Mis on õnnetustele reageerimise plaan?

Isegi kõige turvalisemad turvasüsteemid ei ole küberrünnakutest vabastatud, rääkimata neist, mis pole turvatud. Küberründajad püüavad alati teie võrku tungida ja nende peatamine on teie kohustus.

Sellise ohu ees loeb iga sekund. Iga viivitus võib paljastada teie tundlikud andmed ja see võib olla väga kahjulik. Teie reageering turvaintsidendile muudab asja. Intsidentidele reageerimise (IR) plaan võimaldab teil kiiresti tungida sissetungijate vastu.

Mis on õnnetustele reageerimise plaan?

Juhtumitele reageerimise plaan on taktikaline lähenemisviis turvaintsidendi juhtimiseks. See koosneb turvaintsidentide ettevalmistamise, hindamise, ohjeldamise ja taastumise protseduuridest ja põhimõtetest.

Seisakuid, mida teie organisatsioon turvaintsidendi tõttu kannatab, võib sõltuvalt vahejuhtumi mõjust veel oodata. Juhtumitele reageerimise plaan tagab, et teie organisatsioon tõuseb oma jalgadele nii kiiresti kui võimalik.

Lisaks võrgu taastamisele sellisena, nagu see oli enne rünnakut, aitab infrapunaplaan vältida ka juhtumi kordumist.

Kuidas näeb välja õnnetusjuhtumitele reageerimise plaan?

Juhtumitele reageerimise plaan on edukam, kui viimasele järgitakse dokumenteeritud juhiseid. Et see juhtuks, peab teie meeskond plaanist aru saama ja omama selle elluviimiseks vajalikke oskusi.

Küberohtude juhtimiseks kasutatakse kahte peamist intsidentidele reageerimise raamistikku - NIST ja SANS.

Valitsusasutus, riiklik standardi- ja tehnoloogiainstituut (NIST) on spetsialiseerunud erinevatele tehnoloogiavaldkondadele ja küberjulgeolek on selle üks põhiteenuseid.

NIST -i esinemissagedusele reageerimise plaan koosneb neljast etapist:

1. Ettevalmistus.
2. Avastamine ja analüüs.
3. Kinnipidamine, likvideerimine ja taastamine.
4. Õnnetusjärgne tegevus.

Eraorganisatsioon SysAdmin, Audit, Network and Security (SANS) on tuntud oma kogemuste poolest küberturvalisuse ja teabekoolituse osas. SANS IR raamistikku kasutatakse küberturvalisuses ja see hõlmab kuut sammu:

1. Ettevalmistus.
2. Identifitseerimine.
3. Kinnipidamine.
4. Likvideerimine.
5. Taastumine.
6. Õppetunnid.

Kuigi NIST ja SANS IR raamistikes pakutavate sammude arv on erinev, on mõlemad sarnased. Üksikasjalikuma analüüsi jaoks keskendume SANS -i raamistikule.

1. Ettevalmistus

Hea IR -plaan algab ettevalmistamisest ning seda tunnistavad nii NIST kui ka SANS -i raamistikud. Selles etapis vaatate üle olemasolevad turvameetmed ja nende tõhusus.

Ülevaatamisprotsess hõlmab teie võrgu riskianalüüsi avastada võimalikud haavatavused. Peate tuvastama oma IT -varad ja seadma need vastavalt tähtsuse järjekorda, pöörates ülimat tähtsust süsteemidele, mis sisaldavad teie kõige tundlikumaid andmeid.

Tugeva meeskonna loomine ja igale liikmele rollide määramine on ettevalmistusetapi funktsioon. Pakkuge kõigile teavet ja ressursse, mida nad vajavad turvaintsidendile kiireks reageerimiseks.

2. Identifitseerimine

Olles loonud õige keskkonna ja meeskonna, on aeg avastada kõik teie võrgus esinevad ohud. Seda saate teha ohuteabe voogude, tulemüüride, SIEM -i ja IPS -i abil, et jälgida ja analüüsida oma andmeid rünnakuindikaatorite osas.

Kui rünnak tuvastatakse, peate teie ja teie meeskond määrama rünnaku olemuse, selle allika, võimsuse ja muud rikkumise vältimiseks vajalikud komponendid.

3. Kinnipidamine

Tõkestamisfaasis on eesmärk rünnak isoleerida ja muuta see jõuetuks, enne kui see teie süsteemile kahju põhjustab.

Turvaintsidendi tõhus sisaldamine eeldab juhtumi mõistmist ja selle kahjustamise määra teie süsteemile.

Enne isoleerimisprotsessi alustamist varundage oma failid, et te ei kaotaks selle käigus tundlikke andmeid. Tähtis on säilitada kohtuekspertiisi tõendid edasiseks uurimiseks ja juriidilisteks küsimusteks.

4. Likvideerimine

Likvideerimise etapp hõlmab ohu eemaldamist teie süsteemist. Teie eesmärk on taastada süsteem sellises seisus, nagu see oli enne intsidenti. Kui see on võimatu, proovige saavutada midagi, mis on lähedane eelmisele olukorrale.

Süsteemi taastamine võib nõuda mitmeid toiminguid, sealhulgas kõvaketaste pühkimist ja värskendamist tarkvaraversioone, vältides algpõhjust ja skaneerides süsteemi võimaliku pahatahtliku sisu eemaldamiseks olemas.

5. Taastumine

Soovite veenduda, et likvideerimisetapp oli edukas, seega peate tegema rohkem analüüse, et veenduda, et teie süsteemil ei ole mingeid ohte.

Kui olete kindel, et rannik on selge, peate oma süsteemi käivitamiseks ette valmistama ja seda testima. Pöörake hoolikalt tähelepanu oma võrgule, isegi kui see on reaalajas, et olla kindel, et midagi pole valesti.

6. Õppetund

Turvarikkumise kordumise vältimiseks tuleb valesti läinud asjad teadmiseks võtta ja need parandada. Iga IR -kava etapp tuleks dokumenteerida, kuna see sisaldab olulist teavet võimalike õppetundide kohta, mida sellest õppida.

Kui olete kogu teabe kogunud, peaksite teie ja teie meeskond esitama endale mõned põhiküsimused, sealhulgas:

• Mis täpselt juhtus?
• Millal see juhtus?
• Kuidas me juhtunuga hakkama saime?
• Milliseid samme me selle vastuseks astusime?
• Mida oleme juhtunust õppinud?

Juhtumitele reageerimise plaani parimad tavad

NIST- või SANS -i juhtumitele reageerimise plaani vastuvõtmine on kindel viis küberohtude vastu võitlemiseks. Kuid suurepäraste tulemuste saavutamiseks peate järgima teatavaid tavasid.

Tuvastage kriitilised varad

Küberründajad lähevad tapma; need sihivad teie kõige väärtuslikumat vara. Peate oma kriitilised varad kindlaks tegema ja need oma plaanis tähtsuse järjekorda seadma.

Intsidenti silmas pidades peaks teie esimene külastusport olema teie kõige väärtuslikum vara ründajate vältimiseks teie andmetele juurde pääseda või neid kahjustada.

Looge tõhusad suhtluskanalid

Suhtlusvoog teie plaanis võib teie reageerimisstrateegia koostada või rikkuda. Veenduge, et kõigil asjaosalistel oleks igal hetkel piisav teave asjakohaste toimingute tegemiseks.

Enne suhtluse sujuvamaks muutmist on oodata vahejuhtumit. Selle eelnevalt paika panemine sisendab teie meeskonda enesekindlust.

Hoidke see lihtne

Turvaintsident väsitab. Teie meeskonna liikmed on tõenäoliselt meeletu, püüdes päeva päästa. Ärge raskendage nende tööd IR -plaani keerukate detailidega.

Hoidke see võimalikult lihtsana.

Kuigi soovite, et teie plaani teave oleks hõlpsasti mõistetav ja täidetav, ärge kastke seda üleüldise kasutamisega. Looge konkreetsed protseduurid selle kohta, mida meeskonnaliikmed peaksid tegema.

Looge juhtumitele reageerimise mänguraamatud

Kohandatud plaan on tõhusam kui üldine plaan. Paremate tulemuste saamiseks peate looma infrapuna mänguraamatu erinevate turvaintsidentide lahendamiseks.

Mänguraamat annab teie reageerimismeeskonnale samm-sammult juhised selle kohta, kuidas konkreetset küberohtu põhjalikult hallata, selle asemel, et lihtsalt pinda puudutada.

Testige plaani

Kõige tõhusam taandele reageerimise plaan on selline, mida pidevalt testitakse ja mis on tõhusaks sertifitseeritud.

Ärge looge plaani ja unustage see. Korraldage perioodiliselt turvaõppusi, et teha kindlaks lüngad, mida küberründajad võivad ära kasutada.

Ennetava turvameetodi vastuvõtmine

Küberründajad hoiavad üksikisikuid ja organisatsioone teadmatuses. Keegi ei ärka hommikul, oodates, et nende võrku häkkitakse. Kuigi te ei pruugi soovida endale turvaintsidenti, on siiski võimalus, et see juhtub.

Vähim, mida saate teha, on olla ennetav, luues intsidentidele reageerimise plaani juhuks, kui küberründajad otsustavad teie võrku sihtida.

Mis on küberpressimine ja kuidas seda vältida?

Küberpressimine kujutab endast märkimisväärset ohtu teie veebiturvalisusele. Aga mis see täpselt on ja kuidas saate tagada, et te pole ohver?

Loe edasi

Autori kohta