Управление инцидентами (Incident management) — в кибербезопасности это комплекс мер, направленных на борьбу с киберугрозами и минимизацию последствий атак. Управление инцидентами включает мониторинг событий безопасности, реагирование на инциденты, их расследование и предотвращение.
Из чего состоит управление инцидентами
Можно выделить следующие этапы процесса управления инцидентами:
- Оповещение об инциденте. Это может быть автоматическое оповещение из системы мониторинга, от программы или устройства либо жалоба со стороны сотрудника, клиента или поставщика услуг.
- Оценка инцидента. Сотрудник службы поддержки, IT-отдела или SOC, ответственный за мониторинг инцидентов, анализирует полученное оповещение и определяет, действительно ли имеет место инцидент безопасности (не произошло ли ложноположительное срабатывание), и создает задачу в системе, чтобы задокументировать инцидент.
- Сбор дополнительной информации об инциденте. Ответственный сотрудник собирает данные с различных объектов инфраструктуры для получения максимально полной картины произошедшего. Часто это делается при помощи SOAR-решений.
- Анализ инцидента. Ответственный сотрудник оценивает уровень опасности инцидента и принимает решение о дальнейших действиях.
- Эскалация инцидента. Если для реагирования на инцидент необходимы особые привилегии или навыки, его делегируют сотруднику, обладающему этими привилегиями или навыками.
- Реагирование на инцидент. На основе известной информации об инциденте принимаются меры по пресечению вредоносной активности, снижению ущерба от нее и восстановлению пострадавших систем.
- Расследование инцидента. На этом этапе выясняют, как именно произошел инцидент, что послужило его причиной и кто стоит за кибератакой.
- Устранение уязвимостей. Полагаясь на данные, полученные в ходе расследования, укрепляют слабые места в защите инфраструктуры, из-за которых произошел инцидент, чтобы избежать подобных атак в дальнейшем.
Для повышения эффективности управления инцидентами важно полностью или частично автоматизировать этот процесс. Также имеет смысл выработать стандартный порядок реагирования на известные виды инцидентов.
Инструменты управления инцидентами
Существуют инструменты, позволяющие повысить эффективность управления инцидентами. К ним относятся:
- средства автоматизации: SIEM-системы, SOAR, EDR-решения и другие;
- базы данных уже произошедших инцидентов и способов реагирования на них;
- плейбуки (от англ. playbook — сборник готовых сценариев) — документы, содержащие последовательность действий при реагировании на типовые инциденты;
- ранбуки (от англ. runbook — перечень задач) — пошаговые инструкции по выполнению типовых задач.
Также для управления инцидентами используется отдельный вид программных продуктов — платформы реагирования на инциденты (IRP, Incident Response Platform). Они позволяют подключать перечисленные выше автоматизированные системы для дальнейшей автоматизации.