Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"

Руслан Рахметов, Security Vision

С ростом количества кибератак в середине 2010-х годов киберсообщество пришло к логичному выводу: невозможно предотвратить все киберинциденты, поскольку арсенал и возможности атакующих непрерывно совершенствуются, а защитные меры зачастую не успевают адаптироваться под постоянно меняющийся ландшафт киберугроз. За этим последовал неутешительный вывод: стратегии защиты, обнаружения и предотвращения киберугроз были к тому моменту описаны и изучены уже достаточно подробно, чего нельзя было утверждать про планы по восстановлению после киберинцидентов, которые были разрознены и фрагментарно сформулированы в различных документах и рекомендациях. Как итог, институт NIST в конце 2016 года разработал документ NIST SP 800-184 "Guide for Cybersecurity Event Recovery" («Руководство по восстановлению после киберинцидентов»), в которым были описаны рекомендации по обеспечению непрерывности бизнеса и восстановлению работоспособности после киберинцидентов, включая разработку планов, инструкций, плейбуков реагирования и восстановления, а также перечислены метрики оценки эффективности процесса восстановления после кибератаки. С этим документом мы и ознакомимся в настоящей публикации.

Итак, в фреймворке обеспечения кибербезопасности (NIST Cybersecurity Framework) перечислены пять функций для предотвращения киберинцидентов: идентификация, защита, выявление, реагирование, восстановление. Однако именно фаза восстановления после киберинцидента имеет решающее значение для обеспечения киберустойчивости компании к кибератакам, поскольку позволяет не только привести инфраструктуру в известное работоспособное состояние, предшествовавшее атаке, но и улучшить все процессы ИБ путем пост-анализа успешного вторжения и последующей оптимизации всех этапов обеспечения кибербезопасности для снижения потенциального ущерба и уменьшения вероятности наступления аналогичных инцидентов в будущем.

Фаза планирования восстановления после киберинцидента играет ключевую роль в обеспечении киберустойчивости компании. Процесс планирования восстановления должен быть включен в общую систему управления ИБ и интегрироваться с другими процессами обеспечения кибербезопасности. Так, планирование восстановления позволяет выстроить взаимосвязи активов и бизнес-процессов, определить ключевые роли сотрудников, заранее договориться об альтернативных способах связи, предоставляемых сервисах и помещениях, провести what if-анализ для моделирования киберинцидентов и создания соответствующих сценариев реагирования (playbooks). В документе NIST SP 800-184 также подчеркивается, что план восстановления после киберинцидента должен быть встроен в корпоративную программу обеспечения непрерывности деятельности и восстановления работоспособности (Business Continuity, Disaster Recovery), а взаимосвязи между системами, активами и бизнес-процессами должны быть отражены в документах анализа влияния инцидентов на бизнес (Business Impact Analysis), соглашениях об уровнях оказываемых услуг или операций (Service Level Agreements/Operational Level Agreements), картах взаимозависимостей систем. Указывается также на важность инвентаризации и категоризации активов для приоритизации действий по восстановлению, на необходимость учитывать применимые технические, операционные, юридические, законодательные требования при восстановлении, а также на важность понимания границ информационных систем, отношений доверия между ними, прав доступа субъектов в инфраструктуре.

План восстановления является частью плана реагирования на киберинциденты с фокусом на восстановление после инцидента ИБ и включает в себя такие основные положения, как:

1. Соглашения об уровне оказываемых услуг (SLA) с сервис-провайдерами, оказывающими услуги по реагированию на киберинциденты (MDR, Managed Detection and Response), или MSSP-провайдерами (Managed Security Service Provider), оказывающими услуги по аутсорсингу части функций ИБ;

2. Документ с указанием контактных данных руководителей компании, которые имеют полномочия на задействование плана восстановления;

3. Документ с указанием контактных данных ответственных работников компании, которые должны выполнять действия по плану восстановления;

4. Документ с описанием детальных процедур по восстановлению информационных систем с указанием всех технических подробностей, диаграмм связности, методов активации альтернативных (запасных) способов обеспечения работоспособности зависимых бизнес-процессов;

4. Запасные способы связи и каналы коммуникации, которые могут быть использованы членами команды при выполнении действий по восстановлению, с допущением того, что основные способы связи и каналы коммуникации контролируются или подменяются атакующими;

5. План коммуникации, включающий в себя особые уведомления или процедуры эскалации, применимые к выделенным информационным системам (например, при необходимости уведомления подрядчиков или клиентов при выходе из строя поддерживающей их системы);

6. Документ с указанием места хранения и описанием способа развёртывания резервных копий критичных данных;

7. Документ с описанием альтернативных действий при невозможности восстановить данные штатным порядком за регламентированное время;

8. Документ для оповещения сотрудников с указанием адресов резервных офисов и дата-центров при выходе из строя основных;

9. Данные об инфраструктуре, аппаратном и программном обеспечении, которые используются во время восстановления основных систем и сервисов.

В рамках описания этапа планирования восстановления после киберинцидента в документе NIST SP 800-184 приведены также следующие рекомендации:

1. Идентифицировать и задокументировать список ключевых сотрудников, которые будут отвечать за определение планов и параметров восстановления;

2. Разработать детальные планы восстановления с приоритизацией целей восстановления и использовать данные планы для разработки процессов и процедур восстановления для своевременного восстановления элементов инфраструктуры. Планы должны содержать описание технических и организационных действий с вовлечением людей, процессов, технологий. При этом рекомендуется автоматизировать как можно большее количество процедур восстановления для ускорения и снижения количества человеческих ошибок, а достичь этого можно, например, путем использования IRP/SOAR-систем;

3. Разработать, внедрить и испытать планы с описанием процессов восстановления на основе корпоративных требований для обеспечения оперативного взаимодействия и восстановления сервисов, затронутых киберинцидентом;

4. Разработать и задокументировать условия запуска плана восстановления и перечень лиц, имеющих право на запуск плана восстановления, а также способ оповещения ответственных сотрудников, которые непосредственно будут выполнять действия по восстановлению;

5. Определить контрольные точки, в которых проверяется выполнение целей восстановления и прекращаются дальнейшие действия при достижении результата;

6. Скорректировать политики по выявлению и реагированию на киберинциденты для исключения негативного воздействия процедур восстановления (например, путем случайного оповещения атакующих о выполняемых действиях или путем удаления форензик-артефактов на устройствах);

7. Разработать план коммуникации при восстановлении после киберинцидента, использовать положения данного плана в политиках и процедурах восстановления;

8. Четко описать цели и границы при коммуникации, включая правила и методы передачи информации, а также указать порядок обмена значимой информацией о кибератаке и способах восстановления в рамках процесса обмена данными киберразведки с заинтересованными сторонами.

Для непрерывного улучшения процесса восстановления после киберинцидентов в документе NIST SP 800-184 рекомендуется выполнение следующих действий:

1. Выполнять сбор обратной связи о планах и процедурах восстановления от участвующих в процессе восстановления ответственных сотрудников;

2. Регулярно выполнять тренировки и тестирование процедур восстановления, документируя результаты для улучшения процесса восстановления;

3. Проводить глубокий пост-тренировочный анализ для выявления ошибок, корректировки планов и процедур восстановления, повышения уровня подготовленности сотрудников;

4. Непрерывно корректировать и улучшать политики, планы и процедуры восстановления на основе данных пост-инцидентного анализа;

5. Выявлять недостатки и слабости защиты в технологиях, процессах и сотрудниках при анализе результатов выполненных действий по восстановлению;

6. Регулярно проверять возможности процедур восстановления на основе данных от ответственных сотрудников и по результатам тренировок и тестов;

7. Тщательно документировать все сложности при восстановлении для последующего возврата к ним.

Для измерения эффективности процессов восстановления после киберинцидентов авторы публикации NIST SP 800-184 рекомендуют использовать следующие метрики:

1. Финансовый ущерб от снижения конкурентоспособности при разглашении конфиденциальной информации;

2. Штрафные санкции, судебные издержки;

3. Затраты программного и аппаратного обеспечения и стоимость человеческих ресурсов для выполнения действий по восстановлению;

4. Финансовый ущерб из-за простоя бизнес-процессов, снижения эффективности работы, незаключённых договоров;

5. Репутационный ущерб, уменьшение клиентской базы;

6. Частота и границы тестирования и обучения процедурам восстановления;

7. Количество значимых киберинцидентов, которые не были учтены при проведении оценки киберрисков;

8. Количество неучтенных активов, связей между активами;

9. Количество недостатков, выявленных при тестировании и обучении процедурам восстановления, которые можно учитывать для улучшения процессов ИБ в компании;

10. Число фактов нарушения бизнес-процессов, произошедших из-за сбоев ИТ-инфраструктуры;

11. Процент руководителей компании, удовлетворенных соблюдением показателей SLA при восстановлении;

12. Процент ИТ-сервисов, соответствующих показателям доступности (uptime);

13. Процент успешных и своевременных фактов восстановления из резервных копий;

14. Количество фактов восстановления, достигших временных и целевых показателей восстановления.