Što je plan odgovora na incidente?

Čak i najsigurniji sigurnosni sustavi nisu izuzeti od kibernetičkih napada, a kamoli oni koji nisu zaštićeni. Cyber ​​napadači uvijek će pokušati provaliti u vašu mrežu i vaša je odgovornost da ih zaustavite.

Uoči takve prijetnje, svaka sekunda je važna. Svako kašnjenje može razotkriti vaše osjetljive podatke, a to bi moglo biti jako štetno. Vaš odgovor na sigurnosni incident čini razliku. Plan za odgovor na incident (IR) omogućuje vam da brzo odgurnete protiv uljeza.

Što je plan odgovora na incidente?

Plan odgovora na incident je taktički pristup upravljanju sigurnosnim incidentom. Sastoji se od postupaka i politika u pripremi, procjeni, suzbijanju i oporavku od sigurnosnog incidenta.

Zastoji koje vaša organizacija trpi zbog sigurnosnog incidenta mogu se zadržati, ovisno o utjecaju incidenta. Plan odgovora na incident osigurava da se vaša organizacija oporavi što je prije moguće.

Osim vraćanja mreže na ono što je bila prije napada, IR plan pomaže vam da izbjegnete ponavljanje incidenta.

Kako izgleda plan odgovora na incident?

Plan odgovora na incident je uspješniji ako se slijede dokumentirane upute. Da bi se to dogodilo, vaš tim mora razumjeti plan i imati potrebne vještine za njegovo izvršavanje.

Postoje dva glavna okvira za odgovor na incidente koji se koriste za upravljanje cyber prijetnjama - okviri NIST i SANS.

Državna agencija, Nacionalni institut za standarde i tehnologiju (NIST), specijalizirana za različita područja tehnologije, a kibernetička sigurnost jedna je od njezinih temeljnih usluga.

Plan odgovora na incidenciju NIST sastoji se od četiri koraka:

1. Priprema.
2. Detekcija i analiza.
3. Zadržavanje, iskorjenjivanje i oporavak.
4. Aktivnosti nakon incidenta.

Privatna organizacija, SysAdmin, Audit, Network and Security (SANS) poznata je po svojoj stručnosti u obuci o kibernetičkoj sigurnosti i informacijama. SANS IR okvir popularno se koristi u kibernetičkoj sigurnosti i uključuje šest koraka:

1. Priprema.
2. Identifikacija.
3. Zadržavanje.
4. Iskorjenjivanje.
5. Oporavak.
6. Naučene lekcije.

Iako se broj koraka ponuđenih u okvirima NIST i SANS IR razlikuje, oba su slična. Za detaljniju analizu, usredotočimo se na SANS okvir.

1. Priprema

Dobar IR plan počinje s pripremama, a okviri NIST -a i SANS -a to priznaju. U ovom koraku pregledavate sigurnosne mjere koje trenutno imate na terenu i njihovu učinkovitost.

Proces pregleda uključuje procjenu rizika vaše mreže prema otkriti sve ranjivosti koje mogu postojati. Morate identificirati svoju IT imovinu i odrediti joj prioritete u skladu s tim dajući najveću važnost sustavima koji sadrže vaše najosjetljivije podatke.

Izgradnja jakog tima i dodjela uloga svakom članu funkcija je pripremne faze. Ponudite svima informacije i izvore koji su im potrebni za hitno reagiranje na sigurnosni incident.

2. Identifikacija

Nakon što ste stvorili pravo okruženje i tim, vrijeme je da otkrijete sve prijetnje koje mogu postojati u vašoj mreži. To možete učiniti pomoću izvora obavijesti o prijetnjama, vatrozida, SIEM -a i IPS -a za praćenje i analizu vaših podataka u potrazi za pokazateljima napada.

Ako se otkrije napad, vi i vaš tim morate utvrditi prirodu napada, njegov izvor, kapacitet i druge komponente potrebne za sprječavanje proboja.

3. Zadržavanje

U fazi obuzdavanja cilj je izolirati napad i učiniti ga nemoćnim prije nego što nanese štetu vašem sustavu.

Učinkovito zadržavanje sigurnosnog incidenta zahtijeva razumijevanje incidenta i stupanj štete koju može nanijeti vašem sustavu.

Prije početka procesa zadržavanja napravite sigurnosnu kopiju svojih datoteka kako ne biste izgubili osjetljive podatke. Važno je da sačuvate forenzičke dokaze za daljnju istragu i pravna pitanja.

4. Iskorjenjivanje

Faza iskorjenjivanja uključuje uklanjanje prijetnje iz vašeg sustava. Vaš cilj je vratiti sustav u stanje u kojem je bio prije nego što se incident dogodio. Ako to nije moguće, pokušavate postići nešto blizu prethodnom stanju.

Obnova vašeg sustava može zahtijevati nekoliko radnji, uključujući brisanje tvrdih diskova, nadogradnju verzije softvera, sprječavanje temeljnog uzroka i skeniranje sustava radi uklanjanja zlonamjernog sadržaja koji bi mogao postoje.

5. Oporavak

Želite biti sigurni da je faza iskorjenjivanja uspješna, pa morate izvršiti dodatne analize kako biste potvrdili da je vaš sustav potpuno bez ikakvih prijetnji.

Kad budete sigurni da je obala čista, morate testirati svoj sustav kako biste se pripremili za rad. Pazite na svoju mrežu čak i dok je aktivna kako biste bili sigurni da ništa nije u redu.

6. Lekcija naučena

Sprječavanje ponavljanja povrede sigurnosti podrazumijeva uzimanje u obzir stvari koje su pošle po zlu i njihovo ispravljanje. Svaku fazu IR plana treba dokumentirati jer sadrži vitalne informacije o mogućim poukama koje se iz njega mogu izvući.

Nakon što ste prikupili sve podatke, vi i vaš tim trebali biste si postaviti neka ključna pitanja, uključujući:

• Što se točno dogodilo?
• Kada se to dogodilo?
• Kako smo se nosili s incidentom?
• Koje smo korake poduzeli u odgovoru?
• Što smo naučili iz incidenta?

Najbolje prakse za plan odgovora na incidente

Usvajanje plana za odgovor na incidente NIST -a ili SANS -a solidan je način rješavanja kibernetičkih prijetnji. No da biste postigli izvrsne rezultate, morate se pridržavati određenih postupaka.

Identificirajte kritičnu imovinu

Kibernetičari napadaju; ciljaju na vašu najvrjedniju imovinu. Morate identificirati svoju kritičnu imovinu i dati joj prioritet u svom planu.

Uoči incidenta, vaša bi prva luka trebala biti vaša najvrjednija imovina kako biste spriječili napadače pristup ili oštećenje vaših podataka.

Uspostavite učinkovite komunikacijske kanale

Tijek komunikacije u vašem planu može učiniti ili prekinuti vašu strategiju odgovora. Pobrinite se da svi uključeni u svakom trenutku imaju odgovarajuće informacije za poduzimanje odgovarajućih radnji.

Čekanje da se dogodi incident prije nego što pojednostavite komunikaciju rizično je. Ako to unaprijed postavite, ulit ćete povjerenje vašem timu.

Neka bude jednostavno

Sigurnosni incident iscrpljuje. Članovi vašeg tima vjerojatno će biti bijesni, pokušavajući spasiti stvar. Nemojte im otežavati posao složenim detaljima u vašem IR planu.

Neka bude što jednostavnije.

Iako želite da se informacije u vašem planu lako razumiju i izvršavaju, nemojte ih zalijevati pretjeranom generalizacijom. Izradite posebne postupke o tome što članovi tima trebaju učiniti.

Napravite udžbenike za odgovor na incident

Prilagođeni plan učinkovitiji je od općeg plana. Da biste dobili bolje rezultate, morate izraditi IR knjigu za rješavanje različitih vrsta sigurnosnih incidenata.

Knjiga priručnika daje vašem timu za odgovor korak-po-korak vodič o tome kako temeljito upravljati određenom kibernetičkom prijetnjom, umjesto da samo dodirujete površinu.

Testirajte plan

Najučinkovitiji plan odgovora na uvlačenje je onaj koji se kontinuirano testira i potvrđuje da je učinkovit.

Nemojte stvarati plan i zaboravite na njega. Povremeno provodite sigurnosne vježbe kako biste identificirali rupe koje cyber napadači mogu iskoristiti.

Usvajanje proaktivnog sigurnosnog pristupa

Cyber ​​napadači uzimaju pojedince i organizacije nesvjesne. Ujutro se nitko ne budi, očekujući hakiranje njihove mreže. Iako možda sami ne želite sigurnosni incident, postoji mogućnost da se to dogodi.

Najmanje što možete učiniti je da budete proaktivni tako što ćete izraditi plan odgovora na incident u slučaju da napadači kibernetičkog napada odluče ciljati vašu mrežu.

Što je cyber iznuda i kako je možete spriječiti?

Cyber ​​iznuda predstavlja značajnu prijetnju vašoj online sigurnosti. No, što je to točno i kako možete osigurati da niste žrtva?

Pročitajte Dalje

O autoru