Uvod o upravljanju i reagiranju na slučajeve cyber sigurnosti i najboljim praksama

Kako cyber-napadi i dalje rastu u količini, raznolikosti i sofisticiranosti, pored toga što će im više smetati i štetiti, organizacije moraju biti spremne uciniti ih efikasno..


Osim primjene učinkovitih sigurnosnih rješenja i praksi, potrebna im je mogućnost brzog prepoznavanja i rješavanja napada, čime se osiguravaju minimalne štete, poremećaji i troškovi.

Svaki IT sustav potencijalna je meta cyber napada, a većina ljudi se slaže da nije stvar hoće li, nego kada će se to dogoditi. Međutim, utjecaj varira o tome koliko brzo i učinkovito rješavate problem, dakle, i potreba za spremnošću za odgovor na incident.

Odgovor na incident na kibernetičku sigurnost (IR) odnosi se na niz postupaka koje organizacija poduzima kako bi se bavila napadom na svoje IT sustave. Ovo zahtijeva kombinaciju pravih hardverskih i softverskih alata kao i prakse poput pravilnog planiranja, postupaka, obuke i podrške od strane svih u organizaciji.

Najbolje prakse prije, za vrijeme i nakon sigurnosnih incidenata

Kada se dogodi cyber-napad, može se istovremeno odvijati više aktivnosti, a to može biti užurban kada nema koordinacije ili odgovarajuće procedure postupanja sa incidentima.

Međutim, pripremanje unaprijed i uspostavljanje jasnog i lako razumljivog plana i pravila za reagiranje na incidente omogućavaju sigurnosnim timovima da rade u skladu. To im omogućuje da se usredotoče na kritične zadatke koji ograničavaju potencijalnu štetu na njihovim IT sustavima, podacima i ugledu, uz izbjegavanje nepotrebnih poslovnih prekida..

Priprema plana reakcije na incident

Plan reakcije na incident dokumentira korake koje treba poduzeti u slučaju napada ili bilo kojeg drugog sigurnosnog pitanja. Iako se stvarni koraci mogu razlikovati ovisno o okruženju, tipičan proces, zasnovan na SANS (SysAdmin, Audit, Network i Security) okviru, uključivat će pripremu, identifikaciju, zaustavljanje, uklanjanje, oporavak, obavijest o incidentu i post- pregled događaja.

odgovor na incidentProces procesa reakcije na incident (na temelju predloška NIST) Slika NIST

Priprema uključuje izradu plana s relevantnim informacijama i stvarnim postupcima koje će primijeniti računalni tim za reagiranje na incidente (CIRT) za rješavanje incidenta..

To uključuje:

  • Specifični timovi i pojedinci koji su odgovorni za svaki korak postupka reakcije na incident.
  • Definira što predstavlja incident, uključujući ono što opravdava vrstu reakcije.
  • Kritični podaci i sustavi koji zahtijevaju veću zaštitu i zaštitu.
  • Način očuvanja pogođenih stanja pogođenih sustava u forenzičke svrhe.
  • Postupci za određivanje kada i koga obavijestiti o sigurnosnom pitanju. Kada se incident dogodi, možda će biti potrebno informirati pogođene korisnike, kupce, zaposlenike policije i slično, ali to će se razlikovati od industrije do slučaja do druge..

Plan reakcija na incident mora biti lako razumljiv i implementiran, kao i uskladiti s drugim planovima i politikama organizacije. Međutim, strategija i pristup mogu se razlikovati za različite industrije, timove, prijetnje i potencijalne štete. Redovna testiranja i ažuriranja osiguravaju da je plan valjan i učinkovit.

Koraci reakcije kada se dogodi cyber-napad

Jednom kada dođe do sigurnosnog incidenta, timovi bi trebali djelovati brzo i učinkovito kako bi ga obuzdali i spriječili da se širi na čiste sustave. Slijede najbolje prakse kod rješavanja sigurnosnih problema. Međutim, one se mogu razlikovati ovisno o okruženju i strukturi organizacije.

Sastavite ili angažirajte tim za reagiranje na računalnom incidentu

Osigurajte da interni ili vanjski CIRT tim s više disciplina ima prave ljude s istim vještinama i iskustvom. Od toga, odaberite voditelja tima koji će biti glavna osoba koja će dati smjernice i osigurati da odgovor ide prema planu i vremenskim rokovima. Vođa će također raditi ruku pod ruku s upravom, posebno kad postoje važne odluke koje se trebaju donijeti u vezi s operacijama.

Identificirajte incident i utvrdite vrstu i izvor napada

Nakon bilo kakvih znakova prijetnje, IR tim trebao bi djelovati brzo kako bi provjerio je li doista sigurnosni problem, bilo da je unutarnji ili vanjski, dok osigurava da ga sadrže što je brže moguće. Tipični načini određivanja kad postoji problem uključuju, ali nisu ograničeni na;

  • Upozorenja iz alata za nadzor sigurnosti, kvarovi u sustavima, neuobičajena ponašanja, neočekivane ili neobične promjene datoteka, kopiranje ili preuzimanja itd.
  • Izvješćivanje korisnika, administratora mreže ili sustava, sigurnosnog osoblja ili vanjskih trećih partnera ili kupaca.
  • Provjerite zapisnike s znakovima neobičnog ponašanja korisnika ili sustava, kao što su višestruki neuspjeli pokušaji prijave, velika preuzimanja datoteka, velika potrošnja memorije i druge anomalije.

Automatska dojava o sigurnosnom incidentu VaronisAutomatsko upozorenje sigurnosnog incidenta Varonis – Slika Varonis 

Procijeniti i analizirati utjecaj napada

Šteta koju napad uzrokuje razlikuje se ovisno o vrsti, učinkovitosti sigurnosnog rješenja i brzini kojom tim reagira. Najčešće nije moguće vidjeti kolika je šteta tek nakon što se problem potpuno riješi. Analiza bi trebala otkriti vrstu napada, njegov utjecaj i usluge na koje je mogao utjecati.

Također je dobra praksa tražiti bilo kakve tragove koje je napadač mogao ostaviti i prikupiti podatke koji će vam pomoći u određivanju vremenskog rasporeda aktivnosti. To uključuje analizu svih komponenti pogođenih sustava, bilježenje relevantnih za forenziku i utvrđivanje onoga što se moglo dogoditi u svakoj fazi.

Ovisno o opsegu napada i nalazima, možda će biti potrebno da se učestalost prebaci na relevantni tim.

Zadržavanje, uklanjanje prijetnji i oporavak

Faza zadržavanja uključuje blokiranje napada zbog širenja, kao i vraćanje sustava u početni radni status. U idealnom slučaju, CIRT-ov tim trebao bi identificirati prijetnju i osnovni uzrok, ukloniti sve prijetnje blokiranjem ili isključivanjem kompromitiranih sustava, čišćenjem zlonamjernog softvera ili virusa, blokiranjem zlonamjernih korisnika i obnavljanjem usluga.

Također bi trebali utvrditi i riješiti ranjivosti koje su napadači iskoristili kako bi spriječili buduće pojave istih. Tipično ograničenje uključuje kratkoročne i dugoročne mjere kao i sigurnosnu kopiju postojećeg stanja.

Prije vraćanja čiste sigurnosne kopije ili čišćenja sustava, važno je zadržati kopiju statusa pogođenih sustava. To je neophodno za očuvanje trenutnog stanja, što može biti korisno kada je u pitanju forenzika. Nakon izrade sigurnosne kopije, sljedeći korak je obnova poremećenih usluga. Timovi to mogu postići u dvije faze:

  • Provjerite sustave i mrežnu komponentu da biste provjerili rade li svi ispravno
  • Ponovno provjerite sve komponente koje su bile zaražene ili ugrožene, a zatim očistite ili obnovite kako biste osigurali da su sada sigurne, čiste i operirane..

Obavještavanje i izvještavanje

Tim za reagiranje na incidente radi analizu, reagiranje i izvještavanje. Moraju istražiti osnovni uzrok incidenta, dokumentirati svoja otkrića o utjecaju, načinu na koji su riješili problem, strategiju oporavka, dok relevantne podatke prosljeđuju upravi, drugim timovima, korisnicima i davateljima trećih strana..

Komunikacija s vanjskim agencijama i pružateljima uslugaKomunikacija s vanjskim agencijama i pružateljima slika NIST

Ako se kršenje dotiče osjetljivih podataka koji zahtijevaju obavještavanje tijela za provođenje zakona, tim bi trebao pokrenuti postupak i slijediti propisane postupke u svojoj IT politici.

Obično napad rezultira krađom, zlouporabom, korupcijom ili drugom neovlaštenom aktivnošću na osjetljivim podacima kao što su povjerljive, osobne, privatne i poslovne informacije. Iz tog razloga, ključno je informirati pogođene kako bi mogli poduzeti mjere predostrožnosti i zaštititi njihove kritične podatke poput financijskih, osobnih i drugih povjerljivih podataka.

Na primjer, ako napadač uspije pristupiti korisničkim računima, zaštitni timovi trebaju ih obavijestiti i tražiti da promijene zaporke.

Obavi pregled nakon incidenta

Rješavanje incidenta nudi i naučene lekcije, a timovi mogu analizirati svoje sigurnosno rješenje i odgovoriti na slabe veze do spriječiti sličan incident u budućnostiNeka od poboljšanja uključuju uporabu boljih sigurnosnih i nadzornih rješenja za unutarnje i vanjske prijetnje, prosvjećivanje osoblja i korisnika na sigurnosnim prijetnjama kao što su krađa identiteta, neželjene pošte, zlonamjerni softver i druge koje bi trebali izbjegavati..

Ostale zaštitne mjere su pokretanje najnovijih i učinkovitih sigurnosnih alata, krpanje servera, rješavanje svih ranjivosti na klijentskim i poslužiteljskim računalima, itd..

Studija slučaja reagiranja na incident Nepalske banke u Nepalu

Neadekvatna sposobnost otkrivanja ili reakcija može dovesti do pretjerane štete i gubitaka. Jedan primjer je slučaj nepalske NIC Azijske banke, koja je izgubila i povratila nešto novca nakon kompromisa poslovnog procesa 2017. Napadači su kompromitirali SWIFT i lažno prebacili sredstva iz banke na razne račune u Velikoj Britaniji, Japanu, Singapuru i SAD-u..

Srećom, vlasti su otkrile nezakonite transakcije, ali su samo uspjele povratiti jedan dio ukradenog novca. Je li mogao postojati bolji sustav upozoravanja, sigurnosni timovi bi incident otkrili u ranijoj fazi, možda prije nego što su napadači uspjeli u kompromisu poslovnog procesa.

Budući da je to složeno sigurnosno pitanje uključivalo i druge zemlje, banka je morala obavijestiti tijela za provođenje zakona i istrage. Također, opseg je bio izvan internog tima za odgovor na incidente, a samim tim i prisutnost vanjskih timova iz KPMG-a, središnje banke i drugih.

Forenzička istraga vanjskih timova iz njihove središnje banke utvrdila je da je incident možda bio iz insajderske zloupotrebe koja je otkrila kritične sustave.

Prema izvješću, tada je šest operatora koristilo namjensko računalo sustava SWIFT za druge nepovezane zadatke. Ovo je moglo razotkriti SWIFT sustav, što dopušta napadačima da ga kompromitiraju. Nakon incidenta, banka je šestoricu zaposlenika prebacila u druge manje osjetljive odjele.

Naučene lekcije: Banka je trebala primijeniti učinkovit sustav praćenja i uzbunjivanja, uz stvaranje odgovarajuće sigurnosne svijesti među zaposlenicima i provođenje strogih politika.

Zaključak

Dobro planirani odgovor na incident, dobar tim i relevantni sigurnosni alati i prakse daju vašoj organizaciji sposobnost brzog postupanja i rješavanja širokog spektra sigurnosnih pitanja. To smanjuje štetu, prekide u uslugama, krađu podataka, gubitak ugleda i potencijalne obveze.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map