מבוא לניהול תגובת אירועי אבטחת סייבר ושיטות עבודה מומלצות

ככל שמתקפות הסייבר ממשיכות לצמוח בנפח, במגוון והתחכום, בנוסף להיותן יותר משבשות ומזיקות, ארגונים חייבים להיות מוכנים לטפל בהם ביעילות.


בנוסף לפריסת פתרונות ושיטות אבטחה יעילות, הם זקוקים ליכולת לזהות ולתקוף במהירות התקפות, ומכאן להבטיח מינימום נזק, שיבוש ועלויות.

כל מערכת IT היא יעד פוטנציאלי למתקפת סייבר, ורוב האנשים מסכימים שזה לא עניין של אם, אלא מתי זה יקרה. עם זאת, ההשפעה משתנה בהתאם למהירותך וביעילות שאתה מטפל בנושא, ומכאן הצורך במוכנות לתגובת אירועים.

תגובת אירועי אבטחת סייבר (IR) מתייחסת לסדרת תהליכים אותם ארגון נוקט כדי להתמודד עם מתקפה על מערכות ה- IT שלו. זה דורש שילוב של כלי החומרה והתוכנה הנכונים כמו גם פרקטיקות כמו תכנון נכון, נהלים, הדרכה ותמיכה על ידי כל הארגון..

שיטות עבודה מומלצות לפני תקריות אבטחה, במהלך ואחרין

כאשר מתרחשת מתקפת סייבר, פעילויות מרובות עשויות להתקיים בו זמנית, וזה יכול להיות קדחתני כאשר אין שום תיאום או נהלים לטיפול נכון באירועים..

עם זאת, הכנה מראש וקביעת תוכנית ומדיניות תגובת אירועים ברורה וקלה להבנה מאפשרת לצוותי האבטחה לעבוד בהרמוניה. זה מאפשר להם להתמקד במשימות הקריטיות המגבילות את הפגיעה האפשרית במערכות ה- IT, הנתונים והמוניטין שלהם בנוסף להימנעות מהפרעות עסקיות מיותרות.

הכנת תוכנית תגובה לאירוע

תוכנית לתגובה לאירועים מתעדת את הצעדים שצריך לבצע במקרה של פיגוע או כל נושא ביטחוני אחר. אף על פי שהצעדים בפועל עשויים להשתנות בהתאם לסביבה, תהליך טיפוסי, המבוסס על מסגרת SANS (SysAdmin, ביקורת, רשת וביטחון), יכלול הכנה, זיהוי, הכלה, ביטול, התאוששות, הודעה על האירוע, ופוסט- סקירת אירועים.

תגובה לאירועזרימת תהליך תגובה לאירוע (על פי תבנית NIST) תמונה NIST

ההכנה כוללת פיתוח תוכנית עם מידע רלוונטי והנהלים בפועל שעוקבים אחר צוות התגובה לאירוע מחשבים (CIRT) כדי לטפל באירוע..

אלו כוללים:

  • צוותים ואנשים ספציפיים האחראים לכל שלב בתהליך התגובה לאירוע.
  • מגדיר מה מהווה אירוע, כולל מה מצדיק את סוג התגובה.
  • נתונים ומערכות קריטיות הדורשות הגנה ושמירה רבה יותר.
  • דרך לשמור על מצבים מושפעים של מערכות מושפעות למטרות משפטיות.
  • נהלים לקביעת מתי ומי להודיע ​​על נושא אבטחה. כאשר מתרחש אירוע, יתכן שיהיה צורך ליידע את המשתמשים, הלקוחות, אוכפי חוק הצוות המושפעים וכו ‘, אך הדבר ישתנה מענף אחד למשנהו.

תוכנית קלה לתגובה לאירועים חייבת להיות קלה להבנה וליישום וכן להתאמה עם תוכניות ומדיניות ארגון אחרות. עם זאת, האסטרטגיה והגישה עשויים להיות שונים בכל ענפים שונים, צוותים, איומים ונזקים פוטנציאליים. בדיקות ועדכונים קבועים מבטיחים כי התוכנית תקפה ויעילה.

צעדים בתגובה לאירועים כאשר מתרחשת מתקפת סייבר

ברגע שיש אירוע ביטחוני, על הצוותים לפעול במהירות וביעילות בכדי להכיל אותו ולמנוע ממנו להתפשט למערכות נקיות. להלן השיטות המומלצות בעת טיפול בבעיות אבטחה. עם זאת, אלה עשויים להיות שונים בהתאם לסביבתו ולמבנה הארגון.

להרכיב או לעסוק בצוות התגובה לאירועי מחשב

יש לוודא שלצוות CIRT הרב-תחומי או במיקור חוץ במיקור חוץ יש את האנשים הנכונים עם הכישורים והניסיון הנכונים. מבין אלה, בחר מנהיג צוות שיהיה האדם המוקד שייתן הכוונה ויבטיח שהתגובה תשתנה בהתאם לתוכנית ולמועדי הזמן. המנהיג יעבוד גם יד ביד עם ההנהלה ובמיוחד כאשר יש החלטות חשובות לקבל ביחס לפעולות.

זהה את האירוע וקבע את סוג הפיגוע ומקורו

בכל סימן של איום, צוות ה- IR צריך לפעול במהירות כדי לאמת אם אכן מדובר בנושא אבטחה, בין אם פנימי או חיצוני תוך הקפדה על הימצאותו במהירות האפשרית. דרכים אופייניות לקבוע מתי יש בעיה כוללות אך לא רק;

  • התראות מכלי ניטור אבטחה, תקלות במערכות, התנהגויות חריגות, שינויי קבצים בלתי צפויים או חריגים, העתקה או הורדות וכו ‘.
  • דיווח על ידי משתמשים, מנהלי רשת או מערכת, אנשי אבטחה, או שותפים או לקוחות חיצוניים של צד שלישי.
  • יומני ביקורת עם סימני התנהגות חריגה של משתמשים או מערכות, כגון ניסיונות כניסה מרובים שנכשלו, הורדות קבצים גדולות, שימוש בזיכרון גבוה, וחריגות אחרות..

אירוע ביטחון Varonis התראה אוטומטיתהתראה אוטומטית על אירוע ביטחון Varonis – תמונה ורוניס 

הערך ונתח את השפעת ההתקפה

הנזק שנגרם לתקיפה משתנה בהתאם לסוגו, יעילותו של פיתרון האבטחה ומהירות התגובה של הצוות. לרוב לא ניתן לראות את היקף הנזק אלא לאחר פיתרון הבעיה לחלוטין. על הניתוח לברר את סוג הפיגוע, השפעתו והשירותים שיכולים היה להשפיע עליהם.

זה גם תרגול טוב לחפש את העקבות שיכול היה להותיר התוקף ולאסוף את המידע שיעזור בקביעת ציר הזמן של הפעילויות. זה כולל ניתוח כל מרכיבי המערכות המושפעות, לכידת רלוונטיות לזיהוי פלילי וקביעת מה יכול היה לקרות בכל שלב..

תלוי בהיקף הפיגוע והממצאים, יתכן שיהיה צורך בהסלמת ההיארעות לצוות הרלוונטי.

הכלה, ביטול איומים והתאוששות

שלב ההכלה כולל חסימת ההתפשטות מההתקפה וכן החזרת המערכות למצב הפעולה הראשוני. באופן אידיאלי, צוות CIRT צריך לזהות את האיום ואת סיבת השורש, להסיר את כל האיומים על ידי חסימת או ניתוק מערכות פגומות, ניקוי התוכנה הזדונית או הנגיף, חסימת משתמשים זדוניים ושחזור שירותים.

עליהם גם לבסס ולהתייחס לפגיעויות בהן ניצלו התוקפים כדי למנוע התרחשויות עתידיות של אותם. הכלה אופיינית כוללת אמצעים לטווח הקצר והארוך כמו גם גיבוי של המצב הנוכחי.

לפני שחזור גיבוי נקי או ניקוי המערכות, חשוב לשמור עותק של מצב המערכות המושפעות. זה הכרחי כדי לשמור על המצב הנוכחי, שיכול להיות שימושי בכל הנוגע לזיהוי פלילי. לאחר הגיבוי, השלב הבא הוא שחזור שירותי הפרעה. הצוותים יכולים להשיג זאת בשני שלבים:

  • בדוק את המערכות ורכיב הרשת כדי לוודא שכולם פועלים כראוי
  • בדוק מחדש את כל הרכיבים שנדבקו או נפגעו ואז נקו או שוחזרו כדי להבטיח שהם כעת מאובטחים, נקיים ותפעוליים..

הודעה ודיווח

צוות תגובת ההיארעות עושה את הניתוח, מגיב ודיווח. הם צריכים לחקור את סיבת השורש לאירוע, לתעד את ממצאי ההשפעה שלהם, כיצד הם פתרו את הבעיה, אסטרטגיית התאוששות תוך העברת המידע הרלוונטי להנהלה, צוותים אחרים, משתמשים וספקי צד ג ‘..

תקשורת עם סוכנויות וספקים חיצונייםתקשורת עם סוכנויות וספקים חיצוניים NIST

אם ההפרה נוגעת בנתונים רגישים המחייבים הודעה על רשויות אכיפה משפטיות, על הצוות ליזום זאת ולעקוב אחר הנהלים הקבועים במדיניות ה- IT שלהם..

בדרך כלל, התקפה גורמת לגניבה, שימוש לרעה, שחיתות או פעילות לא מורשית אחרת על נתונים רגישים כמו מידע סודי, אישי, פרטי ועסק. מסיבה זו, חיוני ליידע את הנפגעים כך שיוכלו לנקוט אמצעי זהירות ולהגן על הנתונים הקריטיים שלהם כמו מידע כספי, אישי וסודי אחר..

לדוגמה, אם תוקף מצליח לגשת לחשבונות משתמשים, צוותי האבטחה צריכים להודיע ​​להם ולבקש מהם לשנות את הסיסמאות שלהם.

ערכו סקירה שלאחר האירוע

פיתרון אירוע מציע גם שיעורים שנלמדו, וצוותים יכולים לנתח את פיתרון האבטחה שלהם ולהתייחס לקישורים החלשים אליהם למנוע אירוע דומה בעתידחלק מהשיפורים כוללים פריסת פתרונות אבטחה וניטור טובים יותר לאיומים פנימיים וחיצוניים, ולהאיר את הצוות והמשתמשים באיומי אבטחה כמו דיוג, דואר זבל, תוכנות זדוניות ואחרים שעליהם להימנע..

אמצעי הגנה אחרים מפעילים את כלי האבטחה האחרונים והיעילים, מריצים את השרתים, מתמודדים עם כל הפגיעויות במחשבי לקוח ושרת וכו ‘..

מקרה המקרה בתגובת אירועי בנק אסיה בנפאל, נפאל

יכולת זיהוי או תגובה לא מספקים עלולים להוביל לנזק ואובדן מוגזם. דוגמא אחת היא המקרה של בנק NIC Asia Nepal בנפאל, שאיבד והחזיר קצת כסף לאחר פשרה בתהליך עסקי בשנת 2017. התוקפים התפשרו על ה- SWIFT והעבירו במרמה כספים מהבנק לחשבונות שונים בבריטניה, יפן, סינגפור וארה”ב..

למרבה המזל, הרשויות גילו את העסקאות הבלתי חוקיות אך רק הצליחו לשחזר חלק מהכסף הגנוב. יכול להיות שקיימת מערכת התרעה טובה יותר, צוותי האבטחה היו מגלים את האירוע בשלב מוקדם יותר, אולי לפני שהתוקפים הצליחו לפשרה בתהליך העסקי.

מכיוון שמדובר בנושא ביטחוני מורכב שהיה מעורב במדינות אחרות, היה על הבנק להודיע ​​לרשויות אכיפת החוק והחקירה. כמו כן, ההיקף היה מעבר לצוות התגובה הפנימית של הבנק ומכאן נוכחותם של צוותים חיצוניים מ- KPMG, הבנק המרכזי ואחרים..

מחקירה משפטית של צוותים חיצוניים מהבנק המרכזי שלהם עלה כי ייתכן שהאירוע היה מרשלנות פנים שחשפה מערכות קריטיות.

על פי דיווח, ששת המפעילות דאז השתמשו במחשב מערכת SWIFT הייעודי למשימות אחרות שאינן קשורות זו לזו. יתכן שזה חשף את מערכת SWIFT, ולכן מאפשרת לתוקפים להתפשר עליה. לאחר האירוע העביר הבנק את ששת העובדים למחלקות אחרות פחות רגישות.

לקחים: הבנק היה צריך לפרוס מערכת פיקוח והתראה יעילה בנוסף ליצירת מודעות אבטחה נאותה בקרב העובדים ואכיפת מדיניות קפדנית..

סיכום

תגובת אירועים מתוכננת היטב, צוות טוב וכלים ושיטות אבטחה רלוונטיות מעניקות לארגון שלך יכולת לפעול במהירות ולהתייחס למגוון רחב של סוגיות אבטחה. זה מקטין את הנזק, הפרעות בשירותים, גניבת נתונים, אובדן מוניטין והתחייבויות פוטנציאליות.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map