Введение в управление реагированием на инциденты кибербезопасности и лучшие практики

Поскольку кибератаки продолжают расти в объеме, разнообразии и сложности, помимо того, что они наносят более разрушительный и разрушительный характер, организации должны быть готовы к тому, чтобы эффективно противостоять им..


Помимо развертывания эффективных решений и методов обеспечения безопасности, им необходима способность быстро выявлять и устранять атаки, что обеспечивает минимальный ущерб, сбои и затраты..

Каждая ИТ-система является потенциальной целью кибератаки, и большинство людей согласны с тем, что дело не в том, если, а когда это произойдет. Однако влияние зависит от того, насколько быстро и эффективно вы решаете проблему, и, следовательно, требуется готовность к реагированию на инциденты..

Реакция на инцидент кибербезопасности (IR) относится к серии процессов, которые организация использует для противодействия атаке на свои ИТ-системы. Это требует сочетания правильного аппаратного и программного обеспечения, а также таких практик, как правильное планирование, процедуры, обучение и поддержка со стороны всех в организации..

Лучшие практики до, во время и после инцидентов безопасности

Когда происходит кибератака, несколько действий могут выполняться одновременно, и это может быть беспокойным, если нет координации или надлежащих процедур обработки инцидентов.

Однако предварительная подготовка и составление четкого и понятного плана и политик реагирования на инциденты позволяют группам безопасности работать в гармонии. Это позволяет им сосредоточиться на критических задачах, которые ограничивают потенциальный ущерб их ИТ-системам, данным и репутации, а также позволяют избежать ненужных перерывов в работе..

Подготовка плана реагирования на инцидент

План реагирования на инциденты документирует действия, которые необходимо предпринять в случае атаки или любой другой проблемы безопасности. Хотя фактические шаги могут различаться в зависимости от среды, типичный процесс, основанный на структуре SANS (SysAdmin, Audit, Network и Security), будет включать подготовку, идентификацию, локализацию, устранение, восстановление, уведомление об инциденте и после обзор инцидента.

реакция на инцидентПоток процесса реагирования на инциденты (на основе шаблона NIST) NIST

Подготовка включает в себя разработку плана с соответствующей информацией и фактическими процедурами, которые будут выполняться группой реагирования на компьютерные инциденты (CIRT) для устранения инцидента..

К ним относятся:

  • Конкретные команды и отдельные лица, которые отвечают за каждый этап процесса реагирования на инциденты.
  • Определяет, что представляет собой инцидент, включая то, что гарантирует, какой тип ответа.
  • Критические данные и системы, которые требуют большей защиты и защиты.
  • Способ сохранения затронутых состояний затронутых систем для криминалистических целей.
  • Процедуры, чтобы определить, когда и кого уведомлять о проблеме безопасности. Когда происходит инцидент, может потребоваться информировать затронутых пользователей, клиентов, сотрудников правоохранительных органов и т. Д., Но это будет отличаться в зависимости от отрасли и случая..

План реагирования на инциденты должен быть простым для понимания и реализации, а также соответствовать другим планам и политикам организации. Однако стратегия и подход могут различаться в разных отраслях, группах, угрозах и потенциальных убытках. Регулярное тестирование и обновления гарантируют, что план действителен и эффективен.

Шаги реагирования на инциденты, когда происходит кибератака

При возникновении инцидента безопасности команды должны действовать быстро и эффективно, чтобы сдержать его и предотвратить распространение на чистые системы. Ниже приведены рекомендации по решению проблем безопасности. Тем не менее, они могут различаться в зависимости от среды и структуры организации.

Соберите или задействуйте команду реагирования на компьютерные инциденты

Убедитесь, что в междисциплинарной команде CIRT внутри компании или на стороне есть подходящие люди, обладающие как необходимыми навыками, так и опытом. Из них выберите руководителя группы, который будет основным лицом, которое будет давать указания и обеспечивать реагирование в соответствии с планом и сроками. Лидер также будет работать рука об руку с руководством, особенно когда необходимо принять важные решения в отношении операций..

Определите инцидент и установите тип и источник атаки

При любых признаках угрозы IR-команда должна действовать быстро, чтобы проверить, действительно ли это проблема безопасности, внутренняя или внешняя, и при этом обеспечить ее максимально быстрое устранение. Типичные способы определения, когда существует проблема, включают, но не ограничиваются ими;

  • Оповещения от инструментов мониторинга безопасности, сбои в работе системы, необычное поведение, неожиданные или необычные изменения файлов, копирование или загрузка и т. Д.
  • Отчеты от пользователей, сетевых или системных администраторов, сотрудников службы безопасности или сторонних партнеров или клиентов.
  • Аудит журналов с признаками необычного поведения пользователя или системы, таких как множественные неудачные попытки входа в систему, загрузка больших файлов, высокое использование памяти и другие аномалии.

Автоматическое оповещение о происшествии в ВарониАвтоматическое оповещение об инциденте с безопасностью Varonis – Изображение VARONIS 

Оценить и проанализировать влияние атаки

Ущерб, наносимый атакой, варьируется в зависимости от его типа, эффективности решения безопасности и скорости, с которой команда реагирует. Чаще всего невозможно увидеть степень ущерба, пока не будет полностью решена проблема. Анализ должен выяснить тип атаки, ее влияние и сервисы, на которые он мог повлиять.

Хорошей практикой также является поиск любых следов, которые мог оставить злоумышленник, и сбор информации, которая поможет определить график действий. Это включает в себя анализ всех компонентов затронутых систем, сбор информации, имеющей отношение к судебной экспертизе, и определение того, что могло произойти на каждом этапе.

В зависимости от степени атаки и результатов может потребоваться повысить уровень заболеваемости для соответствующей команды..

Сдерживание, устранение угроз и восстановление

Фаза сдерживания включает в себя блокирование атаки от распространения, а также восстановление систем до первоначального рабочего состояния. В идеале команда CIRT должна определить угрозу и основную причину, устранить все угрозы, заблокировав или отключив скомпрометированные системы, очистив вредоносное ПО или вирус, заблокировав злоумышленников и восстановив службы..

Они также должны установить и устранить уязвимости, которые использовали злоумышленники для предотвращения их появления в будущем. Типичное сдерживание включает краткосрочные и долгосрочные меры, а также резервное копирование текущего состояния.

Перед восстановлением чистой резервной копии или очистки систем важно сохранить копию состояния уязвимых систем. Это необходимо для сохранения текущего состояния, что может быть полезно, когда дело доходит до криминалистики. После резервного копирования следующим шагом будет восстановление прерванных сервисов. Команды могут достичь этого в два этапа:

  • Проверьте системы и сетевой компонент, чтобы убедиться, что все работают правильно
  • Проверьте все компоненты, которые были заражены или скомпрометированы, а затем очищены или восстановлены, чтобы убедиться, что они теперь безопасны, чисты и работоспособны..

Уведомление и отчетность

Команда реагирования на заболеваемость выполняет анализ, реагирует и сообщает. Им необходимо изучить основную причину инцидента, документировать свои выводы о влиянии, как они решили проблему, стратегию восстановления при передаче соответствующей информации руководству, другим командам, пользователям и сторонним поставщикам..

Связь с внешними агентствами и провайдерамиСвязь с внешними агентствами и провайдерами Image NIST

Если нарушение затрагивает конфиденциальные данные, которые требуют уведомления правоохранительных органов, группа должна инициировать это и следовать установленным процедурам в своей политике ИТ.

Обычно атака приводит к краже, неправомерному использованию, повреждению или другой несанкционированной деятельности с конфиденциальными данными, такими как конфиденциальная, личная, личная и деловая информация. По этой причине важно информировать пострадавших, чтобы они могли принять меры предосторожности и защитить свои важные данные, такие как финансовая, личная и другая конфиденциальная информация..

Например, если злоумышленнику удастся получить доступ к учетным записям пользователей, группы безопасности должны уведомить их и попросить изменить их пароли..

Провести обзор после инцидента

Устранение инцидента также предлагает извлеченные уроки, и группы могут проанализировать свои решения в области безопасности и устранить слабые связи с предотвратить аналогичный инцидент в будущемНекоторые из улучшений включают развертывание более совершенных решений для обеспечения безопасности и мониторинга как внутренних, так и внешних угроз, информирование персонала и пользователей об угрозах безопасности, таких как фишинг, спам, вредоносное ПО и другие, которых следует избегать..

Другими мерами защиты являются использование новейших и эффективных средств безопасности, исправление серверов, устранение всех уязвимостей на клиентских и серверных компьютерах и т. Д..

Непал NIC Азиатский банк, тематическое исследование по реагированию на инциденты

Неадекватные возможности обнаружения или реагирования могут привести к чрезмерному ущербу и потерям. Одним из примеров является случай с Азиатским банком NIC Непала, который потерял и вернул часть денег после компрометации бизнес-процесса в 2017 году. Злоумышленники взломали SWIFT и обманным путем перевели средства из банка на различные счета в Великобритании, Японии, Сингапуре и США..

К счастью, власти обнаружили незаконные сделки, но сумели вернуть только часть украденных денег. Если бы существовала лучшая система оповещения, группы безопасности могли бы обнаружить инцидент на более ранней стадии, возможно, до того, как злоумышленникам удастся скомпрометировать бизнес-процесс..

Поскольку это была сложная проблема безопасности, затрагивающая другие страны, банк должен был сообщить об этом в правоохранительные и следственные органы. Кроме того, сфера охвата выходила за пределы внутренней группы реагирования банка на инциденты и, следовательно, присутствия внешних групп из КПМГ, центрального банка и других.

Судебно-медицинская экспертиза внешних групп из их центрального банка установила, что инцидент мог быть связан с неправомерным обращением инсайдеров, которое выявило критические системы.

Согласно сообщению, тогдашние шесть операторов использовали выделенный компьютер системы SWIFT для других не связанных задач. Это могло разоблачить систему SWIFT, что позволило злоумышленникам скомпрометировать ее. После инцидента банк перевел шесть сотрудников в другие, менее чувствительные отделы..

Уроки выученыБанк должен был развернуть эффективную систему мониторинга и оповещения в дополнение к созданию надлежащей осведомленности о безопасности среди сотрудников и соблюдению строгих политик.

Вывод

Тщательно спланированное реагирование на инциденты, хорошая команда и соответствующие инструменты и методы обеспечения безопасности дают вашей организации возможность действовать быстро и решать широкий спектр проблем безопасности. Это уменьшает ущерб, сбои в обслуживании, кражу данных, потерю репутации и потенциальные обязательства.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map