Organizacije se oslanjaju na odgovor na incidente kako bi osigurale da su odmah svjesne bezbjednosnih incidenata, omogućavajući brzu akciju kako bi se smanjila šteta. Oni takođe imaju za cilj izbjeći praćenje napada ili budućih incidenata povezanih s njima.
Institut SANS se bavi istraživanjem i edukacijom o informacionoj bezbjednosti. Na predstojećem webinar-u, detaljno ćemo opisati šest komponenti plana odgovora na incidente SANS-a, uključujući elemente kao što su priprema, identifikacija, obuzdavanje i iskorjenjivanje.
Prvi korak – Priprema
Ovo je prva faza i uključuje reviziju postojećih bezbjednosnih mjera i politika, vršenje procjena rizika kako bi se pronašle potencijalne ranjivosti i uspostavljanje komunikacijskog plana koji postavlja protokole i upozorava osoblje na potencijalne bezbjednosne rizike. Tokom praznika, pripremna faza vašeg IR plana je ključna jer vam daje priliku da komunicirate o pretnjama specifičnim za praznike i pripremite se za rešavanje takvih pretnji onako kako su identifikovane.
Drugi korak – Identifikacija
Faza identifikacije je kada je incident identifikovan, bilo onaj koji se dogodio ili je trenutno u toku. To se može dogoditi na više načina: od strane internog tima, konsultanta treće strane ili provajdera upravljanih usluga ili, u najgorem slučaju, jer je incident doveo do proboja podataka ili infiltracije u Vašu mrežu. Budući da toliki praznični hakovi za kibernetičku bezbjednost uključuju kredenciajle krajnjeg korisnika, vrijedno je uključiti bezbjednosne mehanizme koji prate kako se pristupa Vašim mrežama.
Treći korak – Zadržavanje
Cilj faze zadržavanja je da se minimizuje šteta uzrokovana sigurnosnim incidentom. Ovaj korak varira u zavisnosti od incidenta i može uključivati protokole kao što su izolacija uređaja, onemogućavanje naloga email-a ili isključenje ranjivih sistema sa glavne mreže. Budući da mjere zadržavanja često imaju ozbiljne poslovne implikacije, imperativ je da se i kratkoročne i dugoročne odluke odrede unaprijed kako ne bi bilo trzanja u posljednjem trenutku za rešavanje sigurnosnog pitanja.
Četvrti korak – Iskorenjivanje
Nakon što obuzdate sigurnosni incident, sljedeći korak je da se uvjerite da je pretnja u potpunosti uklonjena. Ovo takođe može uključivati istražne mjere kako bi se otkrilo ko, šta, kada, gdje i zašto se incident dogodio. Iskorenjivanje može uključivati procedure čišćenja diska, vraćanje sistema na čistu verziju sigurnosne kopije ili potpuno ponovno snimanje diska. Faza iskorjenjivanja takođe može uključivati brisanje malicioznih datoteka, modifikovanje ključeva registratora i eventualno ponovno instaliranje operativnih sistema.
Peti korak – Oporavak
Faza oporavka je svjetlo na kraju tunela, omogućavajući Vašoj organizaciji da se vrati uobičajenom poslovanju. Isto kao i zadržavanje, protokole za oporavak je najbolje uspostaviti unaprijed, tako da se poduzmu odgovarajuće mjere kako bi se osiguralo da su sistemi sigurni.
Peti korak – Naučene lekcije
Tokom faze naučenih lekcija, morat ćete dokumentovati šta se dogodilo i zabilježiti kako je vaša IR strategija funkcionisala u svakom koraku. Ovo je ključno vrijeme za razmatranje detalja kao što je koliko je vremena bilo potrebno da se incident otkrije i obuzda. Da li je bilo znakova dugotrajnog malicioznog softvera ili kompromitovanog sistema nakon iskorenjivanja? Je li to bila prevara povezana s prazničnom hakerskom šemom? I ako jeste, šta možete učiniti da to spriječite sljedeće godine?
Kako sposobni bezbjednosni timovi mogu manje da se opterećuju
Uključivanje najboljih praksi u vašu IR strategiju je jedna stvar. Ali izgradnja i zatim implementacija ovih najboljih praksi je lakše reći nego uraditi kada nemate vremena ili resursa.
Vođe manjih sigurnosnih timova suočavaju se s dodatnim izazovima izazvanim ovim nedostatkom resursa. Ozbiljni budžeti koji se pogoršavaju nedostatkom osoblja za upravljanje bezbjednosnim operacijama ostavljaju mnoge sigurnosne timove da se osjećaju rezignirani na ideju da neće moći zaštititi svoju organizaciju od previše čestih napada. Srećom, postoje resursi za sigurnosne timove upravo u ovoj nevolji. Cynet Incident Response Services nudi jedinstvenu kombinaciju Cynet-ovog sigurnosnog iskustva zajedno sa vlasničkom tehnologijom koja omogućava brz i precizan odgovor na incidente.
Izvor: The Hacker News