Vastaa kyberturvallisuusrikkomuksiin

Securitylocus auttaa yritystäsi vastaamaan kyberturvallisuusrikkomuksiin.

Tällä kuvalla on tyhjä alt-määrite. sen tiedostonimi on Logo-400x400-1.jpg
Microsoft logot vektori (. SVG, . EPS. AI. CDR. PDF) ilmainen lataus

Yleiskatsaus

Incident Response (IR) on käytäntö, jossa organisaatiota valmistellaan tietoturvan tai tietomurron varalta monin keinoin. Kaikki vaaratilanteet eivät tule olemaan samat, ja siten tapahtumavastaajilla on oltava kyky reagoida erilaisiin tilanteisiin. Tämä edellyttää huolellisesti dokumentoitua ja helposti suoritettavaa suunnitelmaa, jotta organisaatio voi nopeasti poistaa haittaohjelmat, kiristysohjelmat tai vastaavat.

Tietoturvaloukkaukseen vastaaminen – Yleiskatsaus

Tapahtumavalmiusprosessin kuusi vaihetta

CREST – voittoa tavoittelematon organisaatio, joka tarjoaa varmuuden turvallisuusyritysten tarjoamien palvelujen laadusta – on kehittänyt hyvin määritellyn mallin arvioidakseen kunkin kuuden incident response -vaiheen kypsyyttä.

Alla olevassa kuvassa näkyy, miten tämä malli käsittelee ohjausobjekteja tapahtumavalmiusprosessin kuudessa vaiheessa. Tarkastelemme yksityiskohtaisesti kunkin vaiheen valvontaa.

Tapahtuman vastaus -kuva

Valmistelu

Valmisteluvaiheen avain on tehdä huolellinen analyysi simuloiduissa tapahtumatesteissä.

Näin organisaatio voi luoda huolellisesti rakennetun tapahtumavaste-aikajanan, jossa kaikki vastuut on jaettu sopivimmalle sidosryhmälle.

Häiriötilanteiden torjuntasuunnitelman olisi sisällettävä myös analyysi yrityksen käytettävissä olevista infrapunaresursseista, kuten porttiluetteloista, protokolla-analysaattoreista, verkkokaavioista jne.

Tämä analyysi on tehtävä IR Tool Kitin valmistelussa, joka on valmis käytettäväksi rikkomuksen sattuessa.

Tunnistaminen

Organisaation olisi varmistettava, että suhteellinen puolustus on käytössä sen varmistamiseksi, että kompromissiindikaattorit tunnistetaan.

Tällaisia tunnisteita ovat:

  • Epätavallinen lähtevä verkkoliikenne
  • Uudet järjestelmänvalvojan käyttäjät luotu
  • Etuoikeutetun käyttäjätilin toiminnan poikkeavuudet (ensimmäinen kirjautuminen järjestelmään)
  • Maantieteelliset sääntöjenvastaisuudet (epätyypillisiä kirjautumisyrityksiä)
  • Lisääntynyt tietokannan lukuasema (tietokannan vedos)
  • Suuri määrä saman tiedoston pyyntöjä
  • Epäilyttävät rekisteri- tai järjestelmätiedostojen muutokset
  • Odottamaton korjaustiedosto
  • DDoS-toiminnan merkit

Jos TIETOTURVATIIMI ei koe, että nämä indikaattorit näkyisivät heidän turvajärjestelmässään, lisätarkastelua saatetaan tarvita.

Patoamispolitiikka

Kun organisaatio on varma, että tapahtuma voidaan tunnistaa/ tunnistetaan, painopiste kääntyy sitten tapahtuman hillitsemiseen. Organisaation tulisi kohdentaa määritellyt toimintatavat eri tapahtumien mahdollisten vaikutusten perusteella.

It-järjestelmän on tutkittava, hallitseeko se muun muassa luvattoman käytön estämistä, vaarallisten IP- ja sähköpostiosoitteiden estämistä tai jopa verkon järjestelmien eristämistä. Tämä harjoitus varmistaa, että IT-toiminto hallitsee ja näkyvyys tällaisiin toimiin on täysin hallinnassa.

Hävittäminen

Seuraava vaihe on poistaa tapahtuman syy – tämä vaihe voi olla päällekkäinen eristysvaiheen kanssa.

Tavoitteena on poistaa syy, varsinainen välikohtaus ja itse kompromissi. Kun tämä on tehty, on välttämätöntä, että hävittäminen varmistetaan (esim. seuraamalla liikennettä ja tarkistamalla kriittisiä lokeja).

Ir-prosessin olisi mahdollistettava hävittämisvaiheet, kuten:

  • Hyökkäyksen poistaminen verkosta
  • Haittaohjelmien poistaminen
  • Rikotun käyttäjätilin poistaminen käytöstä
  • Hyödynnettyjen haavoittuvuuksien tunnistaminen
  • Hyödynnettyjen haavoittuvuuksien lieventäminen
  • Onko olemassa muodollinen prosessi todisteiden käsittelemiseksi tapauksen käsittelyssä?
  • Onko todisteita todisteiden säilyttämiseksi, kun käsittelet tapausta?

Palauttaminen

Olisi laadittava ja tarkistettava yksityiskohtainen elvytyssuunnitelma sen määrittämiseksi, että kaikki hyödyntämisprosessit toteutetaan järjestelmän palauttamisen varmistamiseksi mahdollisimman pian, kuten järjestelmän palauttaminen varalokeista, ilmoittaminen asianomaisille sidosryhmille ja vastaavien havaittujen haavoittuvuuksien puuttuminen verkossa jne.

Palautusvaiheessa on myös harkittava sen tarkistamista, että järjestelmät ovat taas täysin toimintakykyisiä ja suojattuja.

Ir-suunnitelmassa olisi harkittava sellaisten tekijöiden sisällyttämistä, kuten ulkoinen tunkeutumistesti, jotta voidaan arvioida, että palautetut korjaukset ovat riittäviä. Olisi myös otettava huomioon sidosryhmien yksityiskohtaisuuden taso ja sen aikataulu.

Saadut kokemukset

Tätä pidetään usein ir-prosessin tärkeimpänä vaiheena, koska saadut kokemukset voivat edistää huomattavasti tulevien tapahtumien ehkäisemistä.

Lyhyesti sanottuna tähän vaiheeseen kuuluu:

1) Tapahtuman jälkeisen tarkastelun suorittaminen kaikkien takaisinperintäprosessin aikana toteutettujen toimien tunnistamiseksi

2) Näiden kokemusten virallinen dokumentointi, kokemusten tunnistaminen ja niistä tiedottaminen asianomaisille sidosryhmille

3) Nykyisen ir-suunnitelman päivittäminen ja muuttaminen, jotta näitä oppitunteja voidaan soveltaa tuleviin vaaratilanteisiin

Päätelmä

Vaikka tuntemattomiin tuleviin vaaratilanteisiin ei ole mahdollista valmistautua täysin, on olemassa tapahtumantorjuntaprosessin elementtejä, jotka edellyttävät valmistelua, jotta vaaratilanteiden lieventäminen olisi tehokasta.

Tärkeintä on, että vaaratilanteiden torjuntasuunnitelma on paitsi määriteltävä virallisesti myös arvioitava säännöllisesti sen tehokkuuden varmistamiseksi.

Crest:n kehittämän kaltaisen hyvin määritellyn ja kypsän incident response -kehyksen soveltaminen auttaa kattamaan kaikki tällaisen arvioinnin tärkeät näkökohdat.