Svara på cybersäkerhetsöverträdelser

Securitylocus hjälper ditt företag att svara på cybersäkerhetsöverträdelser.

Den här bilden har ett tomt alt-attribut. dess filnamn är Logo-400x400-1.jpg
Microsoft-logotyper vektor i (. SVG, . EPS. ARTIFICIELL INTELLIGENS. CDR. PDF) gratis nedladdning

Översikt

Incident Response (IR) är praxis att förbereda en organisation för händelse av ett säkerhets- eller dataintrång på en mängd olika sätt. Alla incidenter kommer inte att vara desamma och därför måste insatsstyrkan ha förmågan att reagera på olika situationer. Detta kräver en noggrant dokumenterad och lätt körbar plan för att en organisation snabbt ska kunna utrota skadlig programvara, ransomware eller liknande.

Svara på en säkerhetsöverträdelse – Översikt

De sex stegen i incidenthanteringsprocessen

CREST – en ideell organisation som ger garantier för kvaliteten på de tjänster som erbjuds av säkerhetsföretag – har utvecklat en väldefinierad modell för att bedöma mognaden för vart och ett av de sex incidentresponsstegen.

Bilden nedan visar hur den här modellen hanterar kontroller i sex steg i incident svars processen. Vi kommer i detalj att titta på kontrollerna för vart och ett av dessa steg.

Grafik för incidentrespons

Förberedelse

Nyckeln till förberedelsestadiet är att göra en noggrann analys under simulerade incidenttester.

Detta gör det möjligt för en organisation att skapa en noggrant konstruerad tidslinje för incident svar med allt ansvar som tilldelats den lämpligaste intressenten.

En incidentresponsplan bör också innehålla en analys av de IR-resurser som ett företag har till sitt förfogande, till exempel hamnlistor, protokollanalysatorer, nätverksdiagram etc.

Denna analys bör avslutas vid utarbetandet av en IR Tool Kit, redo att användas i händelse av en överträdelse.

Identifiering

En organisation bör se till att det relativa försvaret finns på plats för att säkerställa att kompromissindikatorer identifieras.

Sådana identifierare inkluderar:

  • Ovanlig utgående nätverkstrafik
  • Nya administratörsanvändare har skapats
  • Avvikelser i privilegierad användarkontoaktivitet (först inloggning på ett system)
  • Geografiska oegentligheter (icke-standardiserade inloggningsförsök)
  • Ökad databasläsningsvolym (databasdump)
  • Stort antal förfrågningar om samma fil
  • Misstänkta register- eller systemfilsändringar
  • Oväntad korrigering
  • Tecken på DDoS-aktivitet

Om ett IT-säkerhetsteam inte känner att dessa indikatorer skulle dyka upp i deras säkerhetssystem kan ytterligare granskning krävas.

Inneslutning

När en organisation är säker på att en incident kan/kommer att identifieras, blir fokus sedan att begränsa den incidenten. En organisation bör fördela definierade handlingsbanor baserat på den potentiella effekten av olika incidenter.

IT måste undersöka om det har kontroll över aspekter som blockering av obehörig åtkomst, blockering av farliga IP- och e-postadresser eller till och med isolering av system i nätverket bland andra. Denna övning säkerställer att IT-funktionen har fullständig kontroll och synlighet av sådana åtgärder.

Utrotning

Nästa steg är att eliminera orsaken till incidenten – det här steget kan överlappa inneslutningssteget.

Syftet här är att utrota orsaken, den faktiska händelsen och själva kompromissen. När detta är gjort är det absolut nödvändigt att utrotningen verifieras (t.ex. genom att övervaka trafiken och granska kritiska loggar).

IR-processen bör möjliggöra utrotningssteg såsom

  • Ta bort attacken från nätverket
  • Ta bort skadlig kod
  • Inaktivera överträdda användarkonton
  • Identifiera sårbarheter som utnyttjades
  • Minska sårbarheter som utnyttjades
  • Finns det en formell process för att hantera bevis när man hanterar en incident?
  • Finns det åtgärder att följa för att bevara bevis när du hanterar händelsen?

Återställning

En detaljerad återhämtningsplan bör utarbetas och ses över för att fastställa att alla återhämtningsprocesser genomförs för att säkerställa att systemet återställs så snart som möjligt, t.ex.

Återställningsfasen måste också överväga att validera att systemen är tillbaka i full drift och skyddas.

IR-planen bör överväga att inkludera element som ett externt penetrationstest för att bedöma att de återställda korrigeringarna är tillräckliga. Hänsyn bör också tas till den detaljnivå som ges till berörda parter och tidsplanen för samma sak.

Lärdomar

Detta anses ofta vara det viktigaste steget i IR-processen eftersom lärdomar kan gå långt för att förhindra framtida incidenter.

Kort sagt, detta steg innebär:

1) Utföra en granskning efter incidenten för att identifiera alla åtgärder som vidtagits under återställningsprocessen

2) Formellt dokumentera dessa lärdomar, identifiera var lärdomar har dragits och förmedla dessa till berörda intressenter

3) Uppdatering och ändring av den befintliga IR-planen så att dessa lärdomar kan tillämpas på framtida incidenter

Slutsats

Även om det inte är möjligt att förbereda sig fullt ut för okända framtida incidenter finns det delar av en incident svars process som kräver förberedelse, för att möjliggöra effektiv incident begränsning.

Slutsatsen är att en incidentresponsplan inte bara måste definieras formellt, utan måste utvärderas regelbundet för att säkerställa att den fortfarande är effektiv.

Att tillämpa ett väldefinierat och moget incidentresponsramverk, som det som utvecklats av CREST, hjälper till att täcka alla viktiga aspekter av en sådan bedömning.