Základné kroky v procese reakcie na incidenty kybernetickej bezpečnosti, ktorým musíte porozumieť

Vzhľadom na to, že súčasná situácia v oblasti bezpečnosti sietí vo všeobecnosti je čoraz komplikovanejšia, bezpečnosť systému sa stáva naliehavejšou ako kedykoľvek predtým, a to pre každého jednotlivca, podniky a dokonca aj inštitúcie. Najmä podniky sú obľúbeným cieľom kyberzločineckých aktivít kvôli povahe množstva údajov a informácií s mimoriadne vysokou ekonomickou hodnotou, ktoré spracúvajú a uchovávajú.

Dlho sme veľa hovorili o tom, ako ochrániť bezpečnosť dátového skladu, ako vybudovať efektívny systém vzdialenej obrany alebo vypracovať plány na zlepšenie a ochranu infraštruktúry.bezpečnosť a informačné siete na podnikovej úrovni primerane, ale niekedy zabúdame platiť venovanie pozornosti ďalšej nemenej dôležitej úlohe, ktorou je, ako „štandardne“ riešiť sieťový bezpečnostný incident, aby sa minimalizovali škody a vytvorili sa podmienky na vyšetrovanie a nápravu budúcich následkov.

• Nástroje kybernetickej bezpečnosti, ktoré by mal poznať každý podnik

Bezpečnosť systému sa stáva naliehavou vzhľadom na dnešnú nestabilnú situáciu v oblasti bezpečnosti siete

Stať sa obeťou kybernetických útokov nebolo nikdy príjemným „zážitkom“ ani pre veľké podniky kvôli obrovským finančným škodám, ktoré spôsobujú, takže ochrana na diaľku je nevyhnutná a musí mať vždy najvyššiu prioritu. V prípade, že k incidentu už došlo, je však ešte naliehavejšie, čo robiť ďalej, aby sa minimalizovali následky.

Jedna dôležitá vec na zapamätanie je, že implementácia krokov reakcie na incidenty by mala byť starostlivo naplánovaným procesom a nie izolovanou, „improvizovanou“ udalosťou. Aby bol proces reakcie na incidenty skutočne úspešný, organizácie a podniky by mali mať medzi úlohami dobre koordinovaný a efektívny prístup. Existuje 5 hlavných úloh (krokov) v reakcii na incidenty, aby sa zabezpečila efektívnosť.

• Čo je hĺbková kontrola paketov (DPI)? Ako to funguje a ako to funguje pri zabezpečení siete?

Ako minimalizovať následky je úlohou procesu reakcie na bezpečnostný incident siete

Akých je teda 5 základných krokov v procese reakcie na kybernetický bezpečnostný incident? Čoskoro to spolu zistíme.

5 základných krokov v procese reakcie na bezpečnostný incident

• Príprava a vyhodnotenie situácie
• Detekcia a hlásenie
• Analýza
• Zabrániť
• Rekonštrukcia po nehode

Príprava a vyhodnotenie situácie

Príprava je kľúčom k úspechu každého plánu

Kľúčom k vytvoreniu efektívneho procesu reakcie na kybernetický bezpečnostný incident je príprava a presné vyhodnotenie situácie. Niekedy ani tie najlepšie tímy odborníkov na kybernetickú bezpečnosť nedokážu efektívne zvládnuť situáciu bez riadneho vedenia alebo plánovania. Rovnako ako vo futbale, je nepravdepodobné, že by klub s hviezdami nabitým tímom mohol dosiahnuť úspech bez dobrého trénera, ktorý vie vymyslieť rozumnú taktiku a najmä efektívne sa navzájom prepojiť. výsledky hráčov na lúka. Nie je preto prehnané povedať, že „príprava“ je najdôležitejším krokom v celom procese reakcie na kybernetický bezpečnostný incident.

• Povedomie a skúsenosti – najdôležitejší faktor v každom procese zabezpečenia siete

Niektoré prvky, ktoré by mali byť zahrnuté do plánu pripravenosti alebo hodnotenia situácie po výskyte bezpečnostného incidentu, zahŕňajú:

• Vyhľadávajte, vyvíjajte a syntetizujte príslušné dokumenty, zásady a postupy riadenia reakcie na incidenty.
• Vytvorte komunikačný štandard, aby sa skupiny a jednotlivci v tíme reakcie na incident mohli navzájom hladko a presne koordinovať.
• Kombinujte informačné kanály o bezpečnostných hrozbách, vykonávajte nepretržitú analýzu a synchronizujte informačné kanály.
• Vyvíjajte, navrhujte a testujte mnohé riešenia na riešenie incidentov, aby ste dosiahli čo najaktívnejší a najoptimálnejší prístup.
• Posúďte súčasné schopnosti organizácie zisťovať hrozby a v prípade potreby požiadajte o pomoc z externých zdrojov.

Detekcia a hlásenie

Detekcia a hlásenie potenciálnych bezpečnostných hrozieb je ďalšou vecou, ​​ktorú treba urobiť po príprave a vyhodnotení situácie.

Druhým zo série nevyhnutných krokov v procese reakcie na kybernetický bezpečnostný incident je zisťovanie a nahlasovanie potenciálnych bezpečnostných hrozieb. Táto fáza zahŕňa niekoľko nasledujúcich faktorov:

Monitor

Firewally, IP systémy a nástroje na prevenciu straty údajov vám môžu pomôcť monitorovať každú bezpečnostnú udalosť, ktorá sa kedy v systéme vyskytla. Ide o mimoriadne potrebné údaje na analýzu, vyhodnotenie a predpovedanie situácie.

Zistiť

Bezpečnostné hrozby možno odhaliť koreláciou výstrah v riešení SIEM.

POZOR

Varovania a upozornenia na bezpečnostné incidenty často vytvára obranný systém od prvého vzniku incidentu až po prekonanie obranného systému. Tieto údaje by sa mali zaznamenať, potom agregovať a analyzovať, aby sa vytvoril plán klasifikácie incidentov – dôležitý faktor pri určovaní ďalších krokov.

správa

Všetky postupy podávania správ by mali zahŕňať spôsoby eskalácie situácií podľa predpisov.

• Endpoint Threat Detection and Response, nová bezpečnostná technológia

Analýza

Analýza pomáha pri získavaní potrebných vedomostí súvisiacich s hrozbou

Väčšinu pochopenia bezpečnostnej hrozby možno nájsť prostredníctvom analýzy krokov reakcie na incidenty. Dôkazy sa zhromažďujú z údajov poskytovaných nástrojmi v obrannom systéme, čo pomáha presne analyzovať a identifikovať incident.

Analytici bezpečnostných incidentov by sa mali zamerať na tieto tri kľúčové oblasti:

Analýza koncového bodu

• Hľadajte a zbierajte všetky stopy, ktoré po incidente mohol zanechať zlomyseľný herec.
• Zhromaždite všetky potrebné komponenty na opätovné vytvorenie časovej osi udalostí.
• Analyzujte systémy z pohľadu počítačovej forenznej medicíny.

Binárna analýza

Analyzujte všetky binárne údaje alebo škodlivé nástroje, o ktorých sa predpokladá, že ich používa útočník, a potom zaznamenajte všetky súvisiace údaje, najmä ich funkcie. Dá sa to urobiť pomocou behaviorálnej analýzy alebo statickej analýzy.

Analyzujte vnútorné systémy

• Preskúmajte celý systém a protokol udalostí, aby ste zistili, čo bolo napadnuté.
• Zdokumentujte všetky napadnuté účty, zariadenia, nástroje, programy atď., aby ste zabezpečili primeranú nápravu.

Zabrániť

Prevencia je jedným z najdôležitejších krokov v procese reakcie na bezpečnostný incident

Prevencia je štvrtým krokom v procese reakcie na kybernetický bezpečnostný incident a je tiež jedným z najdôležitejších faktorov: Lokalizácia, izolácia a neutralizácia hrozieb na základe všetkých stanovených ukazovateľov zhromaždených prostredníctvom procesu analýzy v treťom kroku. Po obnovení bude systém schopný opäť normálne fungovať.

Odpojte systémové pripojenie

Po identifikácii všetkých postihnutých miest by sa mali odpojiť, aby sa obmedzili možné ďalšie následky.

Čistenie a refaktorizácia

Po odpojení je potrebné vyčistiť všetky dotknuté zariadenia, po čom bude operačný systém na zariadení refaktorovaný (prestavený od začiatku). Okrem toho by sa mali úplne zmeniť aj heslá, ako aj autentifikačné údaje všetkých účtov, ktorých sa incident týka.

Požiadavky na zmiernenie hrozieb

Ak je zachytený názov domény alebo adresa IP identifikovaný a preukázané, že ho používajú záškodníci, mali by ste zaviesť požiadavky na zmiernenie hrozieb, aby ste zablokovali všetku budúcu komunikáciu medzi zariadeniami v systéme s týmito názvami domén a adresami IP.

• Čo je COBIT? Akú úlohu zohráva pre podniky?

Rekonštrukcia po nehode

Rekonštrukcia je posledným krokom v procese reakcie na bezpečnostný incident

Aj po úspešnom predchádzaní negatívnym dôsledkom incidentov v oblasti kybernetickej bezpečnosti je potrebné vykonať ešte veľa práce. Rekonštrukcia je posledným krokom v typickom procese reakcie na kybernetický bezpečnostný incident vrátane nasledujúcich základných požiadaviek:

• Vytvorte kompletnú správu o incidente, ktorá systematizuje všetky informácie získané o incidente, ako aj podrobne popisuje každý krok v procese nápravy.
• Dôsledne monitorujte výkon postihnutých zariadení a programov aj po ich návrate do normálnej prevádzky po incidente.
• Pravidelne aktualizujte informácie o hrozbách, aby ste sa vyhli podobným útokom.
• V neposlednom rade v krokoch reakcie na incidenty: výskum a implementácia nových preventívnych opatrení.

Efektívna stratégia kybernetickej bezpečnosti vyžaduje, aby podniky venovali pozornosť každej oblasti a aspektom, ktoré môžu útočníci zneužiť. Zároveň si to bude vyžadovať aj prítomnosť komplexných nástrojov a riešení na rýchle prekonanie všetkých následkov spôsobených incidentom, čím sa zabráni negatívnejším dôsledkom, ktoré môžu viesť ku globálnemu kolapsu.

Komplexná sada nástrojov na monitorovanie siete