‘N Inleiding tot die bestuur van Cyber ​​Security-insidentrespons en beste praktyke

Aangesien kuberaanvalle steeds in volume, diversiteit en gesofistikeerdheid toeneem, moet organisasies, benewens die meer ontwrigtende en beskadigende, bereid wees om dit effektief te hanteer.


Benewens die implementering van effektiewe veiligheidsoplossings en -praktyke, benodig hulle die vermoë om aanvalle vinnig te identifiseer en aan te spreek, en sodoende minimale skade, ontwrigting en koste te verseker.

Elke IT-stelsel is ‘n potensiële teiken van ‘n kuberaanval, en die meeste mense stem saam dat dit nie ‘n kwessie van of is nie, maar wanneer dit sal gebeur. Die impak wissel egter na gelang van hoe vinnig en effektief u die probleem aanpak, vandaar die behoefte aan voorbereidheid op die reaksie van voorvalle.

In ‘n reaksie op kuberveiligheid (IR) word verwys na ‘n reeks prosesse wat ‘n organisasie neem om ‘n aanval op sy IT-stelsels aan te spreek. Dit vereis ‘n kombinasie van die regte hardeware- en sagteware-instrumente, asook praktyke soos behoorlike beplanning, prosedures, opleiding en ondersteuning deur almal in die organisasie..

Beste praktyke voor, tydens en na veiligheidsvoorvalle

Wanneer ‘n kuberaanval plaasvind, kan veelvuldige aktiwiteite gelyktydig plaasvind, en dit kan duur wees as daar geen koördinasie of behoorlike prosedures vir die hantering van voorvalle is nie.

As u vooraf voorberei en ‘n duidelike en maklik verstaanbare voorvalplan en -beleid daarstel, kan die veiligheidspanne in harmonie werk. Dit stel hulle in staat om te fokus op die kritieke take wat die moontlike skade aan hul IT-stelsels, data en reputasie beperk, benewens onnodige onderbrekings in die besigheid te vermy.

Stel ‘n plan vir ‘n reaksie op die voorval op

‘N Plan vir die reaksie van voorvalle dokumenteer die stappe wat gevolg moet word in geval van ‘n aanval of enige ander veiligheidskwessie. Alhoewel werklike stappe volgens die omgewing kan verskil, sal ‘n tipiese proses, gebaseer op die raamwerk van SANS (SysAdmin, Oudit, Netwerk en Veiligheid), die voorbereiding, identifikasie, inperking, uitskakeling, herstel, kennisgewing van die voorval en ‘n post- voorval hersiening.

insident reaksieProsesvloei op voorvalrespons (gebaseer op NIST-sjabloon) Beeld NIST

Die voorbereiding sluit in die ontwikkeling van ‘n plan met toepaslike inligting en die werklike prosedures wat die rekenaar-insident-span (CIRT) sal volg om die voorval aan te spreek..

Dit sluit in:

  • Spesifieke spanne en individue wat verantwoordelik is vir elke stap in die proses van reaksie op die voorval.
  • Definieer wat ‘n voorval uitmaak, insluitend wat regverdig watter tipe reaksie.
  • Kritiese data en stelsels wat meer beskerming en beveiliging benodig.
  • ‘N Manier om die geaffekteerde toestande van geaffekteerde stelsels vir forensiese doeleindes te bewaar.
  • Prosedures om te bepaal wanneer en wie om in kennis te stel oor ‘n veiligheidskwessie. As ‘n voorval plaasvind, kan dit nodig wees om die betrokke gebruikers, kliënte, personeelwetstoepassers, ens. In te lig, maar dit sal verskil van een sektor tot ‘n ander.

‘N Plan vir insidentrespons moet maklik wees om te verstaan ​​en te implementeer, sowel as in lyn met ander planne en organisasiebeleide. Die strategie en benadering kan egter verskil in verskillende industrieë, spanne, dreigemente en moontlike skadevergoeding. Gereelde toetsing en opdaterings verseker dat die plan geldig en effektief is.

Insidentreaksie stappe wanneer ‘n kuberaanval plaasvind

Sodra daar ‘n veiligheidsvoorval is, moet die spanne vinnig en doeltreffend optree om dit in te sluit en te voorkom dat dit na skoon stelsels versprei. Die volgende is die beste praktyke vir die hantering van veiligheidskwessies. Dit kan egter verskil volgens die omgewing en struktuur van ‘n organisasie.

Stel ‘n reaksie-span bymekaar vir die rekenaar-insident

Sorg dat die multi-dissipline interne of uitgekontrakteerde CIRT-span die regte mense het met die regte vaardighede en ervaring. Kies ‘n spanleier wat die fokuspunt sal wees om rigting te gee en te verseker dat die reaksie volgens plan en tydlyne verloop. Die leier sal ook hand aan hand met die bestuur werk en veral as daar belangrike besluite oor die bedrywighede moet geneem word.

Identifiseer die voorval en bepaal die soort en bron van die aanval

As daar tekens van ‘n bedreiging is, moet die IR-span vinnig optree om te verifieer of dit inderdaad ‘n veiligheidskwessie is, hetsy intern of ekstern, terwyl hulle sorg dat hulle dit so vinnig as moontlik bevat. Tipiese maniere om vas te stel wanneer daar ‘n probleem is, is die volgende:

  • Waarskuwings van veiligheidsmoniteringsinstrumente, foute binne die stelsels, ongewone gedrag, onverwagte of ongewone lêerveranderings, kopiëring of aflaai, ens.
  • Rapportering deur gebruikers, netwerk- of stelseladministrateurs, sekuriteitspersoneel, of eksterne derdeparty-vennote of kliënte.
  • Ouditlogboeke met tekens van ongewone gedrag van gebruikers of stelsels, soos veelvuldige mislukte aanmeldpogings, groot lêer-aflaaie, hoë geheuegebruik en ander afwykings.

Outomatiese waarskuwing van Varonis se veiligheidsvoorvalOutomatiese waarskuwing van Varonis-veiligheidsvoorval – Beeld Varonis 

Evalueer en ontleed die impak van die aanval

Die skade wat ‘n aanval veroorsaak, wissel na gelang van die tipe, doeltreffendheid van die veiligheidsoplossing en die spoed waarop die span reageer. Dit is meestal nie moontlik om die omvang van die skade te sien voordat die probleem heeltemal opgelos is nie. Die ontleding moet bepaal watter soort aanval, die impak daarvan en die dienste wat dit kon beïnvloed het.

Dit is ook goeie praktyk om na die spore te soek wat die aanvaller kon agterlaat en die inligting te versamel wat sal help om die tydlyn van aktiwiteite te bepaal. Dit behels die ontleding van al die komponente van die geaffekteerde stelsels, die opneem van relevante forensici en die bepaling van wat in elke stadium kon gebeur het..

Afhangend van die omvang van die aanval en die bevindings, kan dit nodig wees om die voorkoms na die betrokke span te verhoog.

Bevalling, uitskakeling van bedreigings en herstel

Die insluiting fase sluit in dat die aanval versprei word, asook om die stelsels na die aanvanklike werkingstatus te herstel. Die ideaal is dat die CIRT-span die bedreiging en die oorsaak daarvan moet identifiseer, al die bedreigings moet verwyder deur gekompromitteerde stelsels te blokkeer of te ontkoppel, die wanware of virus skoon te maak, kwaadwillige gebruikers te blokkeer en dienste te herstel..

Hulle moet ook die kwesbaarhede wat aanvallers uitgebuit het, bepaal en aanspreek om toekomstige voorvalle van dieselfde te voorkom. ‘N Tipiese inperking behels korttermyn- en langtermynmaatreëls asook ‘n rugsteun van die huidige status.

Voordat u ‘n skoon rugsteun herstel of die stelsels skoonmaak, is dit belangrik om ‘n afskrif van die status van die betrokke stelsels te hou. Dit is nodig om die huidige toestand te bewaar, wat nuttig kan wees in die geval van forensika. Sodra dit gerugsteun is, is die herstel van dienste wat ontwrig is, herstel. Spanne kan dit in twee fases bereik:

  • Kontroleer die stelsels en netwerkkomponent om seker te maak dat almal goed werk
  • Kontroleer al die komponente wat besmet of gekompromitteer is, en maak dit dan skoon of herstel om seker te maak dat dit nou veilig, skoon en in werking is..

Kennisgewing en verslagdoening

Die insidentespan doen die ontleding, reageer en rapporteer. Hulle moet die oorsaak van die voorval ondersoek, hul bevindings oor die impak dokumenteer, hoe hulle die probleem opgelos het, die herstelstrategie, terwyl die relevante inligting aan die bestuur, ander spanne, gebruikers en derdepartyverskaffers deurgegee is..

Kommunikasie met eksterne agentskappe en verskaffersKommunikasie met eksterne agentskappe en verskaffers NIST

As die oortreding sensitiewe gegewens raak wat kennisgewingsowerhede in kennis stel, moet die span dit inisieer en die vasgestelde prosedures in hul IT-beleid volg..

Gewoonlik lei die aanval tot diefstal, misbruik, korrupsie of ander ongemagtigde aktiwiteite op sensitiewe inligting soos vertroulike, persoonlike, privaat en besigheidsinligting. Om hierdie rede is dit noodsaaklik om diegene wat geraak word in te lig sodat hulle voorsorg kan tref en hul kritieke gegewens soos finansiële, persoonlike en ander vertroulike inligting kan beskerm..

As ‘n aanvaller byvoorbeeld daarin slaag om toegang tot gebruikersrekeninge te kry, moet die veiligheidspanne hulle in kennis stel en hulle vra om hul wagwoorde te verander.

Doen ‘n ondersoek na voorval

Die oplossing van ‘n voorval bied ook lesse wat geleer is, en spanne kan hul veiligheidsoplossing ontleed en die swak skakels aanspreek voorkom ‘n soortgelyke voorval in die toekomsSommige van die verbeterings sluit in om beter oplossings vir sekuriteit en monitering vir interne sowel as eksterne bedreigings te ontplooi, om die personeel en gebruikers te verlig oor veiligheidsbedreigings soos phishing, spam, malware, en ander wat hulle moet vermy..

Ander beskermingsmaatreëls is om die nuutste en effektiewe sekuriteitsinstrumente te gebruik, om die bedieners op te laai, alle kwesbaarhede op kliënt- en bedienerrekenaars aan te spreek, ens.

Gevallestudie van NIC Asia Bank in Nepal in Nepal

Onvoldoende opspoorvermoë of reaksie kan lei tot buitensporige skade en verliese. Een voorbeeld hiervan is die NIC Asia Bank van Nepal, wat ‘n bietjie geld verloor en verhaal het ná ‘n kompromis van die sakeproses in 2017. Aanvallers het die SWIFT gekompromitteer en geld van die bank op ‘n bedrieglike basis oorgedra na verskillende rekeninge in die Verenigde Koninkryk, Japan, Singapoer en die VSA..

Gelukkig het die owerhede die onwettige transaksies opgespoor, maar kon slegs ‘n fraksie van die gesteelde geld verhaal. Sou daar ‘n beter waarskuwingstelsel kon wees, sou die veiligheidspanne die voorval in ‘n vroeëre stadium opgespoor het, miskien voordat die aanvallers daarin geslaag het om die sakeproses-kompromie aan te gaan.

Omdat dit ‘n ingewikkelde veiligheidskwessie was waarby ander lande betrokke was, moes die bank die wetstoepassings- en ondersoekowerhede inlig. Die omvang was ook buite die interne reaksie-span van die bank en daarom was die teenwoordigheid van eksterne spanne van KPMG, die sentrale bank en andere.

Uit ‘n forensiese ondersoek deur eksterne spanne van hul sentrale bank is vasgestel dat die voorval moontlik te wyte was aan wanpraktyke wat kritieke stelsels blootgestel het.

Volgens ‘n verslag het die destydse ses operateurs die toegewyde SWIFT-stelselrekenaar gebruik vir ander onverwante take. Dit het moontlik die SWIFT-stelsel blootgelê, waardeur aanvallers dit in die gedrang kon bring. Na die voorval het die bank die ses werknemers na ander minder sensitiewe departemente oorgeplaas.

Lesse geleer: Die bank moes ‘n effektiewe monitering- en waarskuwingstelsel ingestel het, benewens die feit dat hy ‘n goeie bewustheid van die werknemers onder werknemers het en streng beleid handhaaf..

Afsluiting

‘N Goed beplande voorvalrespons, goeie span en toepaslike veiligheidsinstrumente en praktyke gee u organisasie die vermoë om vinnig op te tree en ‘n wye reeks veiligheidskwessies aan te spreek. Dit verminder die skade, onderbrekings in die diens, diefstal van data, verlies aan reputasie en moontlike aanspreeklikhede.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map