Consultlocus

Svare

Svar på cybersikkerhetsbrudd

Securitylocus hjelper bedriften din med å svare på brudd på cybersikkerhet.

Dette bildet har et tomt alt-attributt. Filnavnet er Logo-400x400-1.jpg
Microsoft-logoer vektor i (. SVG, . EPS. AI. CDR. PDF) gratis nedlasting

Oversikt

Incident Response (IR) er praksisen med å forberede en organisasjon for tilfelle et sikkerhets- eller datainnbrudd gjennom en rekke midler. Ikke alle hendelser kommer til å være de samme, og som sådan må hendelsesresponsere ha evnen til å reagere på forskjellige situasjoner. Dette krever en nøye dokumentert og lett kjørbar plan for å tillate en organisasjon å raskt utrydde skadelig programvare, ransomware eller lignende.

Svare på et sikkerhetsbrudd – Oversikt

De seks stadiene av prosessen for hendelsesrespons

CREST – en ideell organisasjon som gir forsikring om kvaliteten på tjenestene som tilbys av sikkerhetsfirmaer – har utviklet en veldefinert modell for å vurdere modenheten til hvert av de seks hendelsesresponsstadiene.

Grafikken nedenfor viser hvordan denne modellen adresserer kontroller i seks faser av hendelsesresponsprosessen. Vi skal se i detalj på kontrollene for hvert av disse stadiene.

Grafikk for hendelsesrespons

Forberedelse

Nøkkelen til forberedelsesfasen er å gjennomføre en nøye analyse under simulerte hendelsestester.

Dette gjør det mulig for en organisasjon å opprette en nøye konstruert tidslinje for hendelsesrespons med alle ansvarsområder tildelt den mest hensiktsmessige interessenten.

En hendelsesresponsplan bør også inneholde en analyse av IR-ressursene et selskap har til rådighet, for eksempel portlister, protokollanalysatorer, nettverksdiagrammer osv.

Denne analysen bør konkludere med utarbeidelsen av et IR-verktøysett, klar til bruk i tilfelle brudd.

Identifikasjon

En organisasjon bør sørge for at det relative forsvaret er på plass for å sikre at indikatorer for kompromiss identifiseres.

Slike identifikatorer inkluderer:

  • Uvanlig utgående nettverkstrafikk
  • Nye administratorbrukere opprettet
  • Uregelmessigheter i privilegert brukerkontoaktivitet (første pålogging til et system)
  • Geografiske uregelmessigheter (ikke-standard påloggingsforsøk)
  • Økt lesevolum for database (databasedump)
  • Stort antall forespørsler etter samme fil
  • Mistenkelige register- eller systemfilendringer
  • Uventet oppdatering
  • Tegn på DDoS-aktivitet

Hvis et IT-sikkerhetsteam ikke føler at disse indikatorene vil dukke opp i sikkerhetssystemet, kan det være nødvendig med ytterligere gjennomgang.

Containment

Når en organisasjon er sikker på at en hendelse kan/ vil bli identifisert, blir fokuset deretter til å inneholde den hendelsen. En organisasjon bør tildele definerte handlingsforløp basert på den potensielle virkningen av ulike hendelser.

IT må undersøke om den har kontroll over aspekter som blokkering av uautorisert tilgang, blokkering av farlige IP- og e-postadresser eller til og med isolering av systemer på nettverket blant andre. Denne øvelsen sikrer at IT-funksjonen har full kontroll og synlighet av slike handlinger.

Utrydding

Det neste trinnet er å eliminere årsaken til hendelsen – dette stadiet kan overlappe med inneslutningsfasen.

Målet her er å utrydde årsaken, selve hendelsen og selve kompromisset. Når dette er gjort, er det viktig at utryddelsen er verifisert (f.eks. ved å overvåke trafikk og gjennomgå kritiske logger).

IR-prosessen bør tillate utryddelsestrinn som:

  • Fjerne angrepet fra nettverket
  • Sletter skadelig programvare
  • Deaktivere brutte brukerkontoer
  • Identifisere sikkerhetsproblemer som ble utnyttet
  • Begrense sikkerhetsproblemer som ble utnyttet
  • Er det en formell prosess for håndtering av bevis når det gjelder en hendelse?
  • Er det trinn å følge for å bevare bevis når du håndterer hendelsen?

Restaurering

En detaljert gjenopprettingsplan bør utarbeides og gjennomgås for å fastslå at alle gjenopprettingsprosesser utføres for å sikre gjenoppretting av systemet så snart som mulig, for eksempel: gjenopprette systemet fra sikkerhetskopilogger, varsle de relevante interessentene og adressere lignende identifiserte sårbarheter på nettverket etc.

Gjenopprettingsfasen må også vurdere å validere at systemene er tilbake til å være fullt operative og beskyttet.

IR-planen bør vurdere å inkludere elementer som en ekstern penetrasjonstest for å vurdere at de gjenopprettede rettelsene er tilstrekkelige. Det bør også tas hensyn til detaljnivået som gis til interessenter og tidslinjen for det samme.

Erfaringer

Dette regnes ofte som det viktigste stadiet i IR-prosessen, da erfaringer kan gå langt for å forhindre fremtidige hendelser.

Kort sagt, dette stadiet innebærer:

1) Utføre en gjennomgang etter hendelsen for å identifisere alle handlingene som er utført i løpet av gjenopprettingsprosessen

2) Formelt dokumentere disse leksjonene, identifisere hvor leksjoner ble lært og formidle disse til de relevante interessentene

3) Oppdatering og endring av eksisterende IR-plan for å gjøre det mulig å bruke disse leksjonene på fremtidige hendelser

Konklusjon

Selv om det ikke er mulig å forberede seg fullt ut på ukjente fremtidige hendelser, er det elementer i en hendelsesresponsprosess som krever forberedelse, for å tillate effektiv hendelsesreduksjon.

Hovedpoenget er at en hendelsesresponsplan ikke bare må defineres formelt, men må vurderes periodisk for å sikre at den fortsatt er effektiv.

Å bruke et veldefinert og modent hendelsesresponsrammeverk, som det som er utviklet av CREST, bidrar til å dekke alle viktige aspekter ved en slik vurdering.