Teamlead дневник 2.23 / Первый спринт с 3-я командами, а не 2-я; аудит по безопасности и подготовка; тимлид — как снежинка; передача знаний в команде; немного рефлексии о доверии
Безопасность на фронтенде. Уязвимости. Подборка материалов по теме (готовилась к аудиту). Темы безопасности на архитектурной секции, что стоит учесть и о чём спросить
Ссылки на материалы, по которым готовилась к аудиту по безопасности, с комментариями; о неосознанной и осознанной грамотности и переводе знаний из первого во второе; архитектурная секция собеседований и безопасность: несколько тем, которые стоит затронуть и это выгодно вас покажет.
«Navigating the Maze of Incident Response» by Microsoft Security
Документ Microsoft под названием «Navigating Incident Response» содержит руководство по эффективной стратегии и тактике реагирования на инциденты (IR). В нем подчёркивается важность людей и процессов при реагировании на инцидент в области кибербезопасности.
Инциденты кибербезопасности так же неизбежны, как разрядка аккумулятора телефона в самый неподходящий момент. И точно так же, как нужен план на случай, если телефон выйдет из строя (может быть, купить power bank?), нужен план на случай возникновения кибератак. Данное руководство полностью посвящено этому плану, уделяя особое внимание людям и процессам, задействованным в эффективном реагировании на инцидент.
Сейчас, когда корпоративные сети увеличиваются в размерах и становятся сложнее, обеспечить их безопасность становится довольно-таки трудной задачей (а ведь можно просто забить). А процесс реагирования на инциденты превращается в игру лабиринт из которых, ну вы поняли, выход — это руководство Microsoft (а ведь только у четверти организаций есть план реагирования на инциденты, и вы ещё не в их числе).
Руководство, разработанное группой реагирования на инциденты Microsoft, призвано помочь избежать распространённых ошибок и предназначено не для замены комплексного планирования реагирования на инциденты, а скорее для того, чтобы служить тактическим руководством, помогающим как группам безопасности, так и старшим заинтересованным сторонам ориентироваться в расследовании реагирования на инциденты.
В руководстве также описывается жизненный цикл реагирования на инциденты, который включает подготовку, обнаружение, локализацию, ликвидацию, восстановление и действия после инцидента или извлечённые уроки. Это как рецепт борьбы со стихийными бедствиями, где каждый шаг столь же важен, как и следующий.
В руководстве также подчёркивается важность управления и роли различных заинтересованных сторон в процессе реагирования на инциденты.
Ключевые выводы:
❇️Инциденты кибербезопасности неизбежны: Документ начинается с новаторского заявления о том, что инциденты кибербезопасности, по сути, неизбежны. Как будто мы живём в мире, где киберугрозы не являются ежедневным явлением
❇️Только 26% организаций имеют постоянно применяемый IR-план: в документе приводится исследование IBM согласно которому у 26% организаций есть постоянно применяемый план реагирования на инциденты. Отрадно сознавать, что почти три четверти организаций решило эффективно сэкономить материальные ресурсы
❇️Важность реагирования на инциденты, ориентированного на людей: в документе подчёркивается важность подхода к реагированию на инциденты. Речь идёт не только о технологиях, но и о людях, которые их используют. Хорошо, что у нас есть это руководство, которое напоминает нам, как люди вовлечены в процессы и что всегда найдётся чем людей занять и HR-отдел для поиска новых людей под новые вовлечения
❇️Необходимость чётких ролей и обязанностей: в документе подчёркивается важность чётких ролей и обязанностей при реагировании на инциденты. Люди работают лучше, когда знают, что они должны делать, а ведь руководство до сих пор верит, что сотрудники могут обо всём догадаться, но Microsoft учтиво напоминает прописные истины.
❇️«Лабиринт реагирования на инциденты»: в документе процесс реагирования на инциденты сравнивается с перемещением по лабиринту. Потому что ничто так не говорит об «эффективном процессе», как структура, созданная для того, чтобы сбивать с толку и направлять по ложному пути (отдел продаж уже получил премию за IR-руководство, а вы?)
❇️Важность сохранения доказательств: в документе подчёркивается важность сохранения доказательств после нарушения. Хорошо, что они упомянули об этом, иначе мы могли бы просто выбросить все эти ценные данные
❇️Необходимость в модели реагирования: в документе предлагается, чтобы организации определили модель реагирования для управления инцидентом (займитесь делом уже).
❇️Потребность в выделенных ресурсах: в документе предлагается, чтобы организации выделяли ресурсы для реагирования на инциденты. Потому что, очевидно, просить свою ИТ-команду разобраться с крупным инцидентом в сфере кибербезопасности в свободное время, как подход, уже не прокатывает.
❇️Важность коммуникации: В документе подчёркивается важность коммуникации во время инцидента кибербезопасности. Людей важно держать в курсе событий во время кризиса или и других значимых событий (но, если бы они хотели, они бы сами догадались).
Итак, как организации могут гарантировать, что их план реагирования на инциденты будет достаточно гибким, чтобы адаптироваться к меняющимся обстоятельствам? Очевидно, что никак, как с погодой, но вы можете подготовиться к ней.
❇️Регулярно пересматривать и обновлять план: ландшафт угроз меняется быстрее, чем модные тенденции. Регулярные проверки и обновления могут помочь гарантировать, что план остаётся актуальным, а вы станете более уверенным в себе
❇️Протестировать план: регулярное тестирование может помочь выявить пробелы и области для последующего их улучшения. Это как репетиция пьесы — нужно знать свои реплики до того, как поднимется занавес (а оправдываться всё придётся, так почему сразу не придумать ответы на все случаи жизни)
❇️Вовлечение всех заинтересованных участников: от ИТ-специалистов до юристов и пиарщиков, каждый должен знать свою роль в IR-плане (никто не уйдёт от сверхурочной работы).
Сохранение улик во время реагирования на инцидент похоже категорически важно, иначе зачем вы покупали столько дисков в RAID0 решения (и сотрите оттуда уже ваше аниме).
❇️Непреднамеренное уничтожение улик: В спешке с исправлением ситуации организации часто (и не случайно) уничтожают улики.
❇️Отсутствие криминалистики: Сохранение цифровых доказательств требует специальных знаний и навыков (теперь, очевидно, зачем существует RAID1)
❇️Несоблюдение требований закона: В зависимости от характера инцидента могут существовать юридические требования к сохранности доказательств (Microsoft уже в терминале даже встроила хеш-функции)
Управление инцидентами это дикий, сложный и часто разочаровывающий мир, но с правильным планом (только от Microsoft) и людьми вы сможете ориентироваться в нем как профессионал.
Подробный разбор
«Navigating the Maze of Incident Response» by Microsoft Security
The document titled «Navigating the Maze of Incident Response» by Microsoft Security provides a guide on how to structure an incident response (IR) effectively. It emphasizes the importance of people and processes in responding to a cybersecurity incident.
So, here’s the deal: cyber security incidents are as inevitable as your phone battery dying at the most inconvenient time. And just like you need a plan for when your phone kicks the bucket (buy a power bank, maybe?), you need a plan for when cyber incidents occur. This guide is all about that plan, focusing on the people and processes involved in effectively responding to an incident.
Now, as enterprise networks grow in size and complexity, securing them becomes as challenging as finding a needle in a haystack. The incident response process becomes a maze that security professionals must navigate (and only a quarter of organizations have an incident response plan, and you are not yet one of them).
This guide, developed by the Microsoft Incident Response team, is designed to help you avoid common pitfalls during the outset of a response. It’s not meant to replace comprehensive incident response planning, but rather to serve as a tactical guide to help both security teams and senior stakeholders navigate an incident response investigation.
The guide also outlines the incident response lifecycle, which includes preparation, detection, containment, eradication, recovery, and post-incident activity or lessons learned. It’s like a recipe for disaster management, with each step as crucial as the next.
The guide also emphasizes the importance of governance and the roles of different stakeholders in the incident response process. It’s like a well-oiled machine, with each part playing a crucial role in the overall function.
Here are key points:
❇️Cybersecurity incidents are inevitable: The document starts with the groundbreaking revelation that cybersecurity incidents are, in fact, inevitable. Who would have thought? It’s almost as if we live in a world where cyber threats are a daily occurrence
❇️Only 26% of organizations have a consistently applied IR plan: The document cites an IBM study that found only 26% of organizations have an incident response plan that is consistently applied. It’s comforting to know that nearly three-quarters of organizations are have decided to effectively save their resources and money
❇️The importance of people-centric incident response: The document emphasizes the importance of a people-centric approach to incident response. It’s not just about the technology, but also about the people who use it. It’s a good thing we have this guide to remind us that people are involved in processes and that there will always be something to keep people busy and the HR department to find new people for new involvement
❇️The need for clear roles and responsibilities: The document stresses the importance of clear roles and responsibilities in an incident response. It’s almost as if people work better when they know what they’re supposed to be doing, and yet management still believes that employees can guess everything, but Microsoft politely reminds the truisms.
❇️The incident response maze: The document likens the incident response process to navigating a maze. Because nothing says «efficient process» like a structure designed to confuse and misdirect (The sales department has already received an award for IR leadership, hasn’t you?)
❇️The importance of preserving evidence: The document highlights the importance of preserving evidence after a breach. It’s a good thing they mentioned it, otherwise, we might have just thrown all that valuable data away
❇️The need for a response model: The document suggests that organizations should define a response model to manage the incident. It’s almost as if having a plan is better than not having one (get busy already).
❇️The need for dedicated resources: The document suggests that organizations should secure dedicated resources for incident response. Because apparently, asking your IT team to handle a major cybersecurity incident in their spare time is not going to work as an approach anymore.
❇️The importance of communication: The document emphasizes the importance of communication during a cybersecurity incident. Because it’s not like people need to be kept informed during a crisis or anything (but if they wanted to, they would have guessed it themselves).
So, how can organizations ensure their incident response plan is flexible enough to adapt to changing circumstances? Well, it’s like trying to predict the weather — you can’t control it, but you can prepare for it.
❇️Regularly review and update the plan: Threat landscapes change faster than fashion trends. Regular reviews and updates can help ensure the plan stays relevant and you become more confident
❇️Test the plan: Regular testing can help identify gaps and areas for improvement. It’s like rehearsing for a play — you want to know your lines before the curtain goes up (and you’ll have to justify everything, so why not immediately come up with answers for all occasions)
❇️Involve all relevant stakeholders: From IT to legal to PR, everyone needs to know their role in the plan. It’s like a football team — everyone needs to know the play to score a touchdown (no one will get away with overtime work).
Preserving evidence while responding to an incident seems to be absolutely important, otherwise why would you buy so many disks in a RAID0 solution (and wipe your anime from there).
❇️Inadvertent evidence destruction: In the rush to remediate, organizations often destroy evidence. It’s like washing the dishes before the food critic has a chance to taste the soup
❇️Lack of forensic expertise: Preserving digital evidence requires specialized knowledge and skills. Without them, evidence can be easily overlooked or mishandled (now it’s obvious why RAID1 exists)
❇️Failure to consider legal requirements: Depending on the nature of the incident, there may be legal requirements for evidence preservation. Ignoring these can lead to penalties and undermine any legal proceedings (Microsoft has even pre-built hash functions in their terminal)
So, there you have it. A snarky Microsoft’s guide to navigating the maze of incident response. It’s a wild, complex, and often frustrating world, but with the right plan and people, you can navigate it like a pro.
Unpacking in more detail: