kao okvir za reagovanje na incidente svih vrsta. Velike i male vladine agencije pronašle su okvir prilagodljiv njihovim jedinstvenim operacijama, a mnoge korporacije iz privatnog sektora usvojile su okvir za odgovor na sajber incidente svih vrsta – uključujući incidente iz oblasti sajber sigurnosti. Google, na primjer, koristi ICS okvir da odgovori na neočekivane događaje koji utiču na sve operacije informacionih sistema - uključujući sajber sigurnosne incidente.

ICS ima ove ključne ciljeve kada se primjenjuje u okviru sajber bezbjednosnih incidenata:

• Brza reakcija bez dupliciranja i prekomjerne upotrebe resursa.
• Smanjen poremećaj normalnog poslovanja definisanjem i ograničavanjem broja uključenih resursa.
• Vođstvu pružiti tačne i pravovremene informacije.
• Eksternim stranama, uključujući i javnost, pružiti pravovremene, tačne i koherentne informacije.
• Koordinacija sticanje eksterne pomoći.
• Obezbijedite organima za provođenje zakona djelotvorne i pravilno sačuvane dokaze.
• Prikupiti informacije o prazninama i slabostima koje se mogu analizirati i ispraviti nakon incidenta.
• Osigurati koordiniranu strukturu unutar koje se povećavaju resursi za odgovor na incident i smanjuju se nakon što se incident riješi.

Po svojoj prirodi, incidenti se ne mogu u potpunosti planirati, ali struktura odgovora na incidente može biti unaprijed uspostavljena. ICS omogućava organizaciji da obezbijedi:

• Unaprijed definisane kriterijume šta čini incident.
• Unaprijed definisane procese eskalacije i deeskalacije za povećanje i smanjenje aktivnosti odgovora.
• Unaprijed definisani protokoli i kontakti za primanje eksterne pomoći.
• Unaprijed definisane uloge i osoblje koje sarađuje u cilju poboljšane koordinacije.
• Jasne linije odgovornosti i definicije izvještavanja.
• Izolacija od nepotrebne komunikacije koja omogućava osobama koje reaguju na incidente i drugim stručnjacima da se fokusiraju na svoje specijalnosti.

ICS definiše posebne uloge za reagovanje na incidente. Ove uloge su:

• Prvi/na licu mjesta
• Koordinacija, komanda i komunikacija
• Veza
• Tehničke
• Pravne
• Ljudski resursi
• Javni odnosi
• Finansije

Aktivnost reagovanja na incidente obično počinje otkrivanjem anomalije. Anomalija se definiše kao neočekivano ponašanje ili događaj. Može biti benigna, zlonamjerna ili pogrešna; i može biti nova ili ponavljajuća. Velika većina anomalija je benigna ili pogrešna, a uzrokovana je pogrešnim konfiguracijama sistema, nedostacima u aplikaciji i lažnim upozorenjima (lažnim pozitivima) sistema za otkrivanje incidenata (IDS). Ipak, anomalije se moraju istražiti i karakterizovati kako bi se utvrdilo da nijesu zlonamjerne ili destruktivne prirode. Pogrešne konfiguracije sistema moraju biti ispravljene, nedostaci u aplikaciji moraju biti eliminisani ili obuzdani kompenzacionim kontrolama, a IDS lažno pozitivni rezultati moraju biti isključeni iz sistema detekcije gde god je to moguće kako bi se poboljšao odnos signal-šum IDS sistema.

Prva osoba koja otkrije anomaliju dobija ulogu prvog odgovornog lica . Ta osoba ima odgovornost prijaviti anomaliju nadležnom analitičaru cyber sigurnosti i on ili ona ostaju odgovorni sve dok analitičar ne potvrdi prijavu. Osoba koja prva reaguje može zadržati odgovornost prvog odgovornog lica ako analitičar nije u mogućnosti direktno procijeniti anomaliju.

Incident se proglašava kada anomalija proizvodi ili ima potencijal da izazove poremećaj ili degradaciju povjerljivosti, dostupnosti ili integriteta informacionog sistema . Uzrok incidenta može biti zlonamjeran ili slučajan, a početni razmjer incidenta može biti nepoznat. Ako obim incidenta utiče samo na jedan sistem, može se brzo i lako riješiti i ako ne postoji vjerovatnoća da je incident prešao na druge sisteme; analitičar ga može zatvoriti bez prizivanja odgovora većeg obima unutar ICS strukture.

Incident je hitan slučaj u sajber bezbjednosti ako proizvodi, ili ima potencijal da proizvede, široki poremećaj ili degradaciju povjerljivosti, dostupnosti ili integriteta informacionog sistema; ili ako je očigledno dio ili preteča zlonamjernog napada šireg obima.

Kada osoblje za sajber bezbednost proglasi hitnu situaciju u sajber bezbjednosti, poziva se ICS sistem. Prvobitno se obavještava unaprijed određen komandir incidenta i procjenjuje se početna procjena obima incidenta. Ako se otkrije više napada, komandir incidenta će se posavjetovati s analitičarima da izvrše trijažu incidenta i dodijele prioritete odgovora. Komandant incidenta će tada angažovati dodatne resurse na osnovu težine incidenta. Tehnički resursi će biti angažovani za izradu i implementaciju plana korektivnih akcija. Biće angažovani pravni resursi kako bi se osiguralo da su akcije odgovora u skladu sa zakonskim zahtjevima, kao što je Zakon o informacionoj bezbednosti. Službenik za vezu će biti angažovan za rad sa partnerima i za koordinaciju eksterne pomoći. Za komunikaciju sa štampom i javnošću biće angažovani Odnosi s javnošću . Ljudski resursi će biti angažovani ako je potrebno dodatno privremeno osoblje, a finansije će biti angažovane ako su potrebne nabavke softvera ili drugih potrepština od dobavljača.

Slijedi opšti priručnik koji prati incident kroz ove faze:

• Trijaža i procjena težine
• Aktivacija
• Rezolucija
• Deeskalacija
• Objava izvještaja o incidentu i korektivne radnje
• Prepoznavanje resursa

Autor: Patrick Bryant, M.Sc., CISSP, ISSAP, ISSMP, CISA