Реагирование на инциденты в "облачный" век: практические рекомендации

Есть ли у вас план реагирования на инциденты безопасности в облаке? Публикуем перевод статьи Риши Бхаргавы (Rishi Bhargava), со-основателя и вице-президента компании Demisto, о лучших практиках реагирования на подобные инциденты.

Впервые сталкиваясь с серьезной проблемой безопасности в облаке, большинство руководителей по информационной безопасности испытывают сильное разочарование. Даже если они смогут выявить критическую уязвимость, которая нуждается в «заплатке», у них может не оказаться достаточно полномочий на внесение поправок в продукт облачного провайдера. И если клиент не является владельцем сети, он может не получить доступ к деталям, необходимым для расследования инцидента.

Чтобы избежать серьезных проблем с безопасностью, разработайте план реагирования на инциденты. Вот что для этого нужно сделать:

1. Работайте совместно с провайдером облачных услуг.

Если вы еще не успели переехать в облако, будет разумно совместно выстроить процесс реагирования на инциденты. Четко пропишите роли участников и зоны ответственности; обменяйтесь контактными данными основных и второстепенных контактных лиц. Запросите детальный список инцидентов, на которые провайдер должен будет реагировать, а также пояснение, как провайдер будет разбираться с этими инцидентами.

2. Оцените инструменты мониторинга и обеспечения безопасности, используемые провайдером.

Для обеспечения эффективной реакции на проблемы безопасности облачной инфраструктуры важно понимать, какие системы мониторинга и обеспечения безопасности использует облачный провайдер, и имеете ли вы к ним доступ. Если выяснится, что их недостаточно, поищите другие способы закрытия этой потребности.

3. Разработайте план ликвидации последствий.

Решите, понадобится ли в случае сбоев в работе провайдера проводить мероприятия по ликвидации последствий. Разработайте план и пропишите в нем, перейдете ли вы к другому провайдеру или будете использовать внутренние ресурсы, а также опишите порядок сбора и перемещения данных.

4. Оцените, какие инструменты расследования инцидента есть у вас в арсенале.

Выясните, какими инструментами вы сможете воспользоваться для выявления причин инцидента. Инструменты могут предоставляться провайдером облачных услуг или исходить из других источников. Если инцидент связан с утечкой личных данных, то он может превратиться в проблему юридического характера, так что очень важно иметь под рукой инструменты, которые помогут найти причины и доказательства инцидента.

Если инцидент случился

В целом, порядок реагирования на инциденты в облаке не отличается от аналогичного порядка для локальной инсталляции. Однако, в случае инцидента в облаке могут понадобиться дополнительные меры:

• Немедленно свяжитесь с командой реагирования на инциденты вашего провайдера и будьте настойчивы. Если команда провайдера недоступна, делайте все, что в ваших силах, чтобы локализовать инцидент, например, взяв под контроль соединение с облачным сервисом и закрыв доступ пользователей к сервису.
• Если инцидент невозможно взять под контроль или локализовать, приготовьтесь перейти к использованию альтернативного сервиса или внутреннего сервера.
• Облачные технологии дают возможность отложить процесс идентификации и устранения инцидента до окончания кризиса. В большинстве случаев вы сможете немедленно приступить к восстановлению работоспособности, создав новый экземпляр системы.

Практические рекомендации по реагированию на инциденты в облаке

Одна из проблем, с которыми сталкиваются многие компании – это отсутствие у сотрудников подходящих навыков по решению инцидентов безопасности. Воспользуйтесь советами ниже, чтобы быстро обучить новых сотрудников или повысить квалификацию существующих:

• Поощряйте передачу опыта старших сотрудников младшим. Дополнительный бонус: совместными усилиями можно выявить, не выполняют ли сотрудники двойную работу.
• Разработайте инструкции, в которых будет прописан стандартный порядок реагирования на инциденты. Разумеется, невозможно разработать инструкцию для каждого потенциального кризиса, но такие инструкции помогут в случае возникновения инцидента и станут ценными учебными материалами. Только не забудьте, что нужно всегда поддерживать их в актуальном состоянии, а эту задачу зачастую можно автоматизировать.
• Кстати об автоматизации. Многие рутинные и повторяющиеся задачи можно автоматизировать. Обыденные дела отнимают незаслуженно много времени. Освободив от них ваших сотрудников, вы дадите им больше времени на выполнение действительно важных задач.
• Воспитывайте у сотрудников ситуационное восприятие, как с исторической точки зрения, так и с точки зрения текущего положения дел. Эффективный анализ предыдущих инцидентов поможет принимать взвешенные решения о текущих.
• Анализируйте инциденты и собирайте всю информацию в единую базу данных, чтобы определить, с проблемами какого типа приходится сталкиваться, какие навыки нужны для решения этих проблем, частоту возникновения каждого инцидента и другие факты. Анализ поможет выявить уязвимые места и определить, где нужно усилить безопасность.

Как и во всех лучших практиках по усилению безопасности облачных приложений, ответственность за реагирование на инциденты должна быть коллективной. Важно спланировать все заранее, чтобы в случае возникновения инцидента у вас уже были все нужные контакты и инструменты. Иметь четкий план реагирования, который обеспечит совместную работу внутренних и внешних команд и поможет автоматизировать процесс решения ключевых задач по безопасности – значит иметь возможность быстро локализовать и устранить инцидент во времена кризиса.

Источник: Network World