情報セキュリティの実践から記事を公開し続けています。
今回は、セキュリティインシデントなどの重要なコンポーネントに焦点を当てます。 インシデントの処理は、情報セキュリティ体制の確立後の時間の大部分を占めます(ドキュメントが受け入れられ、技術的な部分がインストールおよび構成され、最初のトレーニングが実施されました)。
インシデント報告
まず最初に、インシデントに関する情報を取得する必要があります。 この点は、セキュリティポリシーを作成し、従業員の情報セキュリティの教育プログラムに関するプレゼンテーションを作成する段階でも考慮する必要があります。
主な情報源:
1.ヘルプデスク。
原則として(これは良い伝統です)、機器の動作における問題、誤動作、誤動作は、ITサービスのヘルプデスクに呼び出されるか書き込まれます。 したがって、事前にヘルプデスクのビジネスプロセスに「統合」し、アプリケーションが情報セキュリティ部門に転送されるインシデントの種類を示す必要があります。
2.ユーザーからの直接のメッセージ。
従業員の情報セキュリティに関するトレーニングで報告されているように、単一の連絡先を整理します。 現時点では、組織のIS部門は通常、それほど大きくはなく、1〜2人が多いです。 したがって、インシデントの受信責任者を任命することは難しくありません。ISヘルプデスクのニーズに合わせてメールアドレスを強調表示する必要さえありません。
3.セキュリティ担当者が発見したインシデント。
ここではすべてがシンプルで、このような受信チャンネルを編成するために体の動きは必要ありません。
4.ログとシステムアラート。
アンチウイルス、IDS、DLP、その他のセキュリティシステムのコンソールでアラートを設定します。 組織にインストールされているプログラムとシステムのログからもデータを収集するアグリゲーターを使用する方が便利です。 外部ネットワークとの連絡先や機密情報の保管場所には特に注意を払う必要があります。
インシデントの分類
セキュリティインシデントは多様で多様ですが、統計を簡単にするいくつかのカテゴリに簡単に分類できます。
1.機密情報または内部情報の開示、またはそのような開示の脅威。
これを行うには、少なくとも、機密情報の最新リスト、電子メディアおよび紙メディアの作業システムが必要です。 良い例は、組織の内部ポータルまたは内部ファイルストレージにあるほとんどすべての場合のドキュメントテンプレートです。デフォルトでは、「内部使用のみ」のスタンプが付いています。
開示の脅威について少し明らかにします。以前の投稿で、「内部使用のみ」というスタンプが付いたドキュメントが別の組織に隣接する共有ホールに投稿された状況について説明しました。 おそらく、開示自体はそうではなかったかもしれませんが(営業日の終了後に投稿され、非常に迅速に気づかれました)、開示の脅威の事実が顔を出しているのです!
2.不正アクセス。
これを行うには、保護されたリソースのリストが必要です。 つまり、組織、その顧客、または請負業者の機密情報がある場所です。 さらに、このカテゴリには、コンピュータネットワークへの侵入だけでなく、施設への不正アクセスも含めることが望ましいです。
3.過剰な権限。
原則として、このアイテムを前のアイテムと組み合わせることができますが、強調した方が良いでしょう。理由を説明します。 不正アクセスとは、組織のリソースまたは施設への法的アクセス権を持たない人のアクセスを意味します。 これは、システムへの合法的なエントリを持っていない外部侵入者です。 過剰な権限は、組織の法的従業員のリソースおよび施設への不正アクセスとして理解されます。
4.ウイルス攻撃。
この場合、次のことを理解する必要があります。従業員のコンピューターへの単一の感染は、エラーまたは悪名高い人的要因に起因する可能性があるため、試行を伴うべきではありません。 組織のコンピューターのかなりの割合が感染している場合(ここでは、マシンの総数、それらの配布、セグメンテーションなどから既に開始できます)、感染源、原因などの必要な検索を伴う本格的なセキュリティインシデントを展開する必要があります。
5.アカウントの侵害。
このアイテムには3と共通点があります。 実際、インシデントの調査中にユーザーが物理的かつ実際に資格情報を使用できなかったことが判明した場合、インシデントは3から5のカテゴリに分類されます。
インシデント分類
この点でインシデントに対処するには、単純な方法と複雑な方法の2つの方法があります。
簡単な方法:ITサービスのサービスレベルについて合意し、ニーズに合わせて調整します。
困難な方法:リスク分析に基づいて、インシデントおよび/または資産のグループを特定し、その関連でインシデントの原因の解決または除去を即座に行う必要があります。
簡単な方法は、機密情報がそれほど多くなく、従業員の数も多くない小さな組織でうまく機能します。 しかし、SLAのITサービスは、それ自体のリスクとインシデントの統計に基づいていることを理解する価値があります。 会社のデータベースの管理者のパスワードを危険にさらすことがより重要である場合、CEOの机に紙が詰まっているプリンターの優先度が非常に高くなる可能性があります。
インシデントエビデンスコレクション
特別な応用科学があります-法医学、コンピューター犯罪の分野での法医学の問題を扱います。 そして、フェドトフN.N.による素晴らしい本があります。 「フォレンジック-コンピュータフォレンジック。」 ここでは、フォレンジックの詳細な側面については説明しません。遵守する必要がある証拠を保存および提供する際の2つの主要なポイントを単に強調します。
•紙のドキュメントの場合:オリジナルは、ドキュメントを発見した人、ドキュメントが発見された場所、ドキュメントが発見された日時、発見を目撃した人の記録とともに安全に保存されます。 調査では、オリジナルが改ざんされていないことを確認する必要があります。
•コンピューターの記憶メディアに関する情報:取り外し可能メディア、ハードドライブ、またはメモリ内の情報のミラーイメージを取得して、アクセシビリティを確保する必要があります。 コピープロセス中のすべてのアクションの記録を保持し、プロセスを証明する必要があります。 元のメディアとプロトコル(これが不可能な場合は、少なくとも1つのミラーイメージまたはコピー)を保護し、完全に維持する必要があります
インシデントを排除した後
したがって、インシデントは終了し、結果は排除され、内部調査が実施されます。
ただし、この作業は完了しないでください。
インシデント後の対処:
•インシデントの発生につながるリスクの再評価
•インシデントが再発した場合に特定されたリスクを最小限に抑えるための保護対策のリストの準備
•必要なポリシー、規制、ISルールの更新
•情報セキュリティの意識を高めるために、ITスタッフを含む組織のスタッフのトレーニングを実施する
つまり、セキュリティの脅威の実装に伴う脆弱性を最小化または中和するために考えられるすべてのアクションを実行する必要があり、その結果、インシデントが発生します。
いくつかのヒント
1.インシデントログを保管します。ここには、検出時間、インシデントを発見した従業員のデータ、インシデントのカテゴリ、関係する資産、インシデントを解決するための計画時間と実際の時間、およびインシデントとその結果を排除するために行った作業を記録できます。
2.アクションを記録します。 これは、インシデントを解決するプロセスを最適化するために、主に自分で必要です。
3.従業員にインシデントを通知して、まず調査に干渉しないようにし、次に調査中に影響を受ける資産の使用を除外します。