Инцидент информационной безопасности — это определенное событие, которое может указывать на то, что информация или данные организации были украдены, а системы защиты не сработали. Другими словами, инцидент — это событие, которое нарушает привычную работу предприятия. Чтобы избежать этого, проведите аудит ИБ.
Общим для большинства инцидентов безопасности является то, что они обычно не оказывают серьезного влияния на организацию и не влекут ощутимого ущерба. Однако некоторые серьезные события можно квалифицировать как инцидент безопасности, например, DDoS-атаку.
Инциденты информационной безопасности охватывают широкий спектр нарушений безопасности — от систем и сетей до вредоносных программ и даже кражи оборудования с конфиденциальными данными.
Примеры инцидентов безопасности включают следующее:
- попытки внешних источников получить доступ к системам и данным;
- незапланированное прерывание обслуживания или отказ в обслуживании;
- несанкционированная обработка или хранение данных;
- несанкционированные изменения системного оборудования, прошивки или программного обеспечения;
- внутренние нарушения сетей и систем;
- злонамеренные атаки на системы и сети;
- вредоносное ПО;
- атака, направленная на нарушение, отключение или уничтожение инфраструктуры организации;
- атака, направленная на уничтожение или кражу данных.
получите рекомендации по совершенствованию системы ИБ
Классификация инцидентов
Существует много типов инцидентов безопасности, однако, большинство экспертов делят инциденты информационной безопасности на случайные и преднамеренные.
Преднамеренные инциденты.
Преднамеренные инциденты включают в себя наиболее распространенные и известные типы атак, а именно:
1. Незаконный доступ к системам и данным.
2. Фишинговая атака
Злоумышленник использует фишинговые электронные письма для распространения вредоносных ссылок и вложений, которые могут выполнять различные функции.
Более целенаправленный тип фишинговой атаки, известный как целевой фишинг, происходит, когда злоумышленник предварительно изучает жертву и производит атаку на конкретное лицо, используя заранее приготовленную правдоподобную легенду.
3. Вредоносные ПО.
Это общий термин для различных типов вредоносных программ. К вредоносным программам относятся трояны, черви, программы-вымогатели, рекламное ПО, шпионское ПО и различные типы вирусов.
4. DoS-атака.
Компании не могут справиться с DoS-атакой, которая приводит к сбою сервера, просто перезагрузив систему. Кроме того, перенастройка брандмауэров, маршрутизаторов и серверов не всегда может заблокировать фиктивный трафик. Как правило, для защиты от подобного рода атак, необходимо использование специальных средств или обращаться за соответствующей услугой к своему провайдеру Интернет или в специализированную компанию.
5. «Холодная» атака.
Этот тип инцидента нацелен на получение пароля пользователя или пароля учетной записи. Обычно при «холодной» атаке у злоумышленника есть только зашифрованный файл с данными. Основная задача такого инцидента — подобрать верный пароль, чтобы дешифровать информацию.
Это лишь небольшая доля всех видов преднамеренных инцидентов информационной безопасности. Однако понимание общей картины преднамеренных инцидентов поможет вам самостоятельно классифицировать похожие случаи.
Случайные инциденты.
Случайные инциденты очень часто связаны с внутренней угрозой. Давайте разберемся более подробно.
- Ошибки пользователей.
Некоторые вредоносные программы устанавливаются непреднамеренно, когда сотрудник нажимает на объявление, посещает зараженный веб-сайт или устанавливает бесплатное программное обеспечение.
- Доступ у третьих лиц.
Такие случайные инциденты безопасности приписывают бывшим сотрудникам, подрядчикам, временным работникам или клиентам.
- Нелицензированное ПО.
- Ошибки в процессе обработки информации.
Чтобы обнаруживать и предотвращать внутренние угрозы, внедрите программы обнаружения шпионского ПО, антивирусные программы, брандмауэры и строгие процедуры резервного копирования и архивирования данных. Кроме того, обучите сотрудников и подрядчиков вопросам безопасности, прежде чем разрешить им доступ к корпоративной сети. Внедрите программное обеспечение для мониторинга сотрудников, чтобы снизить риск утечки данных и кражи интеллектуальной собственности.
Регламент реагирования на инциденты информационной безопасности
Поскольку инциденты безопасности представляют собой множества инструментов и методов, устранять их необходимо комплексно. Во всех случаях цель состоит в том, чтобы ликвидировать или разрешить инцидент как можно быстрее.
Давайте рассмотрим общие инструменты и методы, которые организации могут использовать для реагирования на инциденты безопасности:
- Соберите команду специалистов. Скоординируйте команду экспертов по безопасности, которые оценят серьезность инцидента, свяжутся с руководством и предпримут меры по смягчению последствий.
- Выявите и оцените инцидент. Определите, что было украдено. Найдите сеть, через которую была нанесена атака и изолируйте ее. Так вы предотвратите распространение инцидента и его последствий. При этом сохраните все данные из зараженной сети для последующего анализа.
- Восстановите сети. Если системы или сети настолько сильно повреждены, что с ними невозможно работать, то запустите полное аварийное восстановление.
- Сообщите об атаке тем лицам, чьи данные были украдены. Если данные клиента или компании были украдены во время инцидента информационной безопасности, то уведомите пострадавших о нарушении.
- Найдите виновного в инциденте, если возможно. Если злонамеренное действие было совершено сотрудником компании, уведомите об этом отдел кадров, чтобы можно было принять соответствующие меры.
- Разберите инцидент безопасности на конкретные шаги. Как только инцидент безопасности будет устранен, посмотрите, что произошло, как это произошло и какие шаги можно предпринять, чтобы избежать подобных инцидентов в будущем.
Важность информационной безопасности невозможно переоценить. Увеличение числа инцидентов информационной безопасности означает, что предприятия больше, чем когда-либо подвергаются риску атак на информационную безопасность. Компании должны следить за состоянием безопасности данных и быть готовыми реагировать на возникающие угрозы, а также обеспечивать безопасность своих данных.
Крайне важно разработать план реагирования на инциденты информационной безопасности, чтобы убедиться, что ваша компания готова к борьбе со всеми типами инцидентов информационной безопасности. Это повысит стоимость атаки, уменьшит поверхность атаки, а также поможет предотвратить атаки в будущем.