Kaj je načrt za odzivanje na incident?

Tudi najbolj zavarovani varnostni sistemi niso izvzeti iz kibernetskih napadov, kaj šele tisti, ki niso zavarovani. Napadalci kibernetskih napadalcev bodo vedno poskušali vdreti v vaše omrežje in vaša odgovornost je, da jih ustavite.

Ob takšni grožnji šteje vsaka sekunda. Vsaka zamuda lahko razkrije vaše občutljive podatke, kar pa je lahko zelo škodljivo. Vaš odziv na varnostni incident je pomemben. Načrt odzivanja na incident (IR) vam omogoča, da se hitro odzovete proti vsiljivcem.

Kaj je načrt za odzivanje na incident?

Načrt odziva na incident je taktični pristop k upravljanju varnostnega incidenta. Sestavljen je iz postopkov in politik pri pripravi, oceni, zadrževanju in okrevanju po varnostnem incidentu.

Izpadi vaše organizacije zaradi varnostnega incidenta lahko trajajo, odvisno od vpliva dogodka. Načrt za odzivanje na nesreče zagotavlja, da se vaša organizacija čim prej vrne na noge.

Poleg tega, da omrežje obnovite na stanje, kakršno je bilo pred napadom, vam IR načrt pomaga preprečiti ponovitev incidenta.

Kako izgleda načrt za odzivanje na incident?

Načrt odzivanja na incident je uspešnejši, če sledite dokumentiranim navodilom. Če želite to narediti, mora vaša ekipa razumeti načrt in imeti potrebna znanja za njegovo izvedbo.

Za upravljanje kibernetskih groženj se uporabljata dva glavna okvira za odzivanje na incidente - ogrodja NIST in SANS.

Državna agencija, Nacionalni inštitut za standarde in tehnologijo (NIST), specializirana za različna področja tehnologije, kibernetska varnost pa je ena njenih temeljnih storitev.

Načrt odziva na incidenco NIST je sestavljen iz štirih korakov:

1. Priprava.
2. Odkrivanje in analiza.
3. Zadrževanje, izkoreninjenje in okrevanje.
4. Dejavnost po incidentu.

Zasebna organizacija SysAdmin, Audit, Network and Security (SANS) je znana po svojem strokovnem znanju na področju kibernetske varnosti in izobraževanja o informacijah. Okvir SANS IR se pogosto uporablja v kibernetski varnosti in vključuje šest korakov:

1. Priprava.
2. Identifikacija.
3. Vsebovanje.
4. Izkoreninjenje.
5. Okrevanje.
6. Naučena lekcija.

Čeprav se število korakov, ponujenih v okviru NIST in SANS IR, razlikuje, sta si oba podobna. Za podrobnejšo analizo se osredotočimo na okvir SANS.

1. Priprava

Dober načrt IR se začne s pripravami, kar potrjujejo tudi okviri NIST in SANS. V tem koraku pregledate varnostne ukrepe, ki jih trenutno uporabljate, in njihovo učinkovitost.

Postopek pregleda vključuje oceno tveganja vašega omrežja odkriti morebitne ranljivosti. Svoja sredstva IT morate identificirati in jim dati prednost, tako da dajo največji pomen sistemom, ki vsebuje vaše najbolj občutljive podatke.

Vzpostavitev močne ekipe in dodelitev vlog vsakemu članu je funkcija pripravljalne faze. Vsem ponudite informacije in vire, ki jih potrebujejo za takojšen odziv na varnostni incident.

2. Identifikacija

Ko ste ustvarili pravo okolje in ekipo, je čas, da odkrijete vse grožnje, ki lahko obstajajo v vašem omrežju. To lahko storite z viri obveščevalnih podatkov o grožnjah, požarnimi zidovi, SIEM in IPS za spremljanje in analizo vaših podatkov glede kazalnikov napada.

Če je zaznan napad, morate skupaj z vašo ekipo določiti naravo napada, njegov vir, zmogljivost in druge komponente, potrebne za preprečitev kršitve.

3. Vsebovanje

V fazi zadrževanja je cilj izolirati napad in ga onemogočiti, preden povzroči škodo na vašem sistemu.

Učinkovito zajemanje varnostnega incidenta zahteva razumevanje incidenta in stopnje škode, ki jo lahko povzroči vašemu sistemu.

Preden začnete postopek zadrževanja, varnostno kopirajte datoteke, da med tem ne izgubite občutljivih podatkov. Pomembno je, da ohranite forenzične dokaze za nadaljnjo preiskavo in pravne zadeve.

4. Izkoreninjenje

Faza izkoreninjenja vključuje odstranitev grožnje iz vašega sistema. Vaš cilj je obnoviti sistem v stanju, v katerem je bil pred dogodkom. Če to ni mogoče, poskusite doseči nekaj, kar je blizu njegovemu prejšnjemu stanju.

Obnovitev sistema lahko zahteva več dejanj, vključno z brisanjem trdih diskov, nadgradnjo različice programske opreme, ki preprečujejo glavni vzrok in skenirajo sistem, da bi odstranili zlonamerno vsebino, ki bi lahko obstajajo.

5. Okrevanje

Prepričati se želite, da je bila stopnja izkoreninjenja uspešna, zato morate opraviti več analiz, da potrdite, da je vaš sistem popolnoma brez groženj.

Ko ste prepričani, da je obala čista, morate preizkusiti svoj sistem in se pripraviti, da bo začel delovati. Bodite pozorni na svoje omrežje, čeprav je v živo, da se prepričate, da ni nič narobe.

6. Lekcija naučena

Za preprečitev ponavljajočih se kršitev varnosti je treba upoštevati stvari, ki so šle narobe, in jih odpraviti. Vsako stopnjo načrta IR je treba dokumentirati, saj vsebuje bistvene informacije o možnih naukih, ki se jih lahko naučimo.

Ko boste zbrali vse podatke, se morate skupaj s svojo ekipo vprašati nekaj ključnih vprašanj, med drugim:

• Kaj se je točno zgodilo?
• Kdaj se je zgodilo?
• Kako smo se spopadli z incidentom?
• Kakšne korake smo naredili v odgovoru?
• Kaj smo se naučili iz dogodka?

Najboljše prakse za načrt odziva na incidente

Sprejetje načrta za odzivanje na incidente NIST ali SANS je trden način za boj proti kibernetskim grožnjam. Če želite doseči odlične rezultate, morate upoštevati nekatere prakse.

Opredelite kritična sredstva

Kibernetski napadalci gredo na umor; ciljajo na vaša najdragocenejša sredstva. Morate opredeliti svoja kritična sredstva in jim dati prednost v svojem načrtu.

Ob incidentu bi moralo biti vaše prvo pristanišče vaše najdragocenejše sredstvo za preprečitev napadalcev dostopajo ali poškodujejo vaše podatke.

Vzpostavite učinkovite komunikacijske kanale

Pretok komunikacije v vašem načrtu lahko spremeni ali razbije vašo strategijo odziva. Poskrbite, da bodo imeli vsi vpleteni na vsaki točki ustrezne informacije za ustrezno ukrepanje.

Čakanje, da se zgodi incident, preden poenostavite komunikacijo, je tvegano. Če ga vnesete vnaprej, boste v ekipo vlili zaupanje.

Naj bo preprosto

Varnostni incident je izčrpavajoč. Člani vaše ekipe bodo verjetno besni in poskušali rešiti dan. Ne otežujte njihovega dela s kompleksnimi podrobnostmi v vašem načrtu IR.

Naj bo čim bolj preprosto.

Čeprav želite, da so informacije v vašem načrtu enostavne za razumevanje in izvajanje, jih ne zalivajte s pretirano posploševanjem. Ustvarite posebne postopke o tem, kaj morajo storiti člani skupine.

Ustvarite knjige za odzivanje na incident

Prilagojen načrt je učinkovitejši od splošnega načrta. Če želite doseči boljše rezultate, morate ustvariti IR priročnik za reševanje različnih vrst varnostnih incidentov.

Knjiga z navodili daje vaši odzivni skupini navodila po korakih, kako temeljito obvladati določeno kibernetsko grožnjo, namesto da se le dotaknete površine.

Preizkusite načrt

Najučinkovitejši načrt odziva na alineo je tisti, ki se nenehno preizkuša in potrjuje, da je učinkovit.

Ne ustvarjajte načrta in pozabite nanj. Redno izvajajte varnostne vaje, da ugotovite vrzeli, ki jih lahko izkoristijo kibernetski napadalci.

Sprejetje proaktivnega varnostnega pristopa

Kibernetski napadalci posameznike in organizacije ne poznajo. Zjutraj se nihče ne zbudi in pričakuje, da bodo vdrli v njihovo omrežje. Čeprav si morda ne želite varnostnega incidenta, obstaja možnost, da se bo to zgodilo.

Najmanj, kar lahko storite, je, da ukrepate tako, da ustvarite načrt za odzivanje na incidente, samo če se napadalci kibernetskih napadalcev odločijo ciljati na vaše omrežje.

Kaj je kibernetsko izsiljevanje in kako ga lahko preprečite?

Kibernetsko izsiljevanje predstavlja veliko grožnjo za vašo spletno varnost. Toda kaj je pravzaprav in kako lahko zagotovite, da niste žrtev?

Preberite Naprej

O avtorju