Реализация плана реагирования на инцидент
10.3. Реализация плана реагирования на инцидент
Как только план действий создан, он должен быть подписан и активно внедряться. Любой невыясненный при внедрении этого плана пункт может привести к замедлению реакцию и простою в случае взлома. Вот где становятся бесценными практические навыки. Если ничто не вызывает сомнений до начала работы по этому плану, все заинтересованные стороны должны договориться о его реализации и уверенно следовать ему.
Если обнаруживается попытка взлома и команда CERT готова среагировать мгновенно, она может сделать это по-разному. Команда может отключить сетевые соединения, отсоединить пострадавшие системы, ликвидировать уязвимость, а затем вернуть всё в прежнее состояние без возможных дальнейших осложнений. Команда также может следить за нападающими и наблюдать за их действиями. Команда даже может направить нападающего в «горшочек с мёдом» — компьютер, или сегмент сети, содержащий преднамеренно искажённые данные, и используемый для безопасного наблюдения за атакой, не прерывающей работу производственных ресурсов.
Реакцию на инцидент также, если это возможно, следует дополнять сбором информации. В реальном времени следует вести аудит работающих процессов, сетевых соединений, файлов, каталогов и т.п. Снимок состояния производственных ресурсов также может помочь в выявлении зловредных служб или процессов. В определении таких аномалий в системе отлично помогут члены команды CERT и эксперты компании. Системные администраторы знают, какие процессы из показанных top или ps должны работать, а какие — нет. Сетевые администраторы знают, на что должен быть похож сетевой трафик, показываемый snort или tcpdump. Эти члены команды должны знать свои системы и выявлять аномалии быстрее, чем кто-либо другой, незнакомый с вашей инфраструктурой.