A kiberbiztonsági események kezelésének és a bevált gyakorlatoknak a bevezetése

Mivel a számítógépes támadások mennyisége, sokszínűsége és kifinomultsága tovább növekszik, a szervezeteknek fel kell készülniük arra, hogy hatékonyabban kezeljék azokat a pusztító és pusztító pusztításokon túlmenően..


A hatékony biztonsági megoldások és gyakorlatok bevezetése mellett képességekre is szükségük van a támadások gyors azonosításában és kezelésében, ezáltal biztosítva a minimális károkat, zavarokat és költségeket..

Minden informatikai rendszer a számítógépes támadás potenciális célpontja, és a legtöbb ember egyetért azzal, hogy nem az a kérdés, hogy mikor, hanem mikor fog megtörténni. A hatás azonban attól függ, hogy milyen gyorsan és hatékonyan kezeli a kérdést, ezért szükség van az eseményekre való felkészültségre.

A kiberbiztonsági eseményre adott válasz (IR) olyan folyamatsorozatra utal, amelyet a szervezet az informatikai rendszerei elleni támadás kezelésére alkalmaz. Ez megköveteli a megfelelő hardver és szoftver eszközök kombinációját, valamint olyan gyakorlatokat, mint a megfelelő tervezés, eljárások, képzés és a szervezet mindenki számára nyújtott támogatás..

A bevált gyakorlatok a biztonsági események előtt, alatt és után

Kibernetikus támadás esetén több tevékenységre is sor kerülhet egyszerre, és ez hektikus lehet, ha nincs koordináció vagy megfelelő eseménykezelési eljárás..

Azonban az elõzetes elõkészítés, valamint az egyértelmû és könnyen érthetõ eseményekre való reagálási terv és politikák kidolgozása lehetõvé teszi a biztonsági csapatok számára a harmonikus mûködést. Ez lehetővé teszi számukra a kritikus feladatokra való összpontosítást, amelyek korlátozzák informatikai rendszereik, adataik és hírneveik esetleges károsodását, a szükségtelen üzleti megszakítások elkerülése mellett..

Incidens-elhárítási terv elkészítése

Az eseményekre való reagálási terv dokumentálja a támadás vagy egyéb biztonsági kérdés esetén követendő lépéseket. Bár a tényleges lépések a környezettől függően változhatnak, a SANS (SysAdmin, Audit, Network and Security) keretén alapuló tipikus folyamat magában foglalja az előkészítést, azonosítást, elszigetelést, megszüntetést, helyreállítást, az esemény bejelentését és egy esemény áttekintése.

eseményre adott válaszIncidens-reakció folyamata (NIST sablon alapján) Kép NIST

Az előkészítés magában foglalja egy releváns információkkal rendelkező terv kidolgozását és a tényleges eljárásokat, amelyeket a számítógépes eseményekre reagáló csoport (CIRT) követ az esemény rendezése érdekében..

Ezek tartalmazzák:

  • Különleges csapatok és egyének, akik felelősek az eseményhelyzeti reakció minden lépéséért.
  • Meghatározza, hogy mi képezi az eseményt, beleértve azt is, hogy mi indokolja milyen típusú válaszlépést.
  • Kritikus adatok és rendszerek, amelyek további védelmet és védelmet igényelnek.
  • Az érintett rendszerek állapotának kriminalisztikai célú megőrzésének módja.
  • Eljárások annak meghatározására, hogy mikor és kinek kell értesülni egy biztonsági kérdésről. Ha esemény bekövetkezik, akkor lehet, hogy tájékoztatni kell az érintett felhasználókat, ügyfeleket, a személyzeti rendészeti végrehajtókat stb., De ez ágazatokonként és ágazatonként eltérő lehet..

Az eseményekre való reagálási tervnek könnyen érthetőnek és végrehajthatónak kell lennie, valamint összhangban kell állnia más tervekkel és szervezeti politikákkal. A stratégia és a megközelítés azonban eltérő lehet az iparágakban, csoportokban, fenyegetésekben és a lehetséges károkban. A rendszeres tesztelés és frissítések biztosítják a terv érvényességét és eredményességét.

Az eseményre adott válaszlépések számítógépes támadás esetén

A biztonsági esemény bekövetkeztével a csapatoknak gyorsan és hatékonyan kell cselekedniük annak megakadályozása és megakadályozása érdekében, hogy a tiszta rendszerekbe terjedjenek. Az alábbiakban olvashatjuk a legjobb gyakorlatokat a biztonsági kérdések kezelésekor. Ezek azonban a szervezet környezetétől és szerkezetétől függően eltérhetnek.

Helyezze össze vagy vegye be a számítógépes eseményekre reagáló csoportot

Gondoskodjon arról, hogy a multidiszciplináris házon belüli vagy kiszervezett CIRT-csapatban megfelelő emberek legyenek, mind a megfelelő készségekkel, mind tapasztalattal. Ezek közül válassza ki a csoportvezetőt, aki lesz a fókuszpontú személy, aki iránymutatást ad és biztosítja, hogy a válasz a terv és az ütemtervek szerint történjen. A vezető szintén kéz a kézben fog működni a vezetéssel, és különösen akkor, ha fontos döntéseket kell hozni a műveletekkel kapcsolatban.

Azonosítsa az eseményt, és határozza meg a támadás típusát és forrását

A fenyegetés bármilyen jele esetén az IR-csapatnak gyorsan kell cselekednie annak ellenőrzésére, hogy ez valóban biztonsági kérdés, akár belső, akár külső -, miközben gondoskodni kell arról, hogy a lehető leggyorsabban felszámolja azt. A probléma meghatározásának tipikus módjai a következők:

  • Riasztások a biztonsági megfigyelő eszközökről, a rendszeren belüli működési zavarok, szokatlan viselkedés, váratlan vagy szokatlan fájlmódosítás, másolás vagy letöltés stb.
  • A felhasználók, a hálózati vagy rendszergazdák, a biztonsági személyzet vagy a külső külső partnerek vagy ügyfelek jelentései.
  • Ellenőrizze a naplókat a szokatlan felhasználói vagy rendszer viselkedés jeleivel, például többszörös sikertelen bejelentkezési kísérletekkel, nagyméretű fájlletöltéssel, nagy memóriafelhasználással és egyéb rendellenességekkel.

Varonis biztonsági esemény automatikus riasztásaVaronis biztonsági esemény automatikus riasztása – kép Varonis 

Értékelje és elemezze a támadás hatását

A támadás által okozott károk típusától, a biztonsági megoldás hatékonyságától és a csapat reagálásának sebességétől függnek. Leggyakrabban csak a probléma teljes megoldása után lehet megfigyelni a kár mértékét. Az elemzésnek ki kell derítenie a támadás típusát, annak hatásait és az általuk befolyásolt szolgáltatásokat.

Az is jó gyakorlat, hogy minden olyan nyomot keressen, amelyet a támadó elhagyhatott, és összegyűjtse azokat az információkat, amelyek segítenek a tevékenységek ütemtervének meghatározásában. Ez magában foglalja az érintett rendszerek összes elemének elemzését, a kriminalisztikai szempontból releváns rögzítését és annak meghatározását, hogy mi történt az egyes szakaszokban.

A támadás mértékétől és a megállapításoktól függően előfordulhat, hogy az incidenciát az érintett csapat felé kell továbbvinni.

Megfékezés, fenyegetések kiküszöbölése és helyreállítás

A visszatartási szakasz magában foglalja a támadás terjedésének megakadályozását, valamint a rendszerek visszaállítását a kezdeti működési állapotba. Ideális esetben a CIRT csoportnak meg kell határoznia a fenyegetést és a kiváltó okot, el kell távolítania az összes fenyegetést a veszélyeztetett rendszerek blokkolásával vagy leválasztásával, a rosszindulatú programok vagy vírusok tisztításával, a rosszindulatú felhasználók blokkolásával és a szolgáltatások helyreállításával..

Meg kell határozniuk és meg kell vizsgálniuk azokat a sebezhetőségeket is, amelyeket a támadók kihasználtak annak megelőzése érdekében. A tipikus elszigetelés rövid és hosszú távú intézkedéseket, valamint az aktuális állapot biztonsági másolatát foglalja magában.

A tiszta biztonsági mentés helyreállítása vagy a rendszerek megtisztítása előtt fontos, hogy másolatot készítsen az érintett rendszerek állapotáról. Ez szükséges a jelenlegi állapot megőrzéséhez, ami hasznos lehet a kriminalisztika során. A biztonsági mentés után a következő lépés a megszakadt szolgáltatások helyreállítása. A csapatok ezt két szakaszban érhetik el:

  • Ellenőrizze a rendszereket és a hálózati összetevőket, hogy ellenőrizze, hogy az összes megfelelően működik
  • Vizsgálja meg újra az összes fertőzött vagy veszélyeztetett komponenst, majd tisztítsa meg vagy állítsa helyre, hogy megbizonyosodjon arról, hogy azok biztonságosak, tiszták és működőképesek-e..

Értesítés és jelentés

Az incidencia-reagáló csoport elvégzi az elemzést, a válaszadást és a jelentést. Fel kell tárniuk az esemény kiváltó okát, dokumentálniuk kell a következményeiket, a helyzet megoldását, a helyreállítási stratégiát, miközben a releváns információkat átadják a menedzsmentnek, más csapatoknak, felhasználóknak és harmadik fél szolgáltatóinak..

Kommunikáció külső ügynökségekkel és szolgáltatókkalKommunikáció külső ügynökségekkel és szolgáltatókkal NIST

Ha a jogsértés olyan érzékeny adatokat érint, amelyek megkövetelik a bűnüldöző hatóságok értesítését, a csoportnak kezdeményeznie kell ezt, és be kell tartania az informatikai politikájában megállapított eljárásokat..

A támadás általában érzékeny adatok, például bizalmas, személyes, magán- és üzleti információk lopását, visszaélését, korrupcióját vagy más jogosulatlan tevékenységet eredményez. Ezért elengedhetetlen az érintettek tájékoztatása, hogy óvintézkedéseket tegyenek és megvédjék kritikus adataikat, például pénzügyi, személyes és egyéb bizalmas információikat..

Például, ha a támadónak sikerül hozzáférni a felhasználói fiókokhoz, akkor a biztonsági csapatoknak értesíteniük kell őket és fel kell kérniük jelszavaik megváltoztatását.

Végezzen egy esemény utáni felülvizsgálatot

Az eset megoldása a megtanult tapasztalatokat is kínálja, és a csapatok megvizsgálhatják biztonsági megoldásukat, és megoldhatják a gyenge linkeket akadályozhatja meg a hasonló eseményt a jövőbenA fejlesztések közé tartozik a jobb biztonsági és figyelési megoldások telepítése mind a belső, mind a külső fenyegetésekre, a személyzet és a felhasználók felvilágosítása olyan biztonsági fenyegetésekre, mint az adathalászat, spam, rosszindulatú programok, és másoknak, amelyeket kerülniük kellene.

Egyéb védelmi intézkedések a legújabb és hatékony biztonsági eszközök futtatása, a kiszolgálók javítása, az ügyfelek és a kiszolgálók összes biztonsági résének kiküszöbölése stb..

Nepál NIC Asia Bank eseményekre adott esettanulmánya

A nem megfelelő észlelési képesség vagy reakció túlzott károkat és veszteségeket okozhat. Példa erre a nepáli NIC Asia Bank, amely egy üzleti folyamatról szóló kompromisszum után 2017-ben elveszített és behajtott pénzt. A támadók veszélybe sodorták a SWIFT-t, és csalárd módon átutalták a pénzt a bankból az Egyesült Királyságban, Japánban, Szingapúrban és az Egyesült Államokban található különféle számlákra..

Szerencsére a hatóságok felismerték az illegális tranzakciókat, de csak az ellopott pénz egy részét sikerült behajtani. Lehetne-e jobb riasztórendszer, a biztonsági csapatok már korábban észlelhetik volna az eseményt, talán még azelőtt, hogy a támadók sikerültek volna az üzleti folyamat kompromisszumára.

Mivel ez összetett biztonsági kérdés más országokat érint, a banknak tájékoztatnia kellett a rendészeti és nyomozó hatóságokat. Ezenkívül a hatókör túllépte a bank belső eseményekre reagáló csoportját, és így a KPMG, a központi bank és mások külső csapatainak jelenléte is..

A központi bankból származó külső csapatok kriminalisztikai vizsgálata során megállapították, hogy az eset valószínűleg bennfentes visszaélésekből származott, amelyek a kritikus rendszereket fedték fel.

A jelentés szerint az akkori hat operátor a különálló SWIFT rendszerű számítógépet használták más, egymással nem összefüggő feladatok elvégzésére. Ez valószínűleg felfedte a SWIFT rendszert, így lehetővé tette a támadók számára, hogy veszélyeztessék azt. Az esemény után a bank a hat alkalmazottat átvitte más kevésbé érzékeny osztályokba.

Tanulságok: A banknak hatékony felügyeleti és riasztási rendszert kellett volna telepítenie a megfelelő biztonsági tudatosság megteremtése mellett a munkavállalók körében és a szigorú irányelvek betartása mellett..

Következtetés

A jól megtervezett eseményekre való reagálás, a jó csapat és a releváns biztonsági eszközök és gyakorlatok lehetővé teszik a szervezet számára, hogy gyorsan cselekedjen és a biztonsági kérdések széles körével foglalkozzon. Ez csökkenti a károkat, a szolgáltatási zavarokat, az adatlopásokat, a jó hírnév elvesztését és a lehetséges kötelezettségeket.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map