Расследование инцидентов c помощью Falcongaze SecureTower

Расследование инцидентов при помощи Falcongaze SecureTower

Расследование инцидентов при помощи Falcongaze SecureTower

Компания Falcongaze в новой версии DLP-системы SecureTower 6.2 представила модуль Центр расследования инцидентов, который упрощает работу сотрудников службы безопасности и автоматизирует рутинные задачи офицера безопасности при расследовании инцидентов ИБ. В статье мы расскажем, как реализована автоматизация составления отчетности об инциденте в Falcongaze SecureTower, и продемонстрируем, как провести расследование инцидента ИБ, сформировать доказательную базу и сделать отчеты с помощью модуля Центр расследования инцидентов.

 

 

  1. Введение
  2. Для чего нужно автоматизировать процесс расследования инцидентов
  3. Как реализована автоматизация составления отчетности об инциденте в Falcongaze SecureTower
  4. Расследование инцидента в Falcongaze SecureTower
  5. Выводы

 

Введение

Тема управления инцидентами информационной безопасности на сегодняшний день является одной из наиболее актуальных для компаний. Именно процесс управления инцидентами ИБ позволяет выявить инсайдеров или обнаружить следы утечек информации. При этом важнейшим этапом управления инцидентом ИБ является его расследование, которое помимо технической экспертизы также включает фиксацию доказательной базы и следов совершенного компьютерного преступления, что в свою очередь предполагает документирование и архивирование материалов расследования. Процесс формирования доказательной базы у офицеров безопасности превращается в рутинные ежедневные операции.

Для автоматизации рутинных задач офицера безопасности компания в DLP-системе Falcongaze SecureTower был добавлен новый модуль — Центр расследования инцидентов, предназначенный упростить работу сотрудников службы безопасности. Благодаря ему появилась возможность не выходя из Falcongaze SecureTower расследовать инциденты безопасности и формировать дела, в которых можно подробно фиксировать ход расследований, выявлять фигурантов дела, а после завершения расследования — получать автоматически составленные отчеты для руководителей. В рамках разработки этого модуля специалисты Falcongaze изучили алгоритмы работы сотрудников службы безопасности крупных предприятий и создали инструмент в максимальном соответствии с требованиями современного бизнеса и лучшими практиками. Все это позволяет пользователям системы быстро адаптироваться к новым возможностям Falcongaze SecureTower и значительно сэкономить время, которое раньше пришлось бы потратить на «бумажную» работу.

 

Для чего нужно автоматизировать процесс расследования инцидентов

Управление инцидентами — одна из важнейших процедур управления ИБ, рекомендованная международными и российскими стандартами в области ИБ. К настоящему времени разработано достаточное количество нормативных документов, регламентирующих вопросы управления инцидентами, в частности:

  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»,
  • РС БР ИББС-2.5-2014 «Рекомендации в области стандартизации Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности»,
  • ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности,
  • ISO/IEC 27001-2013 Information technology. Security techniques. Information security management systems. Requirements и ГОСТ P ИСО/МЭ 27001:2013 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
  • CMU/SEI-2004-TR-015 Dening incident management processes for CSIRT;
  • NIST SP 800-61 Computer security incident handling guide и др.

При том процесс расследования включает в себя стадию сбора и фиксации информации, относящейся к инциденту ИБ: формирование доказательной базы и следов совершенного компьютерного преступления. Корректно собранная и оформленная доказательная база — это фундамент, на котором строятся все дальнейшие этапы расследования.

При расследовании инцидентов и фиксации информации от офицеров безопасности требуется:

  • создание дел (архивов) для группировки информации (файлов) по конкретному расследованию инцидента ИБ;
  • подкреплять материалы по инциденту в дело в виде файлов;
  • оформлять документы (акты, протоколы) согласно внутренним стандартам организации;
  • обмениваться документами (материалами) с другими сотрудникам и представлять их руководству.

В Falcongaze SecureTower 6.2 для автоматизации рутинных задач офицера безопасности добавлен новый модуль — Центр расследования инцидентов, созданный в помощь сотрудникам службы безопасности при расследовании.

 

Как реализована автоматизация составления отчетности об инциденте в Falcongaze SecureTower

Центр расследований инцидентов в Falcongaze SecureTower — это единый центр, который позволяет удобно организовать работу с документацией в рамках расследований инцидентов безопасности.

Данный компонент позволяет:

  • создавать дела для группировки информации по конкретному расследованию;
  • прикреплять лиц, причастных к расследованию;
  • подшивать как документы из результатов поиска, так и внешние файлы;
  • собирать дела в группы, организовывать дела и группы в удобную структуру;
  • оформлять дела согласно внутренним стандартам организации;
  • распечатывать и экспортировать дела для передачи другим сотрудникам и представления руководству.

Центр расследований обладает гибким инструментарием, который значительно экономит время офицера безопасности. В том числе он обладает встроенным текстовым редактором, который позволяет без отрыва от материалов расследования создавать служебные записки и тому подобные документы. Компонент автоматизирует расследование инцидентов и может быть включен в бизнес-процессы организации.

Срок хранения дел в Центре расследований неограничен, что позволяет организовать архивное хранение. Также возможно оформление дела для сдачи во внешний архив согласно внутренним стандартам компании.

Кроме того, Falcongaze SecureTower предоставляет возможности для работы нескольких офицеров безопасности в одном Центре расследований. Эта функция позволяет ускорить и упростить обмен информацией, уменьшить время проведения расследований, снизить вероятность появления ошибок и разночтений.

Кроме проведения расследований компонент удобен для ведения досье. Рассмотрим работу Центра расследования на примере.

 

Расследование инцидента в Falcongaze SecureTower

Например, есть задача выявить нелояльных сотрудников, которые находятся в активном поиске новой работы. Такие работники представляют серьезную угрозу для компании, например, они могут  украсть клиентскую базу или другую ценную информацию компании.

Для начала перейдем в Центр обеспечения безопасности SecureTower, в котором уже настроено правило «Поиск работы», и просмотрим уведомления.

 

Рисунок 1. Просмотр уведомлений по теме «Поиск работы» в Центре обеспечения безопасности SecureTower

Просмотр уведомлений по теме «Поиск работы» в Центре обеспечения безопасности SecureTower

 

Например, сотрудник Сергей Тихомиров  по какой-то причине не вышел на работу и не отвечает на звонки. Поэтому нужно проанализировать его действия до этого момента. Поиск в уведомлениях Центра обеспечения безопасности SecureTower по правилу «Поиск работы» показал, что Сергей Тихомиров вел переписку в Skype с Олегом Прозоровым, который не является работником компании.

 

Рисунок 2.  Просмотр уведомлений для сотрудника Сергея Тихомирова в Центре обеспечения безопасности SecureTower

Просмотр уведомлений для сотрудника Сергея Тихомирова в Центре обеспечения безопасности SecureTower

 

Анализ переписки показал, что Сергей Тихомиров общался с представителем конкурирующей компании по поводу смены работы, который в свою очередь предлагал слить свою клиентскую базу и базу начальника.

 

Рисунок 3.  Анализ переписки сотрудника Сергея Тихомирова в Центре обеспечения безопасности SecureTower

Анализ переписки сотрудника Сергея Тихомирова в Центре обеспечения безопасности SecureTower

 

Таким образом, удалось установить, что это был не просто поиск работы, а значительный инцидент — утечка клиентской базы.

Для расследования создадим новое дело «Возможная утечка данных». Отметим, что каждое дело включает в себя следующие элементы:

  • Заголовок. Отражает название дела и дату инцидента. В правой части заголовка находится кнопка, которая содержит команды управления делом.
  • Вкладка «Дело». Содержит блоки: Описание инцидента (краткое), Информация об инциденте, Вовлеченные лица, Мероприятия и их результаты, Выводы и результаты расследования.
  • Вкладка «Материалы расследования». Содержит прилагаемые документы.
  • Вкладка «Журнал событий». Фиксирует информацию о том, какие пользователи работали с делом, вносили изменения в дело, просматривали (без внесения изменений).

 

Рисунок 4. Создание нового дела «Возможная утечка данных» в Центре расследования инцидентов SecureTower

Создание нового дела «Возможная утечка данных» в Центре расследования инцидентов SecureTower

 

В дело добавим описание и материалы: переписку пользователя Сергея Тихомирова, переданные файлы и карточки вовлеченных пользователей (фигурантов).

 

Рисунок 5. Добавление в дело описания и материалов

Добавление в дело описания и материалов

 

При формировании круга причастных лиц можно воспользоваться модулем «Активность пользователей».

 

Рисунок 6. Просмотр взаимосвязей пользователей в модуле «Активность пользователей»

Просмотр взаимосвязей пользователей в модуле «Активность пользователей»

 

Из графа взаимосвязей видно, что Сергей Тихомиров общался с Олегом Прозоровым, а также с другим сотрудником. 

Для анализа взаимосвязей Олега Прозорова с другими сотрудниками компании создадим ему карточку и выведем граф взаимосвязей.

 

Рисунок 7. Просмотр взаимосвязей пользователей в модуле «Активность пользователей»

Просмотр взаимосвязей пользователей в модуле «Активность пользователей»

 

Из графа взаимосвязей видно, что Олег Прозоров, помимо переписки с Сергеем Тихомировым, общался также со старшим менеджером Еленой Кравцовой. При этом из графа видно, что был факт передачи двух файлов Прозорову от Елены Кравцовой.

Добавляем контакт Кравцовой в дело «Возможная утечка данных» как инициатора утечки.

На данном этапе расследования сформирован круг лиц причастных к утечке информации. Далее необходимо выполнить сбор информации (в данном случае это лог переписки в мессенджере) и файлов в рамках расследования инцидента и прикрепить их в материалы дела «Возможная утечка данных».

 

Рисунок 8. Общий вид вкладки «Материалы расследований» Центра расследования инцидентов SecureTower

Общий вид вкладки «Материалы расследований» Центра расследования инцидентов SecureTower

 

Отметим, что в ходе ведения дела можно свободно вносить, изменять, удалять текстовую информацию, скрывать и открывать информационные блоки, добавлять и удалять вовлеченных лиц, документы, добавлять и удалять сами дела — в соответствии с ходом каждого отдельного расследования.

 

Рисунок 9. Текстовый редактор Центра расследования инцидентов SecureTower

Текстовый редактор Центра расследования инцидентов SecureTower

 

Для представления результатов расследования руководству и другим заинтересованным лицам система предоставляет возможность распечатать или экспортировать дело.

 

Рисунок 10. Меню печати и экспорта результатов Центра расследования инцидентов SecureTower

Меню печати и экспорта результатов Центра расследования инцидентов SecureTower

 

Рисунок 11. Автоматически сформированный отчет о расследовании в формате PDF

Автоматически сформированный отчет о расследовании в формате PDF

 

На выходе документ содержит реквизиты, необходимые для бумажного документа: места для подписей, логотип компании.

 

Выводы

В статье мы познакомились с новым модулем — Центр расследования инцидентов DLP-системы Falcongaze SecureTower 6.2, который предназначен упростить работу сотрудников службы безопасности и автоматизировать рутинные задачи офицера безопасности. Мы рассказали, как реализована автоматизация составления отчетности об инциденте в Falcongaze SecureTower, на примере расследования утечки информации через Skype продемонстрировали, как с помощью модуля Центр расследования инцидентов и инструментов DLP-системы Falcongaze SecureTower провести расследование инцидента ИБ, сформировать дело, выявить причастных лиц (фигурантов дела), сформировать доказательную базу и автоматически подготовить отчеты о расследовании для руководства компании и заинтересованных лиц.

Центр расследований обладает гибким и удобным инструментарием, что позволяет удобно организовать работу с документацией в рамках расследований инцидентов ИБ. Наличие контекстного меню Центра расследований в разделах DLP-системы Falcongaze SecureTower позволяет непосредственно из DLP-системы создавать дела, добавлять материалы расследования. Встроенный текстовый редактор модуля позволяет создавать служебные записки и отчеты без отрыва от материалов расследования и не выходя из DLP-системы.  В Центре расследований также можно организовать структурированный архив дел с неограниченным сроком хранения. Функциональность модуля также удобна для ведения досье.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru