Kas yra reagavimo į incidentus planas?

Net labiausiai apsaugotos apsaugos sistemos nėra atleistos nuo kibernetinių atakų, jau nekalbant apie tas, kurios nėra apsaugotos. Kibernetiniai užpuolikai visada stengsis įsibrauti į jūsų tinklą ir jūsų pareiga juos sustabdyti.

Susidūrus su tokia grėsme, kiekviena sekundė yra svarbi. Bet koks delsimas gali atskleisti jūsų neskelbtinus duomenis ir tai gali labai pakenkti. Jūsų reakcija į saugumo incidentą daro skirtumą. Reagavimo į incidentus (IR) planas leidžia greitai atsispirti prieš įsibrovėlius.

Kas yra reagavimo į incidentus planas?

Reagavimo į incidentus planas yra taktinis požiūris į saugumo incidentą. Jį sudaro procedūros ir strategijos, skirtos pasirengimui, įvertinimui, izoliavimui ir atkūrimui po saugumo incidento.

Jūsų organizacijos prastovos dėl saugumo incidento gali užtrukti, priklausomai nuo incidento poveikio. Reagavimo į incidentus planas užtikrina, kad jūsų organizacija kuo greičiau atsistotų ant kojų.

Be to, kad atkurtumėte savo tinklą tokį, koks buvo prieš išpuolį, IR planas padeda išvengti incidento pasikartojimo.

Kaip atrodo reagavimo į incidentus planas?

Reagavimo į incidentus planas yra sėkmingesnis, kai pastarajam laikomasi dokumentuotų nurodymų. Kad tai įvyktų, jūsų komanda turi suprasti planą ir turėti reikiamų įgūdžių jam įgyvendinti.

Kibernetinėms grėsmėms valdyti naudojamos dvi pagrindinės reagavimo į incidentus sistemos - NIST ir SANS sistemos.

Vyriausybinė agentūra, Nacionalinis standartų ir technologijų institutas (NIST), specializuojasi įvairiose technologijų srityse, o kibernetinis saugumas yra viena iš pagrindinių jos paslaugų.

NIST dažnio reagavimo planą sudaro keturi žingsniai:

1. Paruošimas.
2. Aptikimas ir analizė.
3. Sulaikymas, išnaikinimas ir susigrąžinimas.
4. Veikla po incidento.

Privati ​​organizacija „SysAdmin“, „Audit, Network and Security“ (SANS) yra žinoma dėl savo patirties kibernetinio saugumo ir informacijos mokymo srityje. SANS IR sistema populiariai naudojama kibernetinio saugumo srityje ir apima šešis veiksmus:

1. Paruošimas.
2. Identifikavimas.
3. Sulaikymas.
4. Išnaikinimas.
5. Atsigavimas.
6. Išmoktos pamokos.

Nors siūlomų veiksmų skaičius NIST ir SANS IR sistemose skiriasi, abu yra panašūs. Norėdami išsamesnės analizės, sutelkime dėmesį į SANS sistemą.

1. Paruošimas

Geras IR planas prasideda nuo pasiruošimo, ir tai pripažįsta tiek NIST, tiek SANS sistemos. Atlikdami šį veiksmą, peržiūrite šiuo metu turimas saugumo priemones ir jų veiksmingumą.

Peržiūros procesas apima jūsų tinklo rizikos įvertinimą atraskite bet kokias galimas spragas. Turite identifikuoti savo IT turtą ir atitinkamai nustatyti jo prioritetus, ypatingą dėmesį skiriant sistemoms, kuriose yra jūsų slapčiausi duomenys.

Stiprios komandos kūrimas ir vaidmenų priskyrimas kiekvienam nariui yra pasirengimo etapo funkcija. Pasiūlykite visiems informaciją ir išteklius, kurių jiems reikia, kad būtų galima nedelsiant reaguoti į saugumo incidentą.

2. Identifikavimas

Sukūrę tinkamą aplinką ir komandą, laikas aptikti visas grėsmes, kurios gali kilti jūsų tinkle. Tai galite padaryti naudodami grėsmių žvalgybos kanalus, užkardas, SIEM ir IPS, kad stebėtumėte ir analizuotumėte savo duomenis, ar nėra atakos rodiklių.

Jei aptinkama ataka, jūs ir jūsų komanda turite nustatyti atakos pobūdį, jos šaltinį, pajėgumus ir kitus komponentus, kurių reikia norint užkirsti kelią pažeidimui.

3. Sulaikymas

Apribojimo etape tikslas yra izoliuoti ataką ir padaryti ją bejėgę, kol ji nepadarys jokios žalos jūsų sistemai.

Norint veiksmingai įveikti saugumo incidentą, reikia suprasti įvykį ir jo padarytos žalos jūsų sistemai laipsnį.

Prieš pradėdami izoliavimo procesą, sukurkite atsarginę failų kopiją, kad neprarastumėte neskelbtinų duomenų. Svarbu išsaugoti teismo medicinos įrodymus tolesniam tyrimui ir teisiniams reikalams.

4. Išnaikinimas

Likvidavimo etapas apima grėsmės pašalinimą iš jūsų sistemos. Jūsų tikslas yra atkurti sistemą, kokia ji buvo prieš įvykį. Jei tai neįmanoma, bandykite pasiekti kažką panašaus į ankstesnę būklę.

Norint atkurti sistemą, gali prireikti kelių veiksmų, įskaitant standžiųjų diskų valymą, atnaujinimą programinės įrangos versijas, užkertant kelią pagrindinei priežastiai ir nuskaitant sistemą, kad būtų pašalintas kenkėjiškas turinys egzistuoja.

5. Atsigavimas

Norite įsitikinti, kad likvidavimo etapas buvo sėkmingas, todėl turite atlikti daugiau analizių, kad įsitikintumėte, jog jūsų sistemoje nėra jokių grėsmių.

Kai būsite tikri, kad pakrantė yra aiški, turite išbandyti savo sistemą, kad ji pradėtų veikti. Atidžiai stebėkite savo tinklą, net jei jis veikia tiesiogiai, kad įsitikintumėte, jog nieko nėra.

6. Pamoka išmokta

Siekiant užkirsti kelią pasikartojančiam saugumo pažeidimui, reikia atkreipti dėmesį į tai, kas įvyko, ir ištaisyti. Kiekvienas IR plano etapas turėtų būti dokumentuotas, nes jame yra esminės informacijos apie galimas pamokas, kurių galima pasimokyti iš jo.

Surinkę visą informaciją, jūs ir jūsų komanda turėtumėte užduoti sau keletą pagrindinių klausimų, įskaitant:

• Kas tiksliai atsitiko?
• Kada tai nutiko?
• Kaip mes susidorojome su incidentu?
• Kokių veiksmų ėmėmės atsakydami?
• Ko išmokome iš įvykio?

Geriausia reagavimo į incidentus plano praktika

NIST arba SANS reagavimo į incidentus plano priėmimas yra puikus būdas kovoti su kibernetinėmis grėsmėmis. Tačiau norint pasiekti puikių rezultatų, reikia laikytis tam tikros praktikos.

Nustatykite svarbų turtą

Kibernetiniai užpuolikai eina žudyti; jie nukreipti į jūsų vertingiausią turtą. Turite identifikuoti savo svarbiausią turtą ir nustatyti jo prioritetus savo plane.

Įvykio atveju pirmasis jūsų uostas turėtų būti vertingiausias turtas, užkertantis kelią užpuolikams pasiekti ar sugadinti jūsų duomenis.

Sukurkite veiksmingus komunikacijos kanalus

Jūsų plano komunikacijos srautas gali sudaryti ar sulaužyti jūsų atsako strategiją. Užtikrinkite, kad visi dalyvaujantys asmenys kiekvienu momentu turėtų pakankamai informacijos, kad galėtų imtis tinkamų veiksmų.

Laukti, kol įvyks incidentas, prieš supaprastinant bendravimą yra rizikinga. Iš anksto įdėję jį į savo komandą sužadinsite pasitikėjimą.

Daryk paprastai

Saugumo incidentas vargina. Jūsų komandos nariai greičiausiai bus pasiutę, bandydami išgelbėti dieną. Neapsunkinkite jų darbo naudodami sudėtingas IR plano detales.

Laikykite tai kuo paprasčiau.

Nors norite, kad jūsų plano informacija būtų lengvai suprantama ir įvykdyta, nesumažinkite jos pernelyg bendrai. Sukurkite konkrečias procedūras, kurias turėtų daryti komandos nariai.

Sukurkite reagavimo į incidentus vadovėlius

Individualus planas yra veiksmingesnis nei bendras planas. Norėdami gauti geresnių rezultatų, turite sukurti IR veiksmų planą, skirtą įvairiems saugumo incidentams spręsti.

Žaidimų knygoje jūsų atsakymų komandai pateikiamas žingsnis po žingsnio vadovas, kaip kruopščiai valdyti tam tikrą kibernetinę grėsmę, o ne tik liesti paviršių.

Išbandykite planą

Efektyviausias atsako į įtrauką planas yra tas, kuris yra nuolat tikrinamas ir sertifikuojamas kaip veiksmingas.

Nekurkite plano ir nepamirškite jo. Periodiškai vykdykite saugumo pratybas, kad nustatytumėte spragas, kurias gali išnaudoti kibernetiniai užpuolikai.

Proaktyvaus saugumo metodo taikymas

Kibernetinės atakos asmenys ir organizacijos nežino. Niekas nepabunda ryte, nesitikėdamas, kad į jų tinklą bus įsilaužta. Nors galbūt nenorite sau saugumo incidento, yra tikimybė, kad jis įvyks.

Mažiausia, ką galite padaryti, tai būti iniciatyviam, sukuriant reagavimo į incidentus planą tik tuo atveju, jei kibernetiniai užpuolikai nuspręstų nukreipti jūsų tinklą.

Kas yra kibernetinis prievartavimas ir kaip jo išvengti?

Kibernetinis turto prievartavimas kelia didelę grėsmę jūsų interneto saugumui. Bet kas tai yra ir kaip galite užtikrinti, kad nesate auka?

Skaityti toliau

Apie autorių