Zavedenie riadenia reakcií na incidenty v oblasti kybernetickej bezpečnosti a osvedčených postupov

Vzhľadom na to, že kybernetické útoky neustále rastú, čo sa týka objemu, diverzity a sofistikovanosti, musia byť organizácie nielen škodlivejšie a škodlivejšie, ale aj pripravené na ich efektívne zvládnutie..


Okrem nasadenia účinných bezpečnostných riešení a postupov potrebujú schopnosť rýchlo identifikovať a riešiť útoky, a teda zabezpečiť minimálne škody, prerušenia a náklady..

Každý IT systém je potenciálnym cieľom kybernetického útoku a väčšina ľudí súhlasí s tým, že nejde o to, či, ale kedy sa to stane. Dopad sa však líši v závislosti od toho, ako rýchlo a efektívne riešite tento problém, a preto je potrebná pripravenosť na reakciu na incident.

Reakcia na incident s kybernetickou bezpečnosťou (IR) sa vzťahuje na sériu procesov, ktoré organizácia podniká na riešenie útoku na svoje IT systémy. Vyžaduje si to kombináciu správnych hardvérových a softvérových nástrojov a postupov, ako je správne plánovanie, postupy, školenie a podpora všetkých v organizácii..

Osvedčené postupy pred bezpečnostnými incidentmi, počas nich a po nich

Ak dôjde k kybernetickému útoku, môže dôjsť k viacerým činnostiam súčasne, čo môže byť hektické, ak neexistuje koordinácia alebo správne postupy pri riešení incidentov..

Avšak príprava v predstihu a vytvorenie jasného a ľahko zrozumiteľného plánu a politiky reakcie na incidenty umožňujú bezpečnostným tímom pracovať v harmónii. To im umožňuje zamerať sa na kritické úlohy, ktoré obmedzujú potenciálne poškodenie ich IT systémov, údajov a reputácie a vyhýbajú sa zbytočným prerušeniam podnikania..

Príprava plánu reakcie na incidenty

Plán reakcie na incidenty dokumentuje kroky, ktoré je potrebné vykonať v prípade útoku alebo akéhokoľvek iného bezpečnostného problému. Aj keď sa skutočné kroky môžu líšiť v závislosti od prostredia, typický proces založený na rámci SANS (SysAdmin, audit, sieť a bezpečnosť) bude zahŕňať prípravu, identifikáciu, zadržanie, odstránenie, obnovenie, upozornenie na incident a následnú správu. preskúmanie incidentu.

reakcia na incidentTok procesu reakcie na incident (na základe šablóny NIST) Obrázok NIST

Príprava zahŕňa vypracovanie plánu s relevantnými informáciami a skutočnými postupmi, ktoré bude tím počítačovej reakcie na incidenty (CIRT) dodržiavať pri riešení incidentu..

Tie obsahujú:

  • Konkrétne tímy a jednotlivci, ktorí sú zodpovední za každý krok procesu reakcie na incident.
  • Definuje, čo predstavuje incident, vrátane toho, čo zaručuje, aký typ reakcie.
  • Kritické údaje a systémy, ktoré si vyžadujú väčšiu ochranu a ochranu.
  • Spôsob, ako zachovať postihnuté stavy postihnutých systémov na súdne účely.
  • Postupy na určenie, kedy a kto oznámiť problém zabezpečenia. V prípade nehody môže byť potrebné informovať postihnutých používateľov, zákazníkov, pracovníkov orgánov činných v trestnom konaní atď., Ale toto sa bude líšiť v závislosti od odvetvia a prípadu..

Plán reakcie na incidenty musí byť ľahko zrozumiteľný a implementovateľný a musí byť v súlade s ostatnými plánmi a organizačnými zásadami. Stratégia a prístup sa však môžu líšiť v závislosti od rôznych odvetví, tímov, hrozieb a možných škôd. Pravidelné testovanie a aktualizácie zaisťujú platnosť a účinnosť plánu.

Kroky reakcie na incidenty, keď dôjde k kybernetickému útoku

Keď dôjde k bezpečnostnému incidentu, tímy by mali konať rýchlo a efektívne, aby ho zadržali a zabránili jeho šíreniu do čistých systémov. Nasledujú osvedčené postupy pri riešení bezpečnostných problémov. Môžu sa však líšiť v závislosti od prostredia a štruktúry organizácie.

Zostavte alebo zapojte tím reakcie na počítačové incidenty

Zaistite, aby interný alebo externe zadaný tím CIRT mal k dispozícii tých správnych ľudí, ktorí majú správne zručnosti a skúsenosti. Z toho vyberte vedúceho tímu, ktorý bude ústredným človekom, ktorý bude usmerňovať a zabezpečiť, aby reakcia prebehla podľa plánu a harmonogramu. Vedúci bude tiež pracovať ruka v ruke s vedením a najmä v prípade dôležitých rozhodnutí týkajúcich sa operácií.

Identifikujte incident a stanovte typ a zdroj útoku

V prípade akýchkoľvek príznakov hrozby by mal tím IR konať rýchlo, aby overil, či sa skutočne jedná o bezpečnostný problém, či už interný alebo externý, pričom zabezpečí, aby ho čo najrýchlejšie obsahovali. Medzi typické spôsoby určenia, kedy sa vyskytne problém, patria okrem iného;

  • Výstrahy z nástrojov bezpečnostného monitorovania, porúch v rámci systémov, nezvyčajného správania, neočakávaných alebo nezvyčajných úprav súborov, kopírovania alebo sťahovania atď.
  • Podávanie správ používateľmi, správcami siete alebo systému, bezpečnostným personálom alebo externými partnermi alebo zákazníkmi tretích strán.
  • Auditujte protokoly so znakmi nezvyčajného správania používateľov alebo systémov, ako sú viacnásobné neúspešné pokusy o prihlásenie, sťahovanie veľkých súborov, vysoké využitie pamäte a ďalšie anomálie..

Automatické varovanie bezpečnostného incidentu VaronisAutomatické varovanie bezpečnostného incidentu Varonis – obrázok Varonis 

Posúdiť a analyzovať dopad útoku

Poškodenie, ktoré útok spôsobí, sa líši v závislosti od jeho typu, účinnosti bezpečnostného riešenia a rýchlosti, ktorú tím reaguje. Najčastejšie nie je možné vidieť rozsah škody až po úplnom vyriešení problému. Analýza by mala zistiť typ útoku, jeho dopad a služby, ktoré by mohli ovplyvniť.

Je tiež dobré hľadať akékoľvek stopy, ktoré by útočník mohol nechať, a zhromažďovať informácie, ktoré pomôžu pri určovaní časového plánu aktivít. To zahŕňa analýzu všetkých komponentov postihnutých systémov, zachytenie relevantných pre forenznú analýzu a určenie toho, čo by sa mohlo stať v každej fáze..

V závislosti od rozsahu útoku a zistení môže byť potrebné zvýšiť incidenciu pre príslušný tím.

Potvrdenie, odstránenie hrozby a obnova

Fáza zadržania zahŕňa blokovanie šírenia útoku, ako aj obnovenie systémov do pôvodného prevádzkového stavu. V ideálnom prípade by tím CIRT mal identifikovať hrozbu a hlavnú príčinu, odstrániť všetky hrozby blokovaním alebo odpojením kompromitovaných systémov, vyčistením škodlivého softvéru alebo vírusu, blokovaním škodlivých používateľov a obnovením služieb..

Mali by tiež stanoviť a riešiť zraniteľné miesta, ktoré útočníci zneužívajú, aby zabránili ich budúcim udalostiam. Typické obmedzenie zahŕňa krátkodobé a dlhodobé opatrenia, ako aj zálohu súčasného stavu.

Pred obnovením čistej zálohy alebo vyčistením systémov je dôležité uschovať si kópiu stavu postihnutých systémov. Je to nevyhnutné na zachovanie súčasného stavu, čo môže byť užitočné, pokiaľ ide o forenznú činnosť. Po zálohovaní je ďalším krokom obnova narušených služieb. Tímy to môžu dosiahnuť v dvoch fázach:

  • Skontrolujte systémy a sieťové komponenty a overte, či všetky fungujú správne
  • Znovu skontrolujte všetky infikované alebo kompromitované komponenty a potom vyčistené alebo obnovené, aby ste sa uistili, že sú teraz bezpečné, čisté a funkčné..

Oznamovanie a podávanie správ

Tím reagujúci na incidenty vykonáva analýzu, reagovanie a podávanie správ. Musia preskúmať pôvodnú príčinu nehody, zdokumentovať svoje zistenia o vplyve, ako vyriešili problém, stratégiu obnovy pri odovzdávaní príslušných informácií manažmentu, iným tímom, používateľom a poskytovateľom tretích strán..

Komunikácia s externými agentúrami a poskytovateľmiKomunikácia s externými agentúrami a poskytovateľmi NIST

Ak sa porušenie týka citlivých údajov, ktoré si vyžadujú notifikujúce orgány činné v trestnom konaní, tím by mal začať postupovať a riadiť sa stanovenými postupmi uvedenými v ich politike IT..

Výsledkom útoku je zvyčajne krádež, zneužitie, poškodenie alebo iná neoprávnená činnosť na citlivých údajoch, ako sú dôverné, osobné, súkromné ​​a obchodné informácie. Z tohto dôvodu je nevyhnutné informovať dotknuté osoby, aby mohli prijať preventívne opatrenia a chrániť svoje kritické údaje, ako sú finančné, osobné a iné dôverné informácie..

Napríklad, ak sa útočníkovi podarí získať prístup k používateľským kontám, bezpečnostné tímy by ich mali informovať a požiadať ich o zmenu hesiel.

Vykonajte kontrolu po incidente

Vyriešenie incidentu tiež ponúka ponaučenie a tímy môžu analyzovať svoje bezpečnostné riešenie a riešiť slabé odkazy zabrániť podobnej udalosti v budúcnostiMedzi vylepšenia patrí nasadenie lepších bezpečnostných a monitorovacích riešení pre interné aj externé hrozby, poučenie personálu a používateľov o bezpečnostných hrozbách, ako sú phishing, spam, malware a ďalšie, ktorým by sa mali vyhnúť..

Ďalšími ochrannými opatreniami sú spustenie najnovších a účinných bezpečnostných nástrojov, oprava serverov, riešenie všetkých zraniteľností v počítačoch klientov a serverov atď..

Prípadová štúdia reakcie na incidenty NIC v Ázii v Nepále

Nedostatočná detekčná schopnosť alebo odozva môžu viesť k nadmernému poškodeniu a stratám. Jedným z príkladov je prípad NIC Asia Bank v Nepále, ktorý stratil a získal späť nejaké peniaze po kompromise v oblasti obchodných procesov v roku 2017. Útočníci napadli SWIFT a podvodne prevádzali prostriedky z banky na rôzne účty vo Veľkej Británii, Japonsku, Singapure a USA..

Našťastie orgány odhalili nezákonné transakcie, ale podarilo sa im získať iba zlomok ukradnutých peňazí. Mohol by existovať lepší varovný systém, bezpečnostné tímy by incident zistili v skoršej fáze, možno skôr, ako sa útočníkom podarí dosiahnuť kompromis v obchodnom procese..

Keďže išlo o zložitý bezpečnostný problém, ktorého sa zúčastnili iné krajiny, banka musela informovať orgány činné v trestnom konaní a vyšetrovacie orgány. Rozsah tiež presahoval interný tím pre reakciu na incidenty banky, a teda prítomnosť externých tímov od KPMG, centrálnej banky a ďalších..

Z forenzného vyšetrovania externých tímov z ich centrálnej banky vyplynulo, že incident môže byť spôsobený zneužitím dôverných informácií, ktoré odhalili kritické systémy..

Podľa správy, vtedajších šesť operátorov použilo vyhradený počítačový systém SWIFT na ďalšie nesúvisiace úlohy. Môže to odhaliť systém SWIFT, čo útočníkom umožní narušiť jeho fungovanie. Po incidente banka presunula týchto šesť zamestnancov do iných menej citlivých oddelení.

Ponaučenie: Banka by mala okrem efektívneho informovania zamestnancov o bezpečnosti a presadzovania prísnych politík nasadiť účinný monitorovací a varovný systém..

záver

Dobre naplánovaná reakcia na incidenty, dobrý tím a príslušné bezpečnostné nástroje a postupy dávajú vašej organizácii možnosť konať rýchlo a riešiť širokú škálu bezpečnostných problémov. Znižuje sa tým poškodenie, prerušenie služieb, krádež údajov, strata reputácie a potenciálne záväzky.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map