Наверх

Реагирование на инциденты в "облачный" век: практические рекомендации

Время чтения: 6 минут
0
Реагирование на инциденты в

Впервые сталкиваясь с серьезной проблемой безопасности в облаке, большинство руководителей по информационной безопасности испытывают сильное разочарование. Даже если они смогут выявить критическую уязвимость...

Есть ли у вас план реагирования на инциденты безопасности в облаке? Публикуем перевод статьи Риши Бхаргавы (Rishi Bhargava), со-основателя и вице-президента компании Demisto, о лучших практиках реагирования на подобные инциденты.

ermergency reponse siren

Впервые сталкиваясь с серьезной проблемой безопасности в облаке, большинство руководителей по информационной безопасности испытывают сильное разочарование. Даже если они смогут выявить критическую уязвимость, которая нуждается в «заплатке», у них может не оказаться достаточно полномочий на внесение поправок в продукт облачного провайдера. И если клиент не является владельцем сети, он может не получить доступ к деталям, необходимым для расследования инцидента.

Чтобы избежать серьезных проблем с безопасностью, разработайте план реагирования на инциденты. Вот что для этого нужно сделать:

1. Работайте совместно с провайдером облачных услуг.

Если вы еще не успели переехать в облако, будет разумно совместно выстроить процесс реагирования на инциденты. Четко пропишите роли участников и зоны ответственности; обменяйтесь контактными данными основных и второстепенных контактных лиц. Запросите детальный список инцидентов, на которые провайдер должен будет реагировать, а также пояснение, как провайдер будет разбираться с этими инцидентами.

2. Оцените инструменты мониторинга и обеспечения безопасности, используемые провайдером.

Для обеспечения эффективной реакции на проблемы безопасности облачной инфраструктуры важно понимать, какие системы мониторинга и обеспечения безопасности использует облачный провайдер, и имеете ли вы к ним доступ. Если выяснится, что их недостаточно, поищите другие способы закрытия этой потребности.

3. Разработайте план ликвидации последствий.

Решите, понадобится ли в случае сбоев в работе провайдера проводить мероприятия по ликвидации последствий. Разработайте план и пропишите в нем, перейдете ли вы к другому провайдеру или будете использовать внутренние ресурсы, а также опишите порядок сбора и перемещения данных.

4. Оцените, какие инструменты расследования инцидента есть у вас в арсенале.

Выясните, какими инструментами вы сможете воспользоваться для выявления причин инцидента. Инструменты могут предоставляться провайдером облачных услуг или исходить из других источников. Если инцидент связан с утечкой личных данных, то он может превратиться в проблему юридического характера, так что очень важно иметь под рукой инструменты, которые помогут найти причины и доказательства инцидента.

Если инцидент случился

В целом, порядок реагирования на инциденты в облаке не отличается от аналогичного порядка для локальной инсталляции. Однако, в случае инцидента в облаке могут понадобиться дополнительные меры:

  • Немедленно свяжитесь с командой реагирования на инциденты вашего провайдера и будьте настойчивы. Если команда провайдера недоступна, делайте все, что в ваших силах, чтобы локализовать инцидент, например, взяв под контроль соединение с облачным сервисом и закрыв доступ пользователей к сервису.
  • Если инцидент невозможно взять под контроль или локализовать, приготовьтесь перейти к использованию альтернативного сервиса или внутреннего сервера.
  • Облачные технологии дают возможность отложить процесс идентификации и устранения инцидента до окончания кризиса. В большинстве случаев вы сможете немедленно приступить к восстановлению работоспособности, создав новый экземпляр системы.

Практические рекомендации по реагированию на инциденты в облаке

Одна из проблем, с которыми сталкиваются многие компании – это отсутствие у сотрудников подходящих навыков по решению инцидентов безопасности. Воспользуйтесь советами ниже, чтобы быстро обучить новых сотрудников или повысить квалификацию существующих:

  • Поощряйте передачу опыта старших сотрудников младшим. Дополнительный бонус: совместными усилиями можно выявить, не выполняют ли сотрудники двойную работу.
  • Разработайте инструкции, в которых будет прописан стандартный порядок реагирования на инциденты. Разумеется, невозможно разработать инструкцию для каждого потенциального кризиса, но такие инструкции помогут в случае возникновения инцидента и станут ценными учебными материалами. Только не забудьте, что нужно всегда поддерживать их в актуальном состоянии, а эту задачу зачастую можно автоматизировать.
  • Кстати об автоматизации. Многие рутинные и повторяющиеся задачи можно автоматизировать. Обыденные дела отнимают незаслуженно много времени. Освободив от них ваших сотрудников, вы дадите им больше времени на выполнение действительно важных задач.
  • Воспитывайте у сотрудников ситуационное восприятие, как с исторической точки зрения, так и с точки зрения текущего положения дел. Эффективный анализ предыдущих инцидентов поможет принимать взвешенные решения о текущих.
  • Анализируйте инциденты и собирайте всю информацию в единую базу данных, чтобы определить, с проблемами какого типа приходится сталкиваться, какие навыки нужны для решения этих проблем, частоту возникновения каждого инцидента и другие факты. Анализ поможет выявить уязвимые места и определить, где нужно усилить безопасность.

Как и во всех лучших практиках по усилению безопасности облачных приложений, ответственность за реагирование на инциденты должна быть коллективной. Важно спланировать все заранее, чтобы в случае возникновения инцидента у вас уже были все нужные контакты и инструменты. Иметь четкий план реагирования, который обеспечит совместную работу внутренних и внешних команд и поможет автоматизировать процесс решения ключевых задач по безопасности – значит иметь возможность быстро локализовать и устранить инцидент во времена кризиса.

Комментарий эксперта

Андрей Ардашев, архитектор облачных решений компании DIRECTUM.

Как правильно замечают эксперты, функции ИТ-служб с приходом облаков меняются: от предоставления услуг к режиму управления рисками, их новая функция – обеспечивать прозрачность и контроль. Эта статья рассказывает как раз об управлении рисками и контроле со стороны заказчика.

С другой стороны отмечу, что провайдеры также стремятся обеспечить безопасность, надежность и доступность собственных облачных сервисов. От этого зависит поток новых клиентов и удержание существующих.

Для выполнения этой задачи провайдеры прибегают к дублированию инфраструктуры, резервированию каналов связи, имеют план восстановления. Чтобы снизить риски воздействия злоумышленников, провайдеры обеспечивают защиту периметра дата-центра, применяют специальные защитные средства (защита от DDoS, антивирусная защита, внутренние регламенты и т.д.).

Таким образом провайдеры обеспечивают доступность и безопасность собственных услуг, но на этом их зона ответственности заканчивается, доступность и безопасность собственных приложений и сервисов, которые заказчик размещает на облаке, должен обеспечить самостоятельно.

Если же заказчик воспользуется предложенными здесь советами, то это лишь будет еще раз подчеркивать его грамотность в вопросах безопасности. Сотрудничество вендора с грамотным заказчиком полезно для обеих сторон!

Источник: Network World

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 0

Чтобы прокомментировать, или зарегистрируйтесь