Если рассматривать историю нарушений систем безопасности, то, как правило, они связаны с неадекватными процедурами. Именно использование должных процедур означает различие между успехом и поражением.
Благословенные блок-схемы Причина, по которым большинство людей считают разработку блок-схем потерей времени, заключается в том, что им кажется, что блок-схемы содержат просто очевидные понятия. Однако, польза в том, что блок-схемы часто показывают, что процессы действительно нуждаются в упрощении и очевидности, и мы понимаем это, когда тратим время, чтобы их задокументировать. Многие операции в сфере сетевой безопасности не выполняются потому, что, когда сотрудники обнаруживают некое событие, они стараются создать процедуру для реагирования на нее, а в это же самое время ситуация может усложняться. В Форте Нокс проводят тренировки по реагированию на инциденты в широком диапазоне - от военной атаки до простых попыток проникновения в ворота. Сетевые администраторы, которые хотят отражать атаки также, как это делают военные в Форте Нокс, должны провести некоторое время, для предварительной разработки процедур реагирования на инциденты, даже на такие, которые маловероятны. Процессы на карандаше Процесс описывает процедуры, выполняемые при инцидентах и отвечающие на вопрос "что мы делаем, если …?". Как говорилось раньше, большинство серьезных взломщиков обладают временем для того, чтобы провести разведку ваших процессов и инфраструктуры и перенастроить свои инструменты проникновения. Это означает, что ключом к победе в войне за вашу сеть является сбор всех возможных данных для анализа возможных атак и настройка ваших процессов для реагирования на них.
Джокеры опасны Наиболее опасными атаками являются те, которые используют незнакомые вам ситуации. Элитные взломщики стараются избегать показа сценариев, которые они используют для внедрения. Это означает, что наиболее опасные атаки это не те, которые заставляют лаять собак, а те, которые заставляют вас удивленно поднимать брови. Когда вы имеете дело с незнакомыми угрозами в сети, то вы должны предоставить им наивысший приоритет, по крайней мере до тех пор, пока они не будут категоризованы. В сетевой безопасности длительное раздумывание может вызвать больше вреда, чем быстрое решение типа "это наверняка уже аномалия". Считайте угрозу смертельно опасной и запускайте процесс обработки всей неизвестной активности до тех пор, пока "тайна" не будет разгадана.
Защита от выходных дней (и лени) Самые худшие атаки начинаются в выходные дни. Элитные хакеры будут знать, когда основной оператор в отпуске и атакуют заместителя. По аналогии с крупнейшими военными атаками в прошлом, сетевые происшествия случаются в тумане и темноте ночи. Даже лучшие сетевые аналитики имеют свои плохие дни, и система должна считаться с этим. Регистрация и отчетность по всем событиям, связанными с безопасностью, являются критически важными элементами системы, не позволяющей "бомбе взорваться". Блок-схема на стене не заставит выполняться процессы, которые на ней изображены. Необходимо проверить все действия, связать вместе все имеющие отношения к этому подразделения и людей, а также повсюду обеспечить качество выполнения процессов. Плохо организуя проверку правил безопасности, мы тем самым позволяем нашим лучшим аналитикам превратиться в лентяев и сделать самую лучшую интеллектуальную инфраструктуру неработающей. Если оператор будет дремать во время возникновения потенциальной угрозы, то беду вам ждать недолго.
Меню сайта
Урок 6: Реакция на инциденты