Svar brud på cybersikkerhed

Securitylocus hjælper din virksomhed med at reagere på brud på cybersikkerhed.

Dette billede har en tom alt-attribut. dens filnavn er Logo-400x400-1.jpg
Microsoft-logoer vektor i (. SVG, . EPS. AI. CDR. PDF) gratis download

Oversigt over

Incident Response (IR) er praksis med at forberede en organisation til tilfælde af et sikkerheds- eller dataovertrædelse gennem en lang række midler. Ikke alle hændelser vil være de samme, og som sådan skal hændelses respondere have evnen til at reagere på forskellige situationer. Dette kræver en omhyggeligt dokumenteret og let eksekverbar plan for at give en organisation mulighed for hurtigt at udrydde malware, ransomware eller lignende.

Reaktion på et sikkerhedsbrud – Oversigt

De seks faser af hændelsesresponsprocessen

CREST – en non-profit organisation, der giver sikkerhed for kvaliteten af tjenester, der tilbydes af sikkerhedsfirmaer – har udviklet en veldefineret model til vurdering af modenheden af hver af de seks Incident Response-faser.

Grafikken nedenfor viser, hvordan denne model adresserer kontrolelementer i seks faser af hændelsesresponsprocessen. Vi vil se nærmere på kontrollerne for hver af disse faser.

Grafik af hændelsesrespons

Præparation

Nøglen til forberedelsesfasen er at foretage en omhyggelig analyse under simulerede hændelsestest.

Dette gør det muligt for en organisation at oprette en omhyggeligt konstrueret incident response tidslinje med alle ansvarsområder tildelt den mest hensigtsmæssige interessent.

En incident response-plan bør også omfatte en analyse af de IR-ressourcer, som en virksomhed har til rådighed, såsom havnelister, protokolanalysatorer, netværksdiagrammer osv.

Denne analyse bør indgå i udarbejdelsen af en IR Tool Kit, klar til brug i tilfælde af en overtrædelse.

Identifikation

En organisation bør sikre, at det relative forsvar er på plads for at sikre, at kompromisindikatorer identificeres.

Sådanne identifikatorer omfatter:

  • Usædvanlig udgående netværkstrafik
  • Nye administratorbrugere oprettet
  • Uregelmæssigheder i privilegeret brugerkontoaktivitet (første logon på et system)
  • Geografiske uregelmæssigheder (ikke-standardiserede loginforsøg)
  • Øget databaselæs diskenhed (databasedump)
  • Stort antal anmodninger om den samme fil
  • Ændringer i registreringsdatabasen eller systemfiler
  • Uventet patching
  • Tegn på DDoS-aktivitet

Hvis et it-sikkerhedsteam ikke føler, at disse indikatorer vises i deres sikkerhedssystem, kan det være nødvendigt at gennemgå yderligere.

Inddæmning

Når en organisation er sikker på, at en hændelse kan/vil blive identificeret, bliver fokus derefter til at indeholde den pågældende hændelse. En organisation bør tildele definerede handleretninger baseret på de potentielle virkninger af forskellige hændelser.

IT skal undersøge, om det har kontrol over aspekter såsom blokering af uautoriseret adgang, blokering af farlige IP- og e-mail-adresser eller endda isolering af systemer på netværket blandt andre. Denne øvelse sikrer, at IT-funktionen har fuld kontrol over og synlighed af sådanne handlinger.

Udryddelse

Det næste skridt er at fjerne årsagen til hændelsen – denne fase kan overlappe med indeslutningsfasen.

Målet her er at udrydde årsagen, selve hændelsen og selve kompromiset. Når dette er gjort, er det afgørende, at udryddelsen verificeres (f.eks. ved at overvåge trafikken og gennemgå kritiske logfiler).

IR-processen bør gøre det muligt at udrydde trin som f.eks.:

  • Fjernelse af angrebet fra netværket
  • Sletning af malware
  • Deaktivering af overtrådte brugerkonti
  • Identifikation af sårbarheder, der blev udnyttet
  • Formildende sårbarheder, der blev udnyttet
  • Er der en formel proces for håndtering af beviser, når der beskæftiger sig med en hændelse?
  • Er der skridt til at følge for at bevare beviser, når der beskæftiger sig med hændelsen?

Restaurering

Der bør udarbejdes og revideres en detaljeret genopretningsplan for at fastslå, at alle inddrivelsesprocesser gennemføres for at sikre genoprettelsen af systemet så hurtigt som muligt, såsom: genoprettelse af systemet fra back-up-logfiler, underretning af de relevante interessenter og håndtering af lignende identificerede sårbarheder på nettet osv.

Gendannelsesfasen skal også overveje at validere, at systemerne er tilbage til at være fuldt operationelle og beskyttede.

IR-planen bør overveje at medtage elementer såsom en ekstern penetrationstest for at vurdere, at de gendannede rettelser er tilstrækkelige. Det bør også overvejes, hvor detaljeret interessenterne får, og tidsplanen for det samme.

Erfaringer

Dette betragtes ofte som den vigtigste fase i den IR-proces, da de indhøstede erfaringer kan gå langt for at forhindre fremtidige hændelser.

Kort sagt, denne fase indebærer:

1) Udførelse af en gennemgang efter hændelsen for at identificere alle de foranstaltninger, der er truffet i løbet af gendannelsesprocessen

2) Formelt at dokumentere disse erfaringer, identificere, hvor der blev draget erfaringer, og formidle disse til de relevante interessenter

3) Ajourføring og ændring af den eksisterende IR-plan for at gøre det muligt at anvende disse erfaringer på fremtidige hændelser

Konklusion

Selv om det ikke er muligt fuldt ud at forberede sig på ukendte fremtidige hændelser, er der elementer af en Incident Response-proces, der kræver forberedelse, for at muliggøre effektiv afbødning af hændelser.

Den nederste linje er, at en incident response-plan ikke kun skal defineres formelt, men skal regelmæssigt vurderes for at sikre, at den stadig er effektiv.

Anvendelse af en veldefineret og moden Incident Response ramme, som den, der er udviklet af CREST, hjælper med at dække alle vigtige aspekter af en sådan vurdering.