Вновь об управлении инцидентами

Управление инцидентами это многогранная задача, которая включает в себя различные подзадачи и процессы. Это и расследование инцидентов, и сбор доказательств, и общение с правоохранительными органами (если это нам необходимо), и управление уязвимостями, и патчами, и множество других вещей. И каждая из них важна и нужна. Просто расследование инцидентов без формирования соответствующей группы CSIRT бесполезная трата времени и ресурсов (даже обратиться к специалистам и то надо знать как). А формирование группы CSIRT бесмысленно без наличия прописанных и формализованных процессов управления инцидентами, которые четко определяют шаги участвующих в управлении инцидентами специалистов и не дают им делать хаотические шаги в стороны. На мой взгляд, основная задача в области управления инцидентами это как можно большая формализация задач и процессов, чтобы нельзя было делать шаг влево и шаг вправо; чтобы те люди, которые в итоге войдут в группу CSIRT (либо созданную формально, либо неформально), не думали во время инцидента, что им делать, куда им звонить и так далее. Чтобы они четко выполняли шаги, требуемые от них для борьбы с нейтрализацией инцидентов и их последствий (не вдаваясь в терминологические дебри и дискуссии на тему "что такое инцидент"). Без такой формализации начинается хаос, начинаются метания из стороны в сторону во время инцидента. Кто-то попытался заблокировать злоумышленника или попытался с ним связаться. Кто-то попытался перезапустить систему, которую атаковали. В результате все следы уничтожены, злоумышленник понял, что его обнаружили и прекратил свою несанкционированную деятельность. В итоге, с одной стороны, инцидент прекращен и поверхностная задача решена. А с другой стороны мы столкнулись с ситуацией, в которой возможно повторение этого инцидента, но уже на более глубоком уровне (ведь злоумышленник понял, что его действия обнаружены). Мы не смогли реально идентифицировать злоумышленника, потому что он работал через какой-нибудь прокси. И так далее. Что в итоге? И действия какие-то произведены. И ущерб предотвращен. Но присутствовало ли тут управление инцидентами? Нет. Потому что мы ничего об этом инциденте не знаем. Ничего не знаем о злоумышленники. Ничего не собрали в качестве доказательств. А вот нарушителю дали понять, что его "пасут", заставив его тем самым предпринять более серьезные действия по скрытию своей активности (правда, может он и отстанет от вас). На форуме директоров по ИБ, в своей презентации по финансовому измерению ИБ, я показал (слайд 28), что в России проекты по управлению инцидентами экономически неоправданны. И если уж заниматься этой задачей, то делать это надо изначально понимая все особенности; все подводные камни; все достоинства и недоставки каждого из существующих подходов к управлению инцидентами. К чему я все это пишу, сказав уже что-то в пятницу ? Просто навеяло постами Ригеля и Алексея Волкова . Видимо придется уделять этому вопросу больше внимания, коль скоро эта тема стала в России столь популярной ;-) ЗЫ. Коллегам из Leta-IT/Group-IB предлагаю завести отдельный блог/ресурс на эту тему, чтобы сделать эту тему открыто обсуждаемой. Ведь именно в открытой дискуссии и рождается истина. Единого рецепта или сценария может и не найдется, но можно будет увидеть разные подходы к решению данной задачи.