O introducere a managementului răspunsului la incidente de securitate cibernetică și a celor mai bune practici

Deoarece atacurile cibernetice continuă să crească în volum, diversitate și sofisticare, pe lângă faptul că sunt mai perturbatoare și dăunătoare, organizațiile trebuie să fie pregătite să le gestioneze eficient.


Pe lângă implementarea de soluții și practici de securitate eficiente, acestea au nevoie de capacitatea de a identifica și aborda rapid atacurile, asigurând astfel daune, perturbări și costuri minime..

Fiecare sistem informatic este o potențială țintă a unui atac cibernetic și majoritatea oamenilor sunt de acord că nu este o problemă dacă, ci când se va întâmpla. Cu toate acestea, impactul variază în funcție de cât de rapid și eficient abordați problema, de unde este nevoie de pregătirea pentru răspunsul la incidente.

Un răspuns la incidente de securitate cibernetică (IR) se referă la o serie de procese pe care o organizație le face pentru a aborda un atac asupra sistemelor sale informatice. Acest lucru necesită o combinație de instrumente hardware și software potrivite, precum și practici precum planificarea adecvată, procedurile, instruirea și sprijinul tuturor celor din organizație.

Cele mai bune practici înainte, în timpul și după incidentele de securitate

Când are loc un atac cibernetic, mai multe activități pot avea loc simultan, iar acest lucru poate fi agitat atunci când nu există coordonări sau proceduri adecvate de manipulare a incidentelor.

Cu toate acestea, pregătirea în prealabil și instituirea unui plan și a unor politici și răspunsuri clare și ușor de înțeles la incidente permit echipelor de securitate să lucreze în armonie. Acest lucru le permite să se concentreze asupra sarcinilor critice care limitează daunele potențiale ale sistemelor IT, datelor și reputației lor, pe lângă evitarea întreruperilor inutile ale afacerii.

Pregătirea unui plan de răspuns la incidente

Un plan de răspuns la incident documentează pașii de urmat în caz de atac sau orice altă problemă de securitate. Deși pașii efectivi pot varia în funcție de mediu, un proces tipic, bazat pe cadrul SANS (SysAdmin, Audit, rețea și securitate), va include pregătirea, identificarea, contenția, eliminarea, recuperarea, notificarea incidentului și o postare revizuirea incidentelor.

răspuns la incidentFluxul procesului de răspuns incident (bazat pe șablonul NIST) Imagine NIST

Pregătirea include elaborarea unui plan cu informații relevante și procedurile reale pe care le va urma echipa de răspuns la incidente computerizate (CIRT) pentru a aborda incidentul..

Acestea includ:

  • Echipe specifice și persoane care sunt responsabile pentru fiecare etapă a procesului de răspuns la incident.
  • Definește ce constituie un incident, inclusiv ceea ce garantează ce tip de răspuns.
  • Date și sisteme critice care necesită mai multă protecție și protecție.
  • O modalitate de a păstra stările afectate ale sistemelor afectate în scop criminalistic.
  • Proceduri pentru a determina când și cui să notifice despre o problemă de securitate. Când are loc un incident, poate fi necesar să se informeze utilizatorii, clienții, oamenii legii, etc., dar acest lucru va diferi de la o industrie și la un caz la altul..

Un plan de răspuns la incidente trebuie să fie ușor de înțeles și de implementat, precum și de aliniat la alte planuri și politici de organizare. Cu toate acestea, strategia și abordarea pot diferi în diferite industrii, echipe, amenințări și daune potențiale. Testările și actualizările periodice asigură că planul este valid și eficient.

Pași de răspuns incident când are loc un atac cibernetic

Odată ce există un incident de securitate, echipele ar trebui să acționeze rapid și eficient pentru a-l conține și pentru a preveni răspândirea acestora în sisteme curate. Următoarele sunt cele mai bune practici atunci când abordăm probleme de securitate. Cu toate acestea, acestea pot diferi în funcție de mediul și structura unei organizații.

Asamblați sau angajați echipa de răspuns la incidente pe computer

Asigurați-vă că echipa CIRT multidisciplinară internă sau externalizată are oamenii potriviți, atât cu abilități cât și experiență potrivite. Dintre acestea, selectați un lider de echipă care va fi persoana focală pentru a da direcție și pentru a vă asigura că răspunsul va merge conform planului și calendarului. Liderul va lucra de asemenea mână în mână cu conducerea și mai ales atunci când există decizii importante de luat în ceea ce privește operațiunile.

Identificați incidentul și stabiliți tipul și sursa atacului

În urma oricăror semne de amenințare, echipa IR ar trebui să acționeze rapid pentru a verifica dacă este într-adevăr o problemă de securitate, internă sau externă, asigurând în același timp că aceasta o conține cât mai rapid. Modalitățile tipice de a determina când există o problemă includ, dar fără a se limita la;

  • Alerte de la instrumentele de monitorizare a securității, defecțiuni în sistem, comportamente neobișnuite, modificări neașteptate sau neobișnuite de fișiere, copiere sau descărcări, etc.
  • Raportarea de către utilizatori, administratorii de rețea sau sistem, personalul de securitate sau parteneri terți sau clienți externi.
  • Jurnalele de audit cu semne de comportament neobișnuit ale utilizatorului sau ale sistemelor, cum ar fi încercări de autentificare eșuate multiple, descărcări mari de fișiere, utilizare de memorie ridicată și alte anomalii.

Alertă automată pentru incident de securitate VaronisAlertă automată incident de securitate Varonis – Image Varonis 

Evaluează și analizează impactul atacului

Daunele cauzate de un atac variază în funcție de tipul acesteia, de eficacitatea soluției de securitate și de viteza cu care reacționează echipa. Cel mai adesea, nu este posibil să se vadă amploarea daunelor decât după rezolvarea completă a problemei. Analiza ar trebui să afle tipul de atac, impactul acestuia și serviciile pe care le-ar fi putut afecta.

De asemenea, este o bună practică să căutați orice urme pe care atacatorul le-ar fi putut lăsa și să strângeți informațiile care vor ajuta la determinarea cronologiei activităților. Aceasta implică analiza tuturor componentelor sistemelor afectate, captarea relevantă pentru criminalistică și determinarea a ceea ce s-ar fi putut întâmpla în fiecare etapă.

În funcție de amploarea atacului și a constatărilor, poate fi necesară escaladarea incidenței la echipa relevantă.

Reținerea, eliminarea amenințărilor și recuperarea

Faza de izolare include blocarea răspândirii atacului, precum și restabilirea sistemelor la starea inițială de operare. În mod ideal, echipa CIRT ar trebui să identifice amenințarea și cauza rădăcină, să înlăture toate amenințările prin blocarea sau deconectarea sistemelor compromise, curățarea malware sau virusului, blocarea utilizatorilor rău intenționate și restabilirea serviciilor.

De asemenea, ar trebui să stabilească și să abordeze vulnerabilitățile pe care atacatorii le-au exploatat pentru a preveni aparițiile viitoare ale acestora. O reținere tipică implică măsuri pe termen scurt și lung, precum și o copie de rezervă a stării actuale.

Înainte de a restaura o copie de rezervă curată sau de a curăța sistemele, este important să păstrați o copie a stării sistemelor afectate. Acest lucru este necesar pentru a păstra starea actuală, care poate fi utilă atunci când vine vorba de medici juridici. Odată salvat, următorul pas este restabilirea serviciilor perturbate. Echipele pot realiza acest lucru în două faze:

  • Verificați sistemele și componenta de rețea pentru a verifica dacă toate funcționează corect
  • Verificați din nou toate componentele care au fost infectate sau compromise și apoi curățate sau restaurate pentru a vă asigura că acum sunt sigure, curate și funcționale..

Notificare și raportare

Echipa de răspuns la incidență analizează, răspunde și raportează. Aceștia trebuie să exploreze cauza principală a incidentului, să documenteze constatările impactului, modul în care au rezolvat problema, strategia de recuperare în timp ce transmit informațiile relevante către conducere, alte echipe, utilizatori și furnizori terți..

Comunicări cu agenții și furnizori externiComunicări cu agenții și furnizori externi Image NIST

Dacă încălcarea atinge date sensibile care necesită notificarea autorităților de aplicare a legii, echipa ar trebui să inițieze acest lucru și să urmeze procedurile stabilite în politica lor IT.

De obicei, un atac are ca rezultat furt, utilizare greșită, corupție sau altă activitate neautorizată pe date sensibile, cum ar fi informații confidențiale, personale, private și de afaceri. Din acest motiv, este esențial să îi informăm pe cei afectați pentru a putea lua măsuri de precauție și a-și proteja datele critice, cum ar fi informațiile financiare, personale și alte informații confidențiale.

De exemplu, dacă un atacator reușește să acceseze conturile utilizatorilor, echipele de securitate ar trebui să le anunțe și să le solicite să își schimbe parolele.

Efectuați o examinare post-incident

Rezolvarea unui incident oferă, de asemenea, lecții învățate, iar echipele își pot analiza soluția de securitate și se pot adresa legăturile slabe la preveni un incident similar în viitorUnele dintre îmbunătățiri includ implementarea de soluții de securitate și monitorizare mai bune atât pentru amenințări interne, cât și externe, iluminarea personalului și a utilizatorilor cu privire la amenințările de securitate precum phishing, spam, malware și altele pe care ar trebui să le evite.

Alte măsuri de protecție sunt cele mai recente și eficiente instrumente de securitate, corecția serverelor, abordarea tuturor vulnerabilităților de pe computerele client și server, etc..

Studiul de caz privind răspunsul la incidente din NIC Asia Bank din Nepal

Capacitatea sau răspunsul inadecvat de detectare poate duce la pierderi și pierderi excesive. Un exemplu este cazul NIC Asia Bank din Nepal, care a pierdut și a recuperat ceva bani după un compromis al procesului de afaceri din 2017. Atacatorii au compromis SWIFT și au transferat în mod fraudulos fonduri de la bancă în diverse conturi din Marea Britanie, Japonia, Singapore și SUA.

Din fericire, autoritățile au detectat tranzacțiile ilegale, dar au reușit doar să recupereze o parte din banii sustrase. Ar fi putut exista un sistem de alertă mai bun, echipele de securitate ar fi detectat incidentul într-o etapă anterioară, poate înainte ca atacatorii să reușească compromisul procesului de afaceri..

Deoarece aceasta a fost o problemă de securitate complexă implicată și în alte țări, banca a trebuit să informeze autoritățile de ordine și investigarea. De asemenea, domeniul de aplicare a fost dincolo de echipa internă de reacție la incidente a băncii și, prin urmare, prezența unor echipe externe de la KPMG, banca centrală și altele.

O anchetă medico-legală realizată de echipe externe de la banca centrală a stabilit că incidentul ar fi putut provoca din malpraxis-uri privilegiate care expuneau sistemele critice.

Conform unui raport, cei șase operatori de atunci au folosit computerul de sistem SWIFT dedicat pentru alte activități care nu au legătură. Este posibil să fi expus sistemul SWIFT, permițând astfel atacatorilor să-l compromită. După incident, banca a transferat cei șase angajați către alte departamente mai puțin sensibile.

Lecții învățate: Banca ar fi trebuit să implementeze un sistem eficient de monitorizare și alertare, pe lângă crearea de conștientizare adecvată a securității în rândul angajaților și aplicarea politicilor stricte.

Concluzie

Un răspuns bine planificat la incident, o echipă bună și instrumente și practici de securitate relevante oferă organizației dvs. capacitatea de a acționa rapid și de a aborda o gamă largă de probleme de securitate. Aceasta reduce daunele, întreruperile serviciului, furtul de date, pierderea reputației și potențialele obligații.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map