Primjena komandnog sistema za incidente kao odgovor na sajber incidente

Objavljeno: 2023-10-25 22:00:00 Autor: Gov - CIRT

Sistem komandovanja incidentima (ICS) razvijen je u Kaliforniji 1960-ih da bi koordinirao napore između odvojenih vatrogasnih odjeljenja prilikom međusobnog reagovanja na šumske požare. Kasnije su ga usvojile i javne i privatne organizacije kao okvir za reagovanje na incidente svih vrsta. Velike i male vladine agencije pronašle su okvir prilagodljiv njihovim jedinstvenim operacijama, a mnoge korporacije iz privatnog sektora usvojile su okvir za odgovor na sajber incidente svih vrsta – uključujući incidente iz oblasti sajber sigurnosti. Google, na primjer, koristi ICS okvir da odgovori na neočekivane događaje koji utiču na sve operacije informacionih sistema - uključujući sajber sigurnosne incidente.

ICS ima ove ključne ciljeve kada se primjenjuje u okviru sajber bezbjednosnih incidenata:

  • Brza reakcija bez dupliciranja i prekomjerne upotrebe resursa.
  • Smanjen poremećaj normalnog poslovanja definisanjem i ograničavanjem broja uključenih resursa.
  • Vođstvu pružiti tačne i pravovremene informacije.
  • Eksternim stranama, uključujući i javnost, pružiti pravovremene, tačne i koherentne informacije.
  • Koordinacija sticanje eksterne pomoći.
  • Obezbijedite organima za provođenje zakona djelotvorne i pravilno sačuvane dokaze.
  • Prikupiti informacije o prazninama i slabostima koje se mogu analizirati i ispraviti nakon incidenta.
  • Osigurati koordiniranu strukturu unutar koje se povećavaju resursi za odgovor na incident i smanjuju se nakon što se incident riješi.

Po svojoj prirodi, incidenti se ne mogu u potpunosti planirati, ali struktura odgovora na incidente može biti unaprijed uspostavljena. ICS omogućava organizaciji da obezbijedi:

  • Unaprijed definisane kriterijume šta čini incident.
  • Unaprijed definisane procese eskalacije i deeskalacije za povećanje i smanjenje aktivnosti odgovora.
  • Unaprijed definisani protokoli i kontakti za primanje eksterne pomoći.
  • Unaprijed definisane uloge i osoblje koje sarađuje u cilju poboljšane koordinacije.
  • Jasne linije odgovornosti i definicije izvještavanja.
  • Izolacija od nepotrebne komunikacije koja omogućava osobama koje reaguju na incidente i drugim stručnjacima da se fokusiraju na svoje specijalnosti.

ICS definiše posebne uloge za reagovanje na incidente. Ove uloge su:

  • Prvi/na licu mjesta
  • Koordinacija, komanda i komunikacija
  • Veza
  • Tehničke
  • Pravne
  • Ljudski resursi
  • Javni odnosi
  • Finansije

Aktivnost reagovanja na incidente obično počinje otkrivanjem anomalije. Anomalija se definiše kao neočekivano ponašanje ili događaj. Može biti benigna, zlonamjerna ili pogrešna; i može biti nova ili ponavljajuća. Velika većina anomalija je benigna ili pogrešna, a uzrokovana je pogrešnim konfiguracijama sistema, nedostacima u aplikaciji i lažnim upozorenjima (lažnim pozitivima) sistema za otkrivanje incidenata (IDS). Ipak, anomalije se moraju istražiti i karakterizovati kako bi se utvrdilo da nijesu zlonamjerne ili destruktivne prirode. Pogrešne konfiguracije sistema moraju biti ispravljene, nedostaci u aplikaciji moraju biti eliminisani ili obuzdani kompenzacionim kontrolama, a IDS lažno pozitivni rezultati moraju biti isključeni iz sistema detekcije gde god je to moguće kako bi se poboljšao odnos signal-šum IDS sistema.

Prva osoba koja otkrije anomaliju dobija ulogu prvog odgovornog lica . Ta osoba ima odgovornost prijaviti anomaliju nadležnom analitičaru cyber sigurnosti i on ili ona ostaju odgovorni sve dok analitičar ne potvrdi prijavu. Osoba koja prva reaguje može zadržati odgovornost prvog odgovornog lica ako analitičar nije u mogućnosti direktno procijeniti anomaliju.

Incident se proglašava kada anomalija proizvodi ili ima potencijal da izazove poremećaj ili degradaciju povjerljivosti, dostupnosti ili integriteta informacionog sistema Uzrok incidenta može biti zlonamjeran ili slučajan, a početni razmjer incidenta može biti nepoznat. Ako obim incidenta utiče samo na jedan sistem, može se brzo i lako riješiti i ako ne postoji vjerovatnoća da je incident prešao na druge sisteme; analitičar ga može zatvoriti bez prizivanja odgovora većeg obima unutar ICS strukture.

Incident je hitan slučaj u sajber bezbjednosti ako proizvodi, ili ima potencijal da proizvede, široki poremećaj ili degradaciju povjerljivosti, dostupnosti ili integriteta informacionog sistema; ili ako je očigledno dio ili preteča zlonamjernog napada šireg obima.

Kada osoblje za sajber bezbednost proglasi hitnu situaciju u sajber bezbjednosti, poziva se ICS sistem. Prvobitno se obavještava unaprijed određen komandir incidenta i procjenjuje se početna procjena obima incidenta. Ako se otkrije više napada, komandir incidenta će se posavjetovati s analitičarima da izvrše trijažu incidenta i dodijele prioritete odgovora. Komandant incidenta će tada angažovati dodatne resurse na osnovu težine incidenta. Tehnički resursi će biti angažovani za izradu i implementaciju plana korektivnih akcija. Biće angažovani pravni resursi kako bi se osiguralo da su akcije odgovora u skladu sa zakonskim zahtjevima, kao što je Zakon o informacionoj bezbednosti. Službenik za vezu će biti angažovan za rad sa partnerima i za koordinaciju eksterne pomoći. Za komunikaciju sa štampom i javnošću biće angažovani Odnosi s javnošću . Ljudski resursi će biti angažovani ako je potrebno dodatno privremeno osoblje, a finansije će biti angažovane ako su potrebne nabavke softvera ili drugih potrepština od dobavljača.

Slijedi opšti priručnik koji prati incident kroz ove faze:

  • Trijaža i procjena težine
  • Aktivacija
  • Rezolucija
  • Deeskalacija
  • Objava izvještaja o incidentu i korektivne radnje
  • Prepoznavanje resursa

Autor: Patrick Bryant, M.Sc., CISSP, ISSAP, ISSMP, CISA