Для расследования инцидента службе ИБ нужны технические полномочия, которыми она "в мирное время" не обладает: рутовый доступ на сервера, маршрутизаторы, к рабочим станциям сотрудников, снифинг трафика и т.п.
Причём иногда доступ нужен срочно и в непредсказуемые места. Например, однажды нам понадобилось изучить личные дела всех работников, уволенных в предыдущем году. А в другой раз ваш покорный слуга пытался получить содержимое arp-таблицы офисного компьютера. Следовало не только найти, но и доказать свои полномочия на это, пока запись из таблицы не исчезнет естественным путём, т.е. в течение 5 минут.
Стратегия реагирования на инцидент может решать этот вопрос разными путями. Пароли и ключи могут быть заранее депонированы в опечатанный контейнер (бумажный пакет или зашифрованный файл), который вскрывается при необходимости. Или работникам вменяется в обязанность предоставлять службе ИБ требуемый доступ или данные при выполнении соответствующих формальностей. В первом случае мы имеем дополнительный риск утечки, во втором – получаем зависимость от непредсказуемого человеческого факторатипа «граница на замке, ключ у старшины, а старшина в отпуске».
Разумеется, первый блин всегда идёт комом. Вам надо провалитьрасследовать несколько инцидентов, прежде чем станет ясно, каких данных или полномочий вам не хватает. Каждый новый инцидент для вас – это крупный шаг к построению идеальной системы ИБ. И к увольнению за "систематическое допущение".
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Анализ трафика 2025: какие угрозы уже на пороге?
На вебинаре расскажем, как современные технологии помогают экономить ресурсы и усиливают защиту компании.
