Об инцидентах

Что такое инцидент

Инцидент в контексте информационной безопасности – это любое непредвиденное или нежелательное событие, которое может нарушить нормальную деятельность или безопасность информации.

Событие – это идентифицированные внешние признаки определенного состояния системы, сервиса или сети.

К основным критериям принятия решений в рамках Kaspersky MDR о том, что наблюдаемая активность является инцидентом, относится возможность принять эффективные меры по противодействию, предотвращению или уменьшению возможного ущерба от последствий этой активности. В таблице ниже приведены примеры возможных критериев инцидента и мер реагирования в зависимости от источника события.

Примеры критериев обнаружения инцидентов и мер реагирования

Источник события

Возможные критерии инцидента

Возможные реагирования на инцидент

Конечное устройство

  • Активная фаза атаки, которая не была предотвращена автоматически
  • Признаки вредоносного долговременного присутствия в системе
  • Признаки произошедших в прошлом инцидентов
  • Признаки активности внутреннего нарушителя на стороне клиента (также если атака была успешно предотвращена)
  • Обнаружение проблем с помощью решений "Лаборатории Касперского", устанавливаемых на конечные устройства, и оценка эффективности автоматического реагирования (если это технически возможно)
  • Рекомендованные действия по реагированию вручную
  • Запрошенные действия по автоматическому реагированию
  • Рекомендации по повышению осведомленности пользователей об информационной безопасности

Конечное устройство + сеть

Событие безопасности от поддерживаемой технологии сетевого обнаружения, подтвержденное на конечном устройстве

  • Обнаружение проблем с помощью решений "Лаборатории Касперского", установленных на конечных устройствах, а также решений "Лаборатории Касперского", контролирующих сетевой трафик, и оценка эффективности автоматического реагирования (если это технически возможно)
  • Рекомендованные действия по реагированию вручную
  • Запрошенные действия по автоматическому реагированию
  • Информирование клиента

Сценарии обнаружения инцидентов

Сценарий 1. Обнаружение инцидентов с помощью решения Kaspersky MDR

В этом сценарии инцидент информационной безопасности обнаружен в результате работы Kaspersky MDR. Инцидент регистрируется в системе отслеживания инцидентов автоматически. Приоритет инцидента по умолчанию можно изменить позже, но для этого потребуется указать причину изменения в соответствии с таблицей приоритетов инцидента (см. ниже). Kaspersky MDR обрабатывает зарегистрированные инциденты, чтобы оперативно получать информацию о состоянии ИТ-инфраструктуры клиента.

Если в результате анализа выявляются первопричины инцидента, клиенту предоставляются рекомендации по реагированию. Если информации для определения первопричины инцидента недостаточно, вся доступная информация и результаты анализа предоставляются клиенту для независимого исследования.

Сценарий 2. Обнаружение инцидентов клиентом (создание пользовательских инцидентов недоступно для некоторых типов коммерческой лицензии)

В этом сценарии инцидент информационной безопасности обнаружен клиентом независимо от работы Kaspersky MDR. Если инцидент требует обработки в Kaspersky MDR, клиент может зарегистрировать инцидент вручную и предоставить всю доступную информацию об обнаруженном инциденте с помощью функций Kaspersky MDR. Для приоритета инцидента установлено значение по умолчанию Низкий, если иное не указано клиентом при регистрации инцидента.

Дальнейшие этапы обработки инцидента аналогичны сценарию 1.

Уровни приоритета инцидентов

Приоритеты инцидентов и их описания

Приоритет инцидента

Описание

Высокий

Инциденты, которые, по мнению экспертов "Лаборатории Касперского", могут привести к серьезным сбоям в работе или несанкционированному доступу к активам клиентов, контролируемых Kaspersky MDR.

Например, обнаружены следы целевой атаки или неизвестной угрозы, требующие дальнейшего расследования с помощью цифровых методов судебной экспертизы.

Средний

Инциденты, которые, по мнению экспертов "Лаборатории Касперского", могут повлиять на эффективность или производительность активов клиента, контролируемых Kaspersky MDR, или привести к единовременному повреждению данных.

Низкий

Инциденты, которые, по мнению экспертов "Лаборатории Касперского", не оказывают существенного влияния на эффективность работы клиентских активов, контролируемых Kaspersky MDR.

Например, выявлено потенциально нежелательное программное обеспечение, такие как рекламные приложения или вредоносное ПО.

Приоритет инцидента по умолчанию – Низкий.

Целевые показатели предоставления решения

Целевое время реакции и целевой показатель предоставления Kaspersky MDR в зависимости от приоритета инцидента

Приоритет инцидента

Время реакции*

Целевой показатель**

Высокий

1 час

90%

Средний

4 часа

90%

Низкий

24 часа

90%

Инцидент считается решенным, если клиенту были предоставлены рекомендации по мерам реагирования.

*Время реакции – это время между обнаружением инцидента (время создания) и его публикацией в Консоли MDR (время обновления).

**Целевой показатель – процент инцидентов, у которых время реакции соответствует указанным в таблице значениям.

В начало