Въведение в управлението на реакциите при инциденти в киберсигурността и най-добрите практики

Тъй като кибератаките продължават да нарастват по обем, разнообразие и сложност, освен че са по-разрушителни и вредни, организациите трябва да са готови да се справят с тях ефективно.


В допълнение към внедряването на ефективни решения и практики за сигурност, те се нуждаят от способността за бързо идентифициране и адресиране на атаки, следователно гарантиране на минимални щети, смущения и разходи.

Всяка ИТ система е потенциална цел на кибератака и повечето хора са съгласни, че не е въпрос на това дали, а кога ще се случи. Въздействието обаче варира в зависимост от това колко бързо и ефективно се справяте с проблема, следователно и необходимостта от готовност за реакция при инциденти.

Реакцията на инцидент с киберсигурност (IR) се отнася до поредица от процеси, които организацията предприема за справяне с атака срещу своите ИТ системи. Това изисква комбинация от правилните хардуерни и софтуерни инструменти, както и практики като правилно планиране, процедури, обучение и подкрепа от всички в организацията.

Най-добри практики преди, по време и след инциденти със сигурността

Когато се случи кибератака, могат да се извършват множество дейности едновременно и това може да бъде забързано, когато няма координация или правилни процедури за обработка на инциденти.

Въпреки това, подготовката предварително и създаването на ясен и лесен за разбиране план и политики за реагиране на инциденти позволяват на екипите за сигурност да работят в хармония. Това им позволява да се съсредоточат върху критичните задачи, които ограничават потенциалните щети върху техните ИТ системи, данни и репутация, в допълнение към избягване на ненужни прекъсвания в бизнеса..

Изготвяне на план за реагиране на инцидент

Планът за реакция на инцидент документира стъпките, които трябва да следвате в случай на атака или друг проблем със сигурността. Въпреки че действителните стъпки могат да варират в зависимост от средата, типичният процес, базиран на рамката на SANS (SysAdmin, одит, мрежа и сигурност), ще включва подготовка, идентификация, ограничаване, премахване, възстановяване, уведомяване за инцидента и след преглед на инцидента.

отговор на инцидентПроцес на реакция на инцидент (въз основа на NIST шаблон) Изображение NIST

Подготовката включва разработване на план с подходяща информация и действителните процедури, които екипът за реакция на компютърни инциденти (CIRT) ще следва за справяне с инцидента.

Те включват:

  • Специфични екипи и лица, които са отговорни за всяка стъпка от процеса на реагиране на инцидента.
  • Дефинира какво представлява инцидент, включително какво гарантира какъв тип реакция.
  • Критични данни и системи, които изискват повече защита и защита.
  • Начин за запазване на засегнатите състояния на засегнатите системи за криминалистични цели.
  • Процедури за определяне кога и кого да се уведомява за проблем със сигурността. Когато се случи инцидент, може да се наложи да информирате засегнатите потребители, клиенти, служители на реда и т.н., но това ще се различава от различните отрасли и случаи до други..

Планът за реагиране на инциденти трябва да бъде лесен за разбиране и изпълнение, както и да се приведе в съответствие с други планове и политики на организацията. Стратегията и подходът обаче могат да се различават в различните отрасли, екипи, заплахи и потенциални щети. Редовните тестове и актуализации гарантират, че планът е валиден и ефективен.

Стъпки за реакция при инцидент, когато се случи кибератака

След като има инцидент със сигурността, екипите трябва да действат бързо и ефективно, за да го овладеят и да предотвратят разпространението му към чисти системи. Следните са най-добрите практики при адресиране на проблеми със сигурността. Те обаче могат да се различават в зависимост от средата и структурата на организацията.

Сглобете или включете екипа за реагиране на компютърни инциденти

Уверете се, че вътрешният или аутсорсиран екип на CIRT с много дисциплини има подходящи хора както с правилните умения, така и с опита. От тях изберете ръководител на екипа, който ще бъде водещият човек, който ще даде насока и гарантира, че отговорът ще бъде според плана и сроковете. Лидерът също така ще работи ръка за ръка с ръководството и особено когато има важни решения, които трябва да се вземат по отношение на операциите.

Определете инцидента и установете типа и източника на нападението

При всякакви признаци на заплаха, екипът на IR трябва да действа бързо, за да провери дали това наистина е проблем за сигурността, дали е вътрешен или външен, като същевременно гарантира, че те го съдържат възможно най-бързо. Типичните начини за определяне, когато има проблем, включват, но не само;

  • Сигнали от инструменти за наблюдение на сигурността, неизправности в системите, необичайно поведение, неочаквани или необичайни модификации на файлове, копиране или изтегляне и т.н.
  • Отчитане от потребители, администратори на мрежи или системи, служители по сигурността или външни партньори или клиенти на трети страни.
  • Одитирайте регистрационни файлове с признаци на необичайно поведение на потребители или системи, като множество неуспешни опити за влизане, големи изтегляния на файлове, голямо използване на паметта и други аномалии.

Автоматичен сигнал за безопасност при инцидент на VaronisАвтоматичен сигнал за безопасност при инцидент на Varonis – Изображение Varonis 

Оценка и анализ на въздействието на атаката

Повредата, която една атака причинява, варира в зависимост от нейния тип, ефективността на решението за сигурност и скоростта, с която екипът реагира. Най-често не е възможно да се види степента на щетите, докато не се разреши напълно проблема. Анализът трябва да установи вида на атаката, нейното въздействие и услугите, които би могъл да повлияе.

Добра практика е също така да се търсят следи, които нападателят би могъл да остави, и да събере информация, която ще помогне при определяне на срока на дейностите. Това включва анализ на всички компоненти на засегнатите системи, улавяне на съответните криминалисти и определяне на това, което би могло да се случи на всеки етап.

В зависимост от степента на нападението и констатациите може да се наложи честотата да се ескалира до съответния екип.

Задържане, премахване на заплаха и възстановяване

Фазата на ограничаване включва блокиране на атаката от разпространение, както и възстановяване на системите до първоначалното състояние на работа. В идеалния случай екипът на CIRT трябва да идентифицира заплахата и първопричината, да премахне всички заплахи чрез блокиране или изключване на компрометирани системи, почистване на злонамерен софтуер или вирус, блокиране на злонамерени потребители и възстановяване на услуги.

Те трябва също така да установят и да адресират уязвимостите, които атакуващите са експлоатирали, за да предотвратят бъдещи събития на същото. Типичното ограничение включва краткосрочни и дългосрочни мерки, както и резервно копие на текущото състояние.

Преди да възстановите чиста резервна или почистване на системите, е важно да запазите копие на състоянието на засегнатите системи. Това е необходимо, за да се запази настоящото състояние, което може да бъде полезно, когато става въпрос за криминалистика. След като направите резервно копие, следващата стъпка е възстановяване на нарушени услуги. Екипите могат да постигнат това на две фази:

  • Проверете системите и мрежовия компонент, за да проверите дали всички работят правилно
  • Повторно проверете всички компоненти, които са били заразени или компрометирани и след това почистени или възстановени, за да сте сигурни, че сега са сигурни, чисти и работещи.

Уведомяване и докладване

Екипът за реагиране на случаите прави анализ, реагиране и отчитане. Те трябва да проучат първопричината за инцидента, да документират своите заключения за въздействието, как са разрешили проблема, стратегията за възстановяване, докато предават съответната информация на ръководството, други екипи, потребители и доставчици на трети страни..

Комуникация с външни агенции и доставчициКомуникация с външни агенции и доставчици Image NIST

Ако нарушението засегне чувствителни данни, които изискват уведомяване на органите за правоприлагане, екипът трябва да започне това и да следва установените процедури в своята ИТ политика.

Обикновено атаката води до кражба, злоупотреба, корупция или друга неоторизирана дейност върху чувствителни данни като поверителна, лична, частна и бизнес информация. Поради тази причина е от съществено значение да се информират засегнатите, за да могат да предприемат предпазни мерки и да защитят своите критични данни като финансова, лична и друга поверителна информация.

Например, ако нападател успява да получи достъп до потребителски акаунти, екипите по сигурността трябва да ги уведомят и да помолят да променят паролите си.

Провеждане на преглед след инцидент

Разрешаването на инцидент също предлага извлечени поуки и екипите могат да анализират своето решение за сигурност и да адресират слабите връзки към предотвратяване на подобен инцидент в бъдещеНякои от подобренията включват внедряване на по-добри решения за сигурност и мониторинг както за вътрешни, така и за външни заплахи, просветляване на персонала и потребителите на заплахи за сигурността като фишинг, спам, злонамерен софтуер и други, които те трябва да избягват.

Други защитни мерки са използването на най-новите и ефективни инструменти за сигурност, кръпка на сървърите, адресиране на всички уязвимости на клиентски и сървърни компютри и т.н..

Проучване на случая с отговор на инцидентите в Непал в Азиатската банка на NIC

Неадекватната способност за откриване или реакция може да доведе до прекомерни щети и загуби. Един пример е случаят с непалската NIC Asia Bank, която загуби и възстанови малко пари след компромиса с бизнес процес през 2017 г. Нападателите компрометираха SWIFT и измамно прехвърлиха средства от банката по различни сметки във Великобритания, Япония, Сингапур и САЩ.

За щастие властите откриха незаконните транзакции, но успяха само да възстановят част от откраднатите пари. Възможно ли е да има по-добра система за сигнализиране, екипите по сигурността щяха да открият инцидента на по-ранен етап, може би преди нападателите да успеят в компромиса на бизнес процеса.

Тъй като това беше сложен проблем със сигурността, свързан с други страни, банката трябваше да информира органите на реда и разследванията. Освен това обхватът беше извън вътрешния екип на банката за реагиране на инциденти и следователно присъствието на външни екипи от KPMG, централната банка и други.

Криминалистично разследване от външни екипи от тяхната централна банка установи, че инцидентът може да е от вътрешни злоупотреби, които излагат критични системи.

Според доклад тогавашните шест оператори са използвали специализирания компютърен компютър SWIFT за други несвързани задачи. Това може да е изложило SWIFT системата, следователно позволява на нападателите да я компрометират. След инцидента банката прехвърли шестимата служители в други по-малко чувствителни отдели.

Поуки: Банката трябва да е въвела ефективна система за наблюдение и предупреждение в допълнение към създаването на подходяща информираност за сигурността сред служителите и прилагане на строги политики.

заключение

Добре планираната реакция на инцидентите, добрият екип и съответните инструменти и практики за сигурност дават възможност на вашата организация да действа бързо и да адресира широк спектър от проблеми със сигурността. Това намалява щетите, прекъсванията на услугите, кражбите на данни, загубата на репутация и потенциалните задължения.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map