Consultlocus

Odpowiadać

Reagowanie na naruszenia bezpieczeństwa cybernetycznego

Securitylocus pomaga Twojej firmie reagować na naruszenia cyberbezpieczeństwa.

Ten obraz ma pusty atrybut alt; jego nazwa pliku to Logo-400x400-1.jpg
Wektor logo firmy Microsoft w (. SVG, . EPS. AI. CDR. PDF) do pobrania za darmo

Przegląd

Reagowanie na incydenty (IR) to praktyka polegająca na przygotowywaniu organizacji na wypadek naruszenia bezpieczeństwa lub naruszenia danych za pomocą wielu środków. Nie każdy incydent będzie taki sam i jako taki, osoby reagujące na incydenty muszą mieć możliwość reagowania na różne sytuacje. Wymaga to starannie udokumentowanego i łatwego do wykonania planu, aby umożliwić organizacji szybkie wyeliminowanie złośliwego oprogramowania, oprogramowania ransomware lub podobnego.

Reagowanie na naruszenie bezpieczeństwa – Przegląd

Sześć etapów procesu reagowania na incydenty

CREST – organizacja non-profit zapewniająca pewność co do jakości usług oferowanych przez firmy ochroniarskie – opracowała dobrze zdefiniowany model oceny dojrzałości każdego z sześciu etapów reagowania na incydenty.

Poniższa grafika pokazuje, w jaki sposób ten model odnosi się do kontrolek w sześciu etapach procesu reagowania na incydenty. Przyjrzymy się szczegółowo kontroli dla każdego z tych etapów.

Grafika reagowania na incydenty

Preparat

Kluczem do etapu przygotowań jest przeprowadzenie dokładnej analizy podczas symulowanych testów incydentów.

Dzięki temu organizacja może stworzyć starannie skonstruowaną oś czasu reagowania na incydenty, w której wszystkie obowiązki zostaną przydzielone najbardziej odpowiedniemu interesariuszowi.

Plan reagowania na incydenty powinien również obejmować analizę zasobów IR, którymi dysponuje firma, takich jak listy portów, analizatory protokołów, diagramy sieciowe itp.

Analiza ta powinna zakończyć się przygotowaniem zestawu narzędzi IR, gotowego do użycia w przypadku naruszenia.

Identyfikacja

Organizacja powinna upewnić się, że istnieją względne mechanizmy obronne, aby zapewnić identyfikację wskaźników kompromisu.

Identyfikatory takie obejmują:

  • Nietypowy wychodzący ruch sieciowy
  • Utworzono nowych użytkowników administracyjnych
  • Anomalie w aktywności konta użytkownika uprzywilejowanego (pierwsze logowanie do systemu)
  • Nieregularności geograficzne (niestandardowe próby logowania)
  • Zwiększona objętość odczytu bazy danych (zrzut bazy danych)
  • Duża liczba żądań dotyczących tego samego pliku
  • Podejrzane zmiany w rejestrze lub plikach systemowych
  • Nieoczekiwane poprawki
  • Oznaki aktywności DDoS

Jeśli zespół ds. bezpieczeństwa IT nie czuje, że te wskaźniki pojawią się w jego systemie bezpieczeństwa, może być wymagany dalszy przegląd.

Zamknięcia

Gdy organizacja ma pewność, że incydent może / zostanie zidentyfikowany, skupia się na powstrzymaniu tego incydentu. Organizacja powinna przydzielać określone kierunki działania w oparciu o potencjalny wpływ różnych incydentów.

IT musi sprawdzić, czy ma kontrolę nad takimi aspektami, jak blokowanie nieautoryzowanego dostępu, blokowanie niebezpiecznych adresów IP i e-mail, a nawet izolacja systemów w sieci. Ćwiczenie to zapewnia, że dział IT ma pełną kontrolę i widoczność takich działań.

Zwalczania

Kolejnym krokiem jest wyeliminowanie przyczyny incydentu – etap ten może pokrywać się z etapem hermetyzacji.

Celem jest wyeliminowanie przyczyny, faktycznego incydentu i samego kompromisu. Po wykonaniu tej czynności konieczne jest zweryfikowanie eliminacji (np. poprzez monitorowanie ruchu i przeglądanie krytycznych dzienników).

Proces IR powinien umożliwiać etapy eliminacji, takie jak:

  • Usuwanie ataku z sieci
  • Usuwanie złośliwego oprogramowania
  • Wyłączanie naruszonych kont użytkowników
  • Identyfikowanie luk w zabezpieczeniach, które zostały wykorzystane
  • Ograniczanie luk w zabezpieczeniach, które zostały wykorzystane
  • Czy istnieje formalny proces postępowania z dowodami w przypadku incydentu?
  • Czy istnieją kroki, które należy wykonać, aby zachować dowody podczas postępowania z incydentem?

Odbudowa

Należy przygotować i poddać przeglądowi szczegółowy plan odzyskiwania w celu ustalenia, czy wszystkie procesy odzyskiwania są przeprowadzane w celu zapewnienia jak najszybszego przywrócenia systemu, takie jak: przywracanie systemu z dzienników zapasowych, powiadamianie odpowiednich zainteresowanych stron i eliminowanie podobnych zidentyfikowanych luk w sieci itp.

Faza przywracania musi również uwzględniać sprawdzenie, czy systemy wróciły do pełnej sprawności i ochrony.

Plan IR powinien uwzględniać takie elementy, jak zewnętrzny test penetracyjny, aby ocenić, czy przywrócone poprawki są wystarczające. Należy również wziąć pod uwagę poziom szczegółowości zapewniany zainteresowanym stronom oraz harmonogram ich stosowania.

Doświadczeń

Jest to często uważane za najważniejszy etap procesu IR, ponieważ wyciągnięte wnioski mogą znacznie przyczynić się do zapobiegania przyszłym incydentom.

Krótko mówiąc, etap ten obejmuje:

1) Przeprowadzenie przeglądu po incydencie w celu zidentyfikowania wszystkich działań podjętych w trakcie procesu odzyskiwania

2) Formalne udokumentowanie tych wniosków, określenie, gdzie wyciągnięto wnioski i przekazanie ich odpowiednim zainteresowanym stronom

3) Aktualizacja i zmiana istniejącego planu IR w celu umożliwienia zastosowania tych wniosków do przyszłych incydentów

Wniosku

Chociaż nie jest możliwe pełne przygotowanie się na nieznane przyszłe incydenty, istnieją elementy procesu reagowania na incydenty, które wymagają przygotowania, aby umożliwić skuteczne łagodzenie incydentów.

Najważniejsze jest to, że plan reagowania na incydenty nie tylko musi być formalnie zdefiniowany, ale musi być okresowo oceniany, aby upewnić się, że jest nadal skuteczny.

Zastosowanie dobrze zdefiniowanych i dojrzałych ram reagowania na incydenty, takich jak te opracowane przez CREST, pomaga w objęciu wszystkich ważnych aspektów takiej oceny.