Κάθε οργανισμός είναι επιρρεπής σε κυβερνοεπιθέσεις και, όταν συμβαίνει, υπάρχει μια μικρή γραμμή μεταξύ της διάσωσης της ασφάλειας του δικτύου σας και της μόλυνσης από κακόβουλες απειλές. Κάθε δευτερόλεπτο προληπτικού μέτρου μετράει για να αποφευχθεί η ταχεία εξάπλωση μιας επίθεσης. Από τώρα, πολλές εταιρείες, συμπεριλαμβανομένων των επιχειρήσεων και των μικρών μεσαίων επιχειρήσεων, γνωρίζουν ολοένα και περισσότερο την ανάγκη ανάπτυξης ενός σχεδίου αντιμετώπισης συμβάντων στον κυβερνοασφάλεια για την αντιμετώπιση των επιθέσεων. Η ύπαρξη ενός σχεδίου αντιμετώπισης συμβάντων που θα τεθεί σε ισχύ μετά από ένα συμβάν θα μειώσει το κόστος και δεν θα βλάψει τη φήμη μιας εταιρείας. Πράγματι, υπάρχουν πολλά πράγματα που πρέπει να ληφθούν υπόψη, τα οποία πρέπει να ταιριάζουν για να εκτελεστεί απρόσκοπτα μια απάντηση στο περιστατικό. Ορισμένοι οργανισμοί, ειδικά εκείνοι που δεν έχουν αντιμετωπίσει απειλές στον κυβερνοχώρο, δεν γνωρίζουν από πού να ξεκινήσουν, πόσο μάλλον σε τι πρέπει να δώσουν προτεραιότητα, και γι ‘αυτό συχνά αναζητούν πιστοποιημένους χειριστές συμβάντων για βοήθεια.
Ποια είναι το incident response στις κυβερνοεπιθέσεις;
Ένα περιστατικό ασφαλείας είναι μια προειδοποίηση ότι ενδέχεται να υπάρχει παραβίαση των δεδομένων στον υπολογιστή σας. Μερικές φορές, η προειδοποίηση θα μπορούσε επίσης να είναι ότι η παραβίαση της ασφάλειάς σας έχει ήδη συμβεί. Ένα συμβάν ασφαλείας στον υπολογιστή μπορεί επίσης να θεωρηθεί απειλή για τις σχετικές πολιτικές του υπολογιστή σας. Παραδείγματα απειλών / περιστατικών ασφάλειας υπολογιστή περιλαμβάνουν κακόβουλες επιθέσεις, οι οποίες περιλαμβάνουν ιούς και worms.
Πώς πρέπει να ανταποκριθείτε σε ένα περιστατικό ασφαλείας;
Ο κύκλος ζωής απόκρισης συμβάντων αποτελείται από πέντε ζωτικά βήματα για τον χειρισμό συμβάντων. Για να είναι επιτυχές το incident response, οι ομάδες ασφαλείας πρέπει να ακολουθήσουν μια καλά οργανωμένη προσέγγιση για οποιοδήποτε live συμβάν.
Ποια είναι τα πέντε βήματα του incident response;
Τα πέντε βήματα της απάντησης συμβάντων συνοψίζονται παρακάτω:
Βήμα 1: Προετοιμασία
Η προετοιμασία είναι ζωτικής σημασίας για την αποτελεσματική αντίδραση σε περιστατικά. Ακόμη και οι καλύτερες ομάδες ασφαλείας δεν μπορούν να αντιμετωπίσουν μια παραβίαση ασφαλείας χωρίς προκαθορισμένες οδηγίες. Ως εκ τούτου, ένα υγιές σχέδιο πρέπει να είναι διαθέσιμο εκ των προτέρων για τη φροντίδα κάθε συμβάντος που μπορεί να συμβεί κάποια στιγμή. Η προετοιμασία είναι το πρώτο βήμα για να αντιμετωπίσετε μια επίθεση ασφαλείας.
Αποκτήστε τα κατάλληλα άτομα με μεγάλη εμπειρία. Ορίστε έναν ηγέτη για την ομάδα IRS που θα είναι υπεύθυνος για κάθε δραστηριότητα. Ο ηγέτης πρέπει να έχει άμεση επικοινωνία με την ομάδα διαχείρισης για να λαμβάνει κρίσιμες αποφάσεις με άμεσο αποτέλεσμα.
Βήμα 2: Ταυτοποίηση
Το επίκεντρο αυτού του βήματος είναι η παρακολούθηση, αναγνώριση, ειδοποίηση και αναφορά τυχόν συμβάντων ασφαλείας που έχουν συμβεί.
Η ομάδα απόκρισης συμβάντων θα πρέπει να μπορεί να αναγνωρίζει την πηγή παραβίασης ασφαλείας. Η ομάδα IR σας πρέπει να κατανοήσει τους διάφορους δείκτες συμβάντων, όπως προγράμματα αντί-malware, λογισμικό ελέγχου ακεραιότητας αρχείων, διαχειριστές συστήματος και δικτύου και άλλα.
Βήμα 3: Διαδρομή και ανάλυση
Πολλή δουλειά γίνεται σε αυτή τη φάση. Πρέπει να χρησιμοποιηθούν πολλοί πόροι για τη λήψη δεδομένων από εργαλεία και συστήματα για περαιτέρω ανάλυση και προσδιορισμό των δεικτών παραβίασης. Σε αυτό το βήμα, μια ομάδα θα πρέπει να έχει σε βάθος δεξιότητες και γνώση των απαντήσεων σε live περιστατικά.
Μέχρι να επιλυθεί το περιστατικό, είναι δύσκολο να εξακριβωθεί η έκταση της ζημιάς. Ως εκ τούτου, αναλύστε την αιτία του συμβάντος. θεωρήστε το περιστατικό ως σοβαρό και ανταποκριθείτε γρήγορα.
Βήμα 4: Περιορισμός
Ο περιορισμός είναι ένα από τα πιο κρίσιμα βήματα αντίδρασης σε περιστατικά. Οι μέθοδοι που χρησιμοποιούνται σε αυτό το βήμα βασίζονται αποκλειστικά στη νοημοσύνη και στους δείκτες παραβίασης που ελήφθησαν κατά τη διάρκεια του βήματος δοκιμής και ανάλυσης. Ο περιορισμός έχει επίσης να κάνει με τη μείωση των ζημιών ενός συμβάντος και την απομόνωση των επηρεαζόμενων συστημάτων σε ένα δίκτυο.
Μόλις η ομάδα IR εντοπίσει ένα περιστατικό, πρέπει να περιοριστεί. Ο περιορισμός του συμβάντος μπορεί να περιλαμβάνει την απενεργοποίηση της πρόσβασης του δικτύου στο internet έτσι ώστε οι μολυσμένοι υπολογιστές να βρίσκονται σε καραντίνα. Ίσως χρειαστεί επίσης να επαναφέρετε τους κωδικούς πρόσβασης των χρηστών που επηρεάζονται.
Βήμα 5: Δραστηριότητα μετά το περιστατικό
Αυτό το βήμα περιλαμβάνει την κατάλληλη τεκμηρίωση των πληροφοριών που χρησιμοποιούνται για την αποτροπή μελλοντικών παρόμοιων συμβάντων.
Είναι απαραίτητο να ειδοποιήσετε τα επηρεαζόμενα μέρη, ώστε να προστατευθούν από τις διαρροές από τη διαρροή προσωπικών ή οικονομικών δεδομένων.
Μάθετε από το περιστατικό, ώστε να μην επαναληφθούν μελλοντικά περιστατικά από κυβερνοεπιθέσεις. Πρέπει να εκτελέσετε δραστηριότητες μετά το συμβάν, όπως να διδάξετε στους υπαλλήλους πώς να αποφεύγουν τις απάτες ηλεκτρονικού ψαρέματος και να προσθέτετε τεχνολογίες που μπορούν να διαχειριστούν και να παρακολουθήσουν απειλές.
Αυτά τα 5 βήματα είναι κρίσιμα για την αντιμετώπιση περιστατικών ασφαλείας εντός ενός οργανισμού.