Predstavitev upravljanja odzivov na kibernetsko varnost in najboljših praks

Ker kibernetski napadi še naprej naraščajo v obsegu, raznolikosti in prefinjenosti, poleg tega, da so bolj moteče in škodljive, morajo biti organizacije pripravljene na njihovo učinkovito obvladovanje.


Poleg uvajanja učinkovitih varnostnih rešitev in praks potrebujejo tudi možnost hitrega prepoznavanja in reševanja napadov, kar zagotavlja minimalno škodo, motnje in stroške.

Vsak sistem IT je potencialna tarča kibernetskega napada in večina ljudi se strinja, da ni stvar tega, ampak kdaj se bo to zgodilo. Vendar se vpliv razlikuje glede na to, kako hitro in učinkovito rešujete težavo, torej potrebo po pripravljenosti na odziv na incident.

Odziv na incident na kibernetsko varnost (IR) se nanaša na vrsto postopkov, ki jih organizacija sprejme za reševanje napada na svoje IT sisteme. Za to je potrebna kombinacija pravih strojnih in programskih orodij ter praks, kot so pravilno načrtovanje, postopki, usposabljanje in podpora vseh v organizaciji.

Najboljše prakse pred, med in po varnostnih nezgodah

Če pride do kibernetskega napada, se lahko hkrati zgodi več dejavnosti, kar je lahko hecno, če ni usklajevanja ali ustreznih postopkov ravnanja z incidenti.

Vendar pa vnaprejšnja priprava in vzpostavitev jasnega in lahkega za razumevanje načrta in politik odzivanja na incident omogoča varnostnim skupinam, da delujejo usklajeno. To jim omogoča, da se osredotočijo na kritične naloge, ki omejijo morebitno škodo na njihovih sistemih, podatkih in ugledu, poleg tega pa se izognejo nepotrebnim poslovnim motnjam.

Priprava načrta odzivanja na incident

Načrt odzivanja na nesreče dokumentira korake, ki jih je treba slediti v primeru napada ali kakršnih koli drugih varnostnih težav. Čeprav se dejanski koraki lahko razlikujejo glede na okolje, bo tipičen postopek, ki temelji na okviru SANS (SysAdmin, Audit, Network in Security), vključeval pripravo, identifikacijo, zadrževanje, odpravo, obnovitev, obveščanje o incidentu in post- pregled nezgode.

odziv na incidentTok procesa odziva na incident (na podlagi predloge NIST) Slika NIST

Priprava vključuje razvoj načrta z ustreznimi informacijami in dejanskimi postopki, ki jih bo uporabila računalniška skupina za odzivanje na nesreče (CIRT) za obravnavo incidenta..

Tej vključujejo:

  • Specifične skupine in posamezniki, ki so odgovorni za vsak korak postopka odzivanja na incident.
  • Opredeli, kaj pomeni incident, vključno s tem, kar upravičuje vrsto odgovora.
  • Kritični podatki in sistemi, ki zahtevajo večjo zaščito in zaščito.
  • Način za ohranitev prizadetih stanj prizadetih sistemov za forenzične namene.
  • Postopki za določitev, kdaj in koga obvestiti o varnostni težavi. Kadar pride do incidenta, bo morda treba obvestiti prizadete uporabnike, stranke, uslužbence organov pregona itd., Vendar se bo to razlikovalo od industrije do primera do drugega..

Načrt odzivanja na nesreče mora biti lahko razumljiv in izvedljiv ter usklajen z drugimi načrti in politikami organizacije. Vendar se lahko strategija in pristop razlikujeta v različnih panogah, skupinah, grožnjah in potencialni škodi. Redna testiranja in posodobitve zagotavljajo, da je načrt veljaven in učinkovit.

Korak na spletnega napada se zgodi, če se odzove na incident

Ko pride do varnostnega incidenta, bi morale ekipe hitro in učinkovito ukrepati, da ga zadržijo in preprečijo, da bi se razširilo na čiste sisteme. Sledijo najboljše prakse pri reševanju varnostnih težav. Vendar se te lahko razlikujejo glede na okolje in strukturo organizacije.

Sestavite ali vključite skupino za odzivanje na računalniški incident

Zagotovite, da ima večdisciplinarna CIRT ekipa, ki ima lastno ali zunanje podjetje, prave ljudi s pravimi znanji in izkušnjami. Med njimi izberite vodjo ekipe, ki bo osrednja oseba, ki bo vodila smernice in zagotovila, da bo odziv potekal po načrtu in časovnih rokih. Vodja bo deloval z roko v roki z vodstvom, zlasti kadar so pomembne odločitve glede operacij.

Ugotovite incident in ugotovite vrsto in vir napada

Ob kakršnih koli znakih grožnje bi morala ekipa IR hitro ukrepati, da preveri, ali gre res za varnostno vprašanje, notranjega ali zunanjega, in hkrati zagotoviti, da ga vsebujejo čim hitreje. Tipični načini določanja, ko obstaja težava, vključujejo, vendar niso omejeni na:

  • Opozorila orodij za nadzor varnosti, napake v sistemih, nenavadno vedenje, nepričakovane ali nenavadne spremembe datotek, kopiranje ali nalaganje itd.
  • Poročanje uporabnikov, skrbnikov omrežja ali sistema, varnostnega osebja ali zunanjih zunanjih partnerjev ali strank.
  • Revizirajte dnevnike z znaki nenavadnega vedenja uporabnikov ali sistemov, kot so večkratni neuspeli poskusi prijave, velika nalaganja datotek, velika poraba pomnilnika in druge nepravilnosti.

Avtomatsko opozarjanje na varnostni incident VaronisSamodejno opozorilo o varnostnem incidentu Varonis – Slika Varonis 

Oceni in analizira vpliv napada

Škoda, ki jo napad povzroči, se razlikuje glede na vrsto, učinkovitost varnostne rešitve in hitrost odziva ekipe. Najpogosteje ni mogoče ugotoviti obsega škode šele po tem, ko bi se vprašanje v celoti rešilo. Analiza bi morala ugotoviti vrsto napada, njegov vpliv in storitve, na katere bi lahko vplivala.

Prav tako je dobro poiskati sledi, ki bi jih napadalec lahko zapustil, in zbrati informacije, ki bodo pomagale pri določanju časovnice. To vključuje analizo vseh komponent prizadetih sistemov, zajem ustreznih forenzikov in določitev, kaj se lahko zgodi na vsaki stopnji.

Glede na obseg napada in ugotovitve bo pogosto treba prerazporediti pojavnost na ustrezno skupino.

Zadrževanje, odpravljanje groženj in okrevanje

Faza zadrževanja vključuje blokiranje napada pred širjenjem in vrnitev sistemov v začetno stanje delovanja. V idealnem primeru bi morala ekipa CIRT prepoznati grožnjo in vzrok, odstraniti vse grožnje z blokiranjem ali odklopom ogroženih sistemov, čiščenjem zlonamerne programske opreme ali virusa, blokiranjem zlonamernih uporabnikov in obnovitvijo storitev.

Prav tako bi morali določiti in obravnavati ranljivosti, ki so jih napadalci izkoristili, da bi preprečili prihodnje pojavljanje istih. Običajna omejitev vključuje kratkoročne in dolgoročne ukrepe ter varnostno kopijo trenutnega stanja.

Preden obnovite čisto varnostno kopijo ali čiščenje sistemov, je pomembno, da shranite kopijo stanja prizadetih sistemov. To je potrebno za ohranitev trenutnega stanja, kar je lahko koristno, ko gre za forenzike. Ko je varnostno kopirano, je naslednji korak obnovitev motenih storitev. Ekipe lahko to dosežejo v dveh fazah:

  • Preverite sistemske in omrežne komponente in preverite, ali vsi delujejo pravilno
  • Ponovno preverite vse komponente, ki so bile okužene ali ogrožene, nato pa očistite ali obnovite, da zagotovite, da so zdaj varne, čiste in delujoče.

Obveščanje in poročanje

Incidenčna skupina za analizo, odzivanje in poročanje naredi. Raziskati morajo temeljni vzrok incidenta, dokumentirati svoje ugotovitve o vplivu, kako so odpravili težavo, strategijo za obnovitev in hkrati posredovati ustrezne informacije vodstvu, drugim skupinam, uporabnikom in ponudnikom drugih ponudnikov..

Komunikacija z zunanjimi agencijami in ponudnikiKomunikacija z zunanjimi agencijami in ponudniki Slika NIST

Če se kršitev dotakne občutljivih podatkov, za katere je treba obvestiti organe za izvrševanje zakona, bi morala ekipa to sprožiti in upoštevati predpisane postopke v svoji informacijski politiki.

Običajno napad povzroči krajo, zlorabo, korupcijo ali drugo nepooblaščeno delovanje občutljivih podatkov, kot so zaupni, osebni, zasebni in poslovni podatki. Zaradi tega je treba obvestiti prizadete, da lahko sprejmejo varnostne ukrepe in zaščitijo njihove kritične podatke, kot so finančne, osebne in druge zaupne informacije.

Na primer, če napadalcu uspe dostopati do uporabniških računov, jih morajo varnostne ekipe obvestiti in zahtevati, naj spremenijo geslo.

Izvedite pregled po incidentu

Reševanje incidenta ponuja tudi pridobljene izkušnje, ekipe pa lahko analizirajo varnostno rešitev in odpravijo šibke povezave preprečiti podoben incident v prihodnostiNekatere izboljšave vključujejo uvedbo boljših rešitev za varnost in spremljanje notranjih in zunanjih groženj, razsvetljenje osebja in uporabnikov o varnostnih grožnjah, kot so lažno predstavljanje, neželena pošta, zlonamerna programska oprema in druge, ki bi se jim morali izogibati.

Drugi zaščitni ukrepi so izvajanje najnovejših in učinkovitih varnostnih orodij, popravljanje strežnikov, odpravljanje vseh ranljivosti na odjemalskih in strežniških računalnikih itd..

Študija primera odzivanja na incident Nepalske banke Azijske banke NIC

Neustrezna sposobnost odkrivanja ali odziv lahko privede do prevelike škode in izgub. En primer je nepalska banka NIC Asia, ki je izgubila in izterjala nekaj denarja po kompromisu poslovnega procesa leta 2017. Napadalci so kompromitirali SWIFT in lažno prenesli sredstva iz banke na različne račune v Veliki Britaniji, na Japonskem, v Singapurju in ZDA.

Na srečo so oblasti odkrile nezakonite transakcije, vendar so le uspele izterjati del ukradenega denarja. Ali bi lahko bil boljši sistem opozarjanja, bi varnostne ekipe incident zaznale že zgodaj, morda še preden bi napadalci uspeli v poslovnem procesu..

Ker je šlo za zapleteno varnostno vprašanje v zvezi z drugimi državami, je morala banka obvestiti organe pregona in preiskave. Poleg tega je področje uporabe presegalo interno ekipo za odzivanje na incidente, s tem pa tudi prisotnost zunanjih ekip iz KPMG, centralne banke in drugih.

Forenzična preiskava zunanjih skupin iz njihove centralne banke je ugotovila, da je bil incident morda posledica notranjih nepravilnosti, ki so razkrile kritične sisteme.

Po poročilu je takratnih šest operaterjev namenski računalniški sistem SWIFT uporabljalo za druge nepovezane naloge. To je morda razkrilo sistem SWIFT, kar napadalcem omogoča, da ga ogrozijo. Po incidentu je banka šest zaposlenih premestila v druge manj občutljive oddelke.

Naučena lekcija: Banka bi morala poleg učinkovitega zavedanja o varnosti med zaposlenimi in uveljavljanja strogih politik uporabiti učinkovit sistem spremljanja in opozarjanja..

Zaključek

Dobro načrtovan odziv na incident, dobra ekipa in ustrezna varnostna orodja in prakse vaši organizaciji omogočajo hitro ukrepanje in reševanje številnih varnostnih težav. To zmanjšuje škodo, motnje v storitvah, krajo podatkov, izgubo ugleda in morebitne obveznosti.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map