Шта је план одговора на инциденте?

Чак и најсигурнији безбедносни системи нису изузети од сајбер напада, а камоли они који нису заштићени. Цибер нападачи ће увек покушати да продру у вашу мрежу и ваша је одговорност да их зауставите.

Уочи такве претње, свака секунда се рачуна. Свако кашњење може разоткрити ваше осјетљиве податке и то би могло бити јако штетно. Ваш одговор на безбедносни инцидент чини разлику. План за одговор на инцидент (ИР) вам омогућава да брзо одгурнете против уљеза.

Шта је план одговора на инциденте?

План одговора на инцидент је тактички приступ управљању безбедносним инцидентом. Састоји се од процедура и политика у припреми, процени, сузбијању и опоравку од безбедносног инцидента.

Застоји које ваша организација трпи због безбедносног инцидента могу да потрају, у зависности од утицаја инцидента. План за реаговање на инцидент осигурава да се ваша организација врати на ноге што је пре могуће.

Осим враћања мреже на оно што је била пре напада, ИР план вам помаже да избегнете понављање инцидента.

Како изгледа план одговора на инцидент?

План одговора на инцидент је успешнији ако се поштују документована упутства. Да би се то догодило, ваш тим мора да разуме план и да има потребне вештине за његово спровођење.

Постоје два главна оквира за одговор на инциденте који се користе за управљање сајбер претњама - оквири НИСТ и САНС.

Државна агенција, Национални институт за стандарде и технологију (НИСТ), специјализована за различита подручја технологије, а сајбер безбедност је једна од њених основних услуга.

НИСТ план одговора на инциденцију састоји се од четири корака:

1. Припрема.
2. Детекција и анализа.
3. Задржавање, искорењивање и опоравак.
4. Активности након инцидента.

Приватна организација, СисАдмин, Аудит, Нетворк анд Сецурити (САНС) позната је по својој стручности у обуци о сајбер безбедности и информисању. САНС ИР оквир се популарно користи у сајбер безбедности и укључује шест корака:

1. Припрема.
2. Идентификација.
3. Задржавање.
4. Искорјењивање.
5. Опоравак.
6. Научене лекције.

Иако се број понуђених корака у оквирима НИСТ и САНС ИР разликује, оба су слична. За детаљнију анализу, фокусирајмо се на оквир САНС.

1. Припрема

Добар ИР план почиње припремом, и оквири НИСТ -а и САНС -а то признају. У овом кораку прегледате мере безбедности које тренутно имате на терену и њихову ефикасност.

Процес прегледа укључује процену ризика ваше мреже према открити све рањивости које могу постојати. Морате идентификовати своју ИТ имовину и одредити јој приоритете у складу с тим дајући највећу важност системима који садрже ваше најосетљивије податке.

Изградња јаког тима и додељивање улога сваком члану функција је припремне фазе. Понудите свима информације и ресурсе који су им потребни за хитно реаговање на безбедносни инцидент.

2. Идентификација

Пошто сте створили право окружење и тим, време је да откријете све претње које могу постојати на вашој мрежи. То можете учинити помоћу извора обавештајних података о претњама, заштитних зидова, СИЕМ -а и ИПС -а за надгледање и анализу ваших података у потрази за показатељима напада.

Ако се открије напад, ви и ваш тим морате утврдити природу напада, његов извор, капацитет и друге компоненте потребне за спречавање кршења.

3. Задржавање

У фази задржавања, циљ је изоловати напад и учинити га немоћним пре него што нанесе било какву штету вашем систему.

Ефикасно задржавање безбедносног инцидента захтева разумевање инцидента и степена штете коју може нанети вашем систему.

Направите резервну копију датотека пре него што започнете процес задржавања како не бисте изгубили осетљиве податке током тога. Важно је да сачувате форензичке доказе за даљу истрагу и правна питања.

4. Искорјењивање

Фаза искорјењивања укључује уклањање пријетње из вашег система. Ваш циљ је да вратите систем у стање у којем је био пре него што се инцидент догодио. Ако то није могуће, покушавате да постигнете нешто близу претходног стања.

Обнављање система може захтевати неколико радњи, укључујући брисање чврстих дискова, надоградњу верзије софтвера, спречавајући основни узрок и скенирајући систем ради уклањања злонамерног садржаја који би могао постоје.

5. Опоравак

Желите да будете сигурни да је фаза искорењивања успешна, па морате да обавите додатне анализе да бисте потврдили да је ваш систем потпуно лишен било каквих претњи.

Када будете сигурни да је обала чиста, морате тестирати свој систем како бисте се припремили за рад. Обратите посебну пажњу на своју мрежу чак и док је жива да бисте били сигурни да ништа није у реду.

6. Лекција научена

Спречавање понављања повреде безбедности подразумева узимање у обзир ствари које су кренуле наопако и њихово исправљање. Свака фаза ИР плана треба бити документована јер садржи виталне информације о могућим лекцијама које се из њега могу извући.

Након што сте прикупили све информације, ви и ваш тим требали бисте себи поставити нека кључна питања, укључујући:

• Шта се тачно догодило?
• Када се то догодило?
• Како смо се носили са инцидентом?
• Које кораке смо предузели у одговору?
• Шта смо научили из инцидента?

Најбоље праксе за план одговора на инциденте

Усвајање плана за одговор на инциденте НИСТ -а или САНС -а солидан је начин за борбу против сајбер претњи. Али да бисте постигли одличне резултате, морате се придржавати одређених пракси.

Идентификујте критична средства

Цибер нападачи иду на убиство; циљају на вашу највреднију имовину. Морате идентификовати своју критичну имовину и дати јој приоритет у свом плану.

У случају инцидента, ваша прва лука би требала бити ваше највредније средство за спречавање нападача приступ или оштећење ваших података.

Успоставите ефикасне комуникационе канале

Ток комуникације у вашем плану може учинити или прекинути вашу стратегију одговора. Уверите се да сви укључени имају одговарајуће информације у сваком тренутку за предузимање одговарајућих радњи.

Чекање да се догоди инцидент пре него што поједноставите комуникацију је ризично. Ако то унапред поставите, улићете поверење у ваш тим.

Поједностави

Безбедносни инцидент исцрпљује. Чланови вашег тима ће вероватно бити избезумљени, покушавајући да спасу ствар. Немојте им отежавати посао сложеним детаљима у вашем ИР плану.

Нека буде што је могуће једноставније.

Иако желите да информације у вашем плану буду лако разумљиве и извршне, немојте их залијевати претјераном генерализацијом. Креирајте посебне процедуре о томе шта чланови тима треба да раде.

Направите уџбенике за одговор на инцидент

Прилагођени план је ефикаснији од општег плана. Да бисте постигли боље резултате, потребно је да направите ИР књигу за решавање различитих врста безбедносних инцидената.

Књига приручника даје вашем тиму за одговор корак-по-корак водич о томе како темељно управљати одређеном сајбер претњом, уместо да само додирује површину.

Тестирајте план

Најефикаснији план одговора на увлачење је онај који се стално тестира и сертификује као ефикасан.

Не правите план и заборавите на њега. Повремено изводите безбедносне вежбе како бисте идентификовали рупе које сајбер нападачи могу искористити.

Усвајање проактивног приступа безбедности

Цибер нападачи узимају појединце и организације несвесне. Нико се ујутро не буди, очекујући хаковање њихове мреже. Иако можда не желите безбедносни инцидент на себи, постоји могућност да се то догоди.

Најмање што можете учинити је да будете проактивни тако што ћете израдити план одговора на инцидент у случају да нападачи кибернетике одлуче циљати вашу мрежу.

Шта је цибер изнуда и како је можете спречити?

Цибер изнуђивање представља значајну претњу вашој безбедности на мрежи. Али шта је то тачно и како можете осигурати да нисте жртва?

Прочитајте следеће

О аутору