Pat visdrošākās drošības sistēmas nav atbrīvotas no kiberuzbrukumiem, nemaz nerunājot par tiem, kas nav aizsargāti. Kiberuzbrukumi vienmēr centīsies ielauzties jūsu tīklā, un jūsu pienākums ir tos apturēt.
Saskaroties ar šādiem draudiem, katra sekunde ir svarīga. Jebkura kavēšanās var atklāt jūsu sensitīvos datus, un tas var būt ļoti kaitīgi. Jūsu reakcija uz drošības incidentu ir atšķirīga. Incidentu reaģēšanas (IR) plāns ļauj ātri atkāpties no iebrucējiem.
Kas ir reaģēšanas plāns starpgadījumiem?
Incidenta reaģēšanas plāns ir taktiska pieeja drošības incidenta pārvaldīšanai. Tas sastāv no procedūrām un politikas, kas paredzētas drošības novērtējuma sagatavošanai, novērtēšanai, ierobežošanai un atveseļošanai.
Jūsu organizācijas dīkstāve drošības incidenta dēļ var ieilgt atkarībā no incidenta ietekmes. Reaģēšanas plāns negadījumam nodrošina, ka jūsu organizācija pēc iespējas ātrāk atgriežas kājās.
Papildus tīkla atjaunošanai tādā stāvoklī, kāds tas bija pirms uzbrukuma, IS plāns palīdz izvairīties no incidenta atkārtošanās.
Kā izskatās reaģēšanas plāns starpgadījumiem?
Reaģēšanas uz negadījumiem plāns ir veiksmīgāks, ja tiek ievēroti dokumentētie norādījumi. Lai tas notiktu, jūsu komandai ir jāsaprot plāns un jābūt nepieciešamajām prasmēm, lai to izpildītu.
Kibernoziegumu draudu pārvaldībai tiek izmantotas divas galvenās reaģēšanas sistēmas - NIST un SANS.
Valsts aģentūra, Nacionālais standartu un tehnoloģiju institūts (NIST), kas specializējas dažādās tehnoloģiju jomās, un viens no tās pamatpakalpojumiem ir kiberdrošība.
NIST sastopamības novēršanas plāns sastāv no četriem soļiem:
- Sagatavošana.
- Noteikšana un analīze.
- Ierobežošana, izskaušana un atveseļošanās.
- Darbība pēc negadījuma.
Privāta organizācija SysAdmin, Audit, Network and Security (SANS) ir pazīstama ar savu pieredzi kiberdrošības un informācijas apmācības jomā. SANS IR ietvars tiek plaši izmantots kiberdrošībā, un tas ietver sešus soļus:
- Sagatavošana.
- Identifikācija.
- Ierobežošana.
- Iznīcināšana.
- Atgūšana.
- Gūtās mācības.
Lai gan NIST un SANS IR ietvaros piedāvāto darbību skaits ir atšķirīgs, abi ir līdzīgi. Lai iegūtu detalizētāku analīzi, pievērsīsimies SANS ietvaram.
1. Sagatavošana
Labs IR plāns sākas ar sagatavošanu, un gan NIST, gan SANS sistēma to atzīst. Šajā solī jūs pārskatāt pašreizējos drošības pasākumus un to efektivitāti.
Pārskatīšanas process ietver jūsu tīkla riska novērtējumu atklāt visas iespējamās ievainojamības. Jums ir jāidentificē savi IT aktīvi un jānosaka to prioritāte, piešķirot vislielāko nozīmi sistēmām, kurās ir jūsu visjutīgākie dati.
Spēcīgas komandas veidošana un lomu piešķiršana katram dalībniekam ir sagatavošanās posma funkcija. Piedāvājiet ikvienam informāciju un resursus, kas nepieciešami, lai nekavējoties reaģētu uz drošības incidentu.
2. Identifikācija
Izveidojot pareizo vidi un komandu, ir pienācis laiks atklāt visus draudus, kas var pastāvēt jūsu tīklā. To var izdarīt, izmantojot draudu izlūkošanas plūsmas, ugunsmūrus, SIEM un IPS, lai uzraudzītu un analizētu savus datus, lai noteiktu uzbrukuma rādītājus.
Ja tiek atklāts uzbrukums, jums un jūsu komandai ir jānosaka uzbrukuma raksturs, tā avots, ietilpība un citas sastāvdaļas, kas nepieciešamas, lai novērstu pārkāpumu.
3. Ierobežošana
Ierobežošanas posmā mērķis ir izolēt uzbrukumu un padarīt to bezspēcīgu, pirms tas nodara kaitējumu jūsu sistēmai.
Lai efektīvi iekļautu drošības incidentu, ir jāizprot negadījums un tā kaitējuma pakāpe jūsu sistēmai.
Pirms ierobežošanas procesa sākuma dublējiet savus failus, lai to laikā nezaudētu sensitīvus datus. Ir svarīgi saglabāt kriminālistikas pierādījumus turpmākai izmeklēšanai un juridiskiem jautājumiem.
4. Iznīcināšana
Iznīcināšanas posms ietver draudu noņemšanu no jūsu sistēmas. Jūsu mērķis ir atjaunot sistēmu tādā stāvoklī, kādā tā bija pirms incidenta. Ja tas nav iespējams, mēģiniet sasniegt kaut ko tuvu iepriekšējam stāvoklim.
Sistēmas atjaunošanai var būt nepieciešamas vairākas darbības, tostarp cieto disku tīrīšana, jaunināšana programmatūras versijas, novēršot galveno cēloni un skenējot sistēmu, lai noņemtu ļaunprātīgu saturu pastāv.
5. Atgūšana
Jūs vēlaties pārliecināties, ka izskaušanas posms bija veiksmīgs, tāpēc jums ir jāveic vairāk analīžu, lai apstiprinātu, ka jūsu sistēmā nav nekādu draudu.
Kad esat pārliecināts, ka piekraste ir skaidra, jums ir jāpārbauda sistēma, lai tā sāktu darboties. Pievērsiet lielu uzmanību savam tīklam, pat ja tas darbojas tiešsaistē, lai pārliecinātos, ka nekas nav kārtībā.
6. Mācība
Lai novērstu drošības pārkāpumu atkārtošanos, jāņem vērā kļūdas un tās jālabo. Katrs IR plāna posms ir jādokumentē, jo tajā ir būtiska informācija par iespējamām mācībām, ko no tā var gūt.
Apkopojot visu informāciju, jums un jūsu komandai jāuzdod sev daži galvenie jautājumi, tostarp:
- Kas tieši notika?
- Kad tas notika?
- Kā mēs tikām galā ar incidentu?
- Kādus pasākumus mēs veicām, reaģējot?
- Ko mēs esam iemācījušies no notikušā?
Paraugprakse reaģēšanas plāna īstenošanai starpgadījumos
NIST vai SANS reaģēšanas plāna pieņemšana ir labs veids, kā novērst kiberdraudus. Bet, lai iegūtu lieliskus rezultātus, ir jāievēro noteikta prakse.
Identificējiet kritiskos aktīvus
Kiberuzbrucēji dodas nogalināt; tie ir vērsti uz jūsu visvērtīgākajiem aktīviem. Jums ir jāidentificē savi kritiskie aktīvi un jānosaka to prioritāte plānā.
Saskaroties ar incidentu, jūsu pirmajai piestāšanas ostai vajadzētu būt jūsu visvērtīgākajai īpašībai, lai novērstu uzbrucējus piekļūt jūsu datiem vai tos sabojāt.
Izveidojiet efektīvus saziņas kanālus
Komunikācijas plūsma jūsu plānā var izveidot vai izjaukt jūsu atbildes stratēģiju. Pārliecinieties, ka ikvienam iesaistītajam ir atbilstoša informācija katrā brīdī, lai veiktu atbilstošas darbības.
Pirms saziņas racionalizācijas gaidīt incidenta iestāšanos ir riskanti. Iepriekš novietojot to vietā, jūs iedvesīsit pārliecību par savu komandu.
Atstāj to vienkāršu
Drošības incidents ir nogurdinošs. Jūsu komandas locekļi, iespējams, būs izmisuši, cenšoties glābt dienu. Neapgrūtiniet viņu darbu ar sarežģītu informāciju savā IR plānā.
Saglabājiet to pēc iespējas vienkāršāk.
Lai gan vēlaties, lai jūsu plānā iekļautā informācija būtu viegli saprotama un izpildāma, neatlaidiniet to ar pārmērīgu vispārināšanu. Izveidojiet īpašas procedūras, kā rīkoties komandas locekļiem.
Izveidojiet reaģēšanas incidentu rokasgrāmatas
Pielāgots plāns ir efektīvāks par vispārēju plānu. Lai iegūtu labākus rezultātus, jums jāizveido IR rokasgrāmata dažādu drošības incidentu novēršanai.
Spēļu grāmata sniedz jūsu atbildes komandai soli pa solim norādījumus par to, kā rūpīgi pārvaldīt konkrētus kiberdraudus, nevis vienkārši pieskarties virsmai.
Pārbaudiet plānu
Visefektīvākais atkāpes atbildes plāns ir tāds, kas tiek nepārtraukti pārbaudīts un sertificēts kā efektīvs.
Neveidojiet plānu un aizmirstiet par to. Periodiski veiciet drošības mācības, lai noteiktu nepilnības, kuras kiberuzbrucēji var izmantot.
Proaktīvas drošības pieejas pieņemšana
Kiberuzbrucēji nezina personas un organizācijas. Neviens nepamostas no rīta, gaidot, ka viņu tīkls tiks uzlauzts. Lai gan jūs, iespējams, nevēlaties drošības incidentu sev, pastāv iespēja, ka tas notiks.
Mazākais, ko varat darīt, ir būt proaktīvam, izveidojot reaģēšanas plānu uz gadījumiem, ja kiberuzbrukumi izvēlas mērķēt uz jūsu tīklu.
Kibernoziegumi rada ievērojamus draudus jūsu tiešsaistes drošībai. Bet kas tas īsti ir un kā jūs varat nodrošināt, ka neesat upuris?
Lasīt Tālāk
- Drošība
- Izskaidrota tehnoloģija
- Drošība tiešsaistē
Krisu Odogvu aizrauj tehnoloģijas un daudzie veidi, kā tās uzlabo dzīvi. Kaislīgs rakstnieks, viņš ir saviļņots, sniedzot zināšanas, rakstot. Viņam ir bakalaura grāds masu komunikācijā un maģistra grāds sabiedriskajās attiecībās un reklāmā. Viņa mīļākais hobijs ir dejošana.
Abonējiet mūsu biļetenu
Pievienojieties mūsu informatīvajam izdevumam, lai iegūtu tehniskus padomus, pārskatus, bezmaksas e -grāmatas un ekskluzīvus piedāvājumus!
Noklikšķiniet šeit, lai abonētu
