Čo je plán reakcie na incidenty?

Dokonca aj tie najbezpečnejšie bezpečnostné systémy nie sú oslobodené od kyberútokov, nieto ešte od tých, ktoré nie sú zabezpečené. Kybernetickí útočníci sa vždy pokúsia preniknúť do vašej siete a je vašou zodpovednosťou ich zastaviť.

Tvárou v tvár takejto hrozbe sa počíta každá sekunda. Akékoľvek oneskorenie môže odhaliť vaše citlivé údaje, čo môže byť veľmi škodlivé. Vaša reakcia na bezpečnostný incident má vplyv. Plán reakcie na incidenty (IR) vám umožní rýchlo sa postaviť proti votrelcom.

Čo je plán reakcie na incidenty?

Plán reakcie na incident je taktický prístup k riadeniu bezpečnostného incidentu. Skladá sa z postupov a politík pri príprave, vyhodnotení, zadržaní a obnove z bezpečnostného incidentu.

V závislosti od vplyvu incidentu môže prestávka, ktorú vaša organizácia utrpí v dôsledku bezpečnostného incidentu, trvať. Plán reakcie na incident zaisťuje, že sa vaša organizácia čo najskôr vráti na nohy.

Okrem obnovenia vašej siete späť na to, čo bolo pred útokom, IR plán vám pomôže vyhnúť sa opakovanému výskytu incidentu.

Ako vyzerá plán reakcie na incidenty?

Plán reakcie na incident je úspešnejší, keď sa k nemu priložia zdokumentované pokyny. Aby sa to stalo, váš tím musí plánu porozumieť a mať potrebné schopnosti na jeho uskutočnenie.

Na správu kybernetických hrozieb sa používajú dva hlavné rámce reakcie na incidenty - rámce NIST a SANS.

Vládna agentúra, Národný inštitút pre štandardy a technológie (NIST), sa špecializuje na rôzne oblasti technológie a kybernetická bezpečnosť je jednou z jej základných služieb.

Plán reakcie na incidenciu NIST pozostáva zo štyroch krokov:

1. Príprava.
2. Detekcia a analýza.
3. Zadržanie, eradikácia a zotavenie.
4. Aktivita po incidente.

Súkromná organizácia SysAdmin, Audit, Network and Security (SANS) je známa svojou odbornosťou v oblasti kybernetickej bezpečnosti a informačného školenia. Rámec SANS IR sa bežne používa v kybernetickej bezpečnosti a zahŕňa šesť krokov:

1. Príprava.
2. Identifikácia.
3. Zadržanie.
4. Eradikácia.
5. Obnova.
6. Ponaučenie.

Aj keď sa počet krokov ponúkaných v rámci NIST a SANS IR líši, oba sú podobné. Pre podrobnejšiu analýzu sa zamerajme na rámec SANS.

1. Príprava

Dobrý plán IR začína prípravou a rámce NIST aj SANS to potvrdzujú. V tomto kroku si prečítate bezpečnostné opatrenia, ktoré v súčasnosti na mieste máte, a ich účinnosť.

Proces kontroly zahŕňa posúdenie rizika vašej siete voči odhaliť všetky možné zraniteľnosti. Musíte identifikovať svoje prostriedky IT a podľa toho ich uprednostniť tým, že systémom obsahujúcim vaše najcitlivejšie údaje pripisujete maximálnu dôležitosť.

Budovanie silného tímu a prideľovanie rolí každému členovi je funkciou prípravnej fázy. Ponúknite každému informácie a zdroje, ktoré potrebuje na rýchlu reakciu na bezpečnostný incident.

2. Identifikácia

Po vytvorení správneho prostredia a tímu je načase zistiť všetky hrozby, ktoré môžu vo vašej sieti existovať. Môžete to urobiť pomocou informačných kanálov spravodajských informácií o hrozbách, brán firewall, SIEM a IPS na monitorovanie a analýzu vašich údajov z hľadiska indikátorov útoku.

Ak je zistený útok, vy a váš tím musíte určiť povahu útoku, jeho zdroj, kapacitu a ďalšie komponenty potrebné na zabránenie narušeniu.

3. Zadržanie

Vo fáze zadržania je cieľom izolovať útok a urobiť ho bezmocným skôr, ako poškodí váš systém.

Účinné zadržanie bezpečnostného incidentu vyžaduje pochopenie incidentu a stupeň poškodenia, ktoré môže vášmu systému spôsobiť.

Pred začatím procesu zadržania zálohujte svoje súbory, aby ste počas neho nestratili citlivé údaje. Je dôležité, aby ste si uchovali forenzné dôkazy pre ďalšie vyšetrovanie a právne záležitosti.

4. Eradikácia

Fáza eradikácie zahŕňa odstránenie hrozby z vášho systému. Vaším cieľom je obnoviť váš systém do stavu, v ktorom bol pred incidentom. Ak je to nemožné, pokúsite sa dosiahnuť niečo, čo sa blíži svojmu predchádzajúcemu stavu.

Obnovenie systému môže vyžadovať niekoľko akcií vrátane vymazania pevných diskov a inovácie verzie softvéru, predchádzanie základnej príčine a skenovanie systému, aby sa odstránil škodlivý obsah, ktorý môže existovať.

5. Obnova

Chcete sa uistiť, že fáza eradikácie bola úspešná, a preto musíte vykonať viac analýz, aby ste potvrdili, že váš systém úplne neobsahuje žiadne hrozby.

Keď ste si istí, že je pobrežie čisté, musíte testovať spustenie systému a pripraviť sa na to, že začne fungovať. Dávajte pozor na svoju sieť, aj keď je naživo, aby ste si boli istí, že nič nie je v poriadku.

6. Poučenie

Zabránenie opakovaniu narušenia bezpečnosti znamená vziať si na vedomie veci, ktoré sa pokazili, a opraviť ich. Každá fáza plánu IR by mala byť zdokumentovaná, pretože obsahuje dôležité informácie o možných lekciách, ktoré sa z neho dajú vyvodiť.

Keď ste zhromaždili všetky informácie, mali by ste si vy a váš tím položiť niekoľko kľúčových otázok vrátane:

• Čo sa presne stalo?
• Kedy sa to stalo?
• Ako sme sa s incidentom vysporiadali?
• Aké kroky sme urobili v reakcii na ňu?
• Čo sme sa dozvedeli z incidentu?

Osvedčené postupy pre plán reakcie na incidenty

Prijatie plánu reakcie na incidenty NIST alebo SANS je solídnym spôsobom riešenia kybernetických hrozieb. Ale aby ste dosiahli skvelé výsledky, existujú určité postupy, ktoré musíte dodržiavať.

Identifikujte kritické aktíva

Kybernetickí útočníci idú na zabitie; zameriavajú sa na vaše najcennejšie aktíva. Musíte identifikovať svoje kritické aktíva a uprednostniť ich vo svojom pláne.

Tvárou v tvár incidentu by mal byť váš prvý prístav zastavenia tým najcennejším, čo by malo útočníkom zabrániť prístup alebo poškodenie vašich údajov.

Vytvorte efektívne komunikačné kanály

Tok komunikácie vo vašom pláne môže spôsobiť alebo narušiť vašu stratégiu reakcie. Zaistite, aby každý zúčastnený mal v každom bode dostatočné informácie na prijatie vhodných opatrení.

Čakanie na výskyt incidentu pred zefektívnením komunikácie je riskantné. Ak ho uvediete na miesto vopred, vzbudí vo vašom tíme dôveru.

Nech je to jednoduché

Bezpečnostný incident je vyčerpávajúci. Členovia vášho tímu budú pravdepodobne zúriví a pokúsia sa zachrániť deň. Nezjednodušujte im prácu komplikovanými podrobnosťami vo svojom IR pláne.

Nech je to čo najjednoduchšie.

Aj keď chcete, aby boli informácie vo vašom pláne ľahko zrozumiteľné a realizovateľné, neznižujte ich nadmernou generalizáciou. Vytvorte konkrétne postupy, ktoré by mali členovia tímu robiť.

Vytvorte si príručky k reakcii na incidenty

Plán šitý na mieru je účinnejší ako generický plán. Ak chcete dosiahnuť lepšie výsledky, musíte si vytvoriť IR príručku na riešenie rôznych druhov bezpečnostných incidentov.

Playbook poskytuje vášmu tímu reakcie podrobného sprievodcu, ako dôkladne zvládnuť konkrétnu kybernetickú hrozbu namiesto toho, aby ste sa dotkli iba povrchu.

Otestujte plán

Najúčinnejší plán reakcie na zarážku je plán, ktorý je priebežne testovaný a certifikovaný ako účinný.

Nevytvárajte si plán a zabudnite naň. Pravidelne vykonávajte bezpečnostné cvičenia na identifikáciu medzier, ktoré môžu kybernetickí útočníci využiť.

Prijatie proaktívneho bezpečnostného prístupu

Kybernetickí útočníci nevedia jednotlivcov ani organizácie. Nikto sa ráno neprebudí a očakáva, že jeho sieť bude hacknutá. Aj keď si možno nebudete želať bezpečnostný incident, existuje možnosť, že sa tak stane.

To najmenej, čo môžete urobiť, je byť proaktívny vytvorením plánu reakcie na incidenty pre prípad, že sa kybernetickí útočníci rozhodnú zacieliť na vašu sieť.

Čo je to kybernetické vydieranie a ako mu môžete zabrániť?

Kybernetické vydieranie predstavuje značnú hrozbu pre vaše online zabezpečenie. Čo to však presne je a ako môžete zaistiť, aby ste neboli obeťou?

Čítajte ďalej

O autorovi