Mi a baleset -elhárítási terv?

Még a legbiztonságosabb biztonsági rendszerek sem mentesülnek a kibertámadások alól, nem is beszélve azokról, amelyek nincsenek biztonságban. A kibertámadók mindig megpróbálnak betörni az Ön hálózatába, és az Ön felelőssége, hogy megakadályozza őket.

Egy ilyen fenyegetéssel szemben minden másodperc számít. Bármilyen késedelem felfedheti érzékeny adatait, és ez rendkívül káros lehet. A biztonsági incidensre adott válasza a különbség. Az Incident Response (IR) terv lehetővé teszi, hogy gyors lépést tegyen a betolakodók ellen.

Mi a baleset -elhárítási terv?

Az incidensre vonatkozó terv taktikai megközelítés a biztonsági esemény kezeléséhez. A biztonsági incidens előkészítésében, értékelésében, elszigetelésében és helyreállításában alkalmazott eljárásokból és irányelvekből áll.

Az Ön szervezete biztonsági incidens miatt leállhat, az esemény hatásától függően. Az incidensre vonatkozó terv biztosítja, hogy szervezete a lehető leghamarabb talpra álljon.

Amellett, hogy visszaállítja a hálózatot a támadást megelőző állapotra, az infravörös terv segít elkerülni az incidens ismétlődését.

Hogyan néz ki a baleset -elhárítási terv?

A baleset -elhárítási terv sikeresebb, ha a dokumentált utasításokat követik. Ahhoz, hogy ez megtörténhessen, csapatának meg kell értenie a tervet, és rendelkeznie kell a végrehajtáshoz szükséges készségekkel.

A kiberfenyegetések kezelésére két fő eseménykezelési keretrendszert használnak - a NIST és a SANS keretrendszert.

Egy kormányzati ügynökség, a Nemzeti Szabványügyi és Technológiai Intézet (NIST) a technológia különböző területeire specializálódott, és a kiberbiztonság az egyik alapvető szolgáltatása.

A NIST előfordulási választerve négy lépésből áll:

1. Készítmény.
2. Észlelés és elemzés.
3. Visszatartás, felszámolás és helyreállítás.
4. Baleset utáni tevékenység.

Egy magánszervezet, a SysAdmin, Audit, Network and Security (SANS) ismert a kiberbiztonsági és információs képzési szakértelméről. A SANS IR keretrendszert népszerűen használják a kiberbiztonságban, és hat lépést tartalmaz:

1. Készítmény.
2. Azonosítás.
3. Visszatartás.
4. Felszámolás.
5. Felépülés.
6. Tanulságok.

Bár a NIST és a SANS IR keretrendszerben kínált lépések száma eltér, mindkettő hasonló. Részletesebb elemzéshez koncentráljunk a SANS keretrendszerre.

1. Készítmény

A jó infravörös terv az előkészítéssel kezdődik, és ezt mind a NIST, mind a SANS keretrendszer elismeri. Ebben a lépésben áttekinti a jelenlegi biztonsági intézkedéseket és azok hatékonyságát.

A felülvizsgálati folyamat magában foglalja a hálózat kockázatelemzését fedezze fel az esetleges sebezhetőségeket. Önnek azonosítania kell informatikai eszközeit, és ennek megfelelően kell fontossági sorrendbe állítania azokat, kiemelt figyelmet fordítva a legérzékenyebb adatokat tartalmazó rendszerekre.

Erős csapat felépítése és szerepek kiosztása minden tagnak az előkészítő szakasz függvénye. Ajánlja fel mindenkinek a szükséges információkat és erőforrásokat, hogy azonnal reagálhasson egy biztonsági eseményre.

2. Azonosítás

Miután létrehozta a megfelelő környezetet és csapatot, itt az ideje, hogy észlelje a hálózatában esetlegesen fenyegető veszélyeket. Ezt megteheti a fenyegetést felderítő hírcsatornák, a tűzfalak, a SIEM és az IPS használatával, hogy figyelemmel kísérje és elemezze adatait a támadási mutatók tekintetében.

Ha támadást észlel, Önnek és csapatának meg kell határoznia a támadás jellegét, forrását, kapacitását és a szabálysértés megelőzéséhez szükséges egyéb összetevőket.

3. Visszatartás

A visszatartási fázisban a cél az, hogy elszigeteljék a támadást, és tehetetlenné tegyék, mielőtt kárt okozna a rendszerben.

A biztonsági incidens hatékony kezelése megköveteli az incidens és a rendszer által okozott kár mértékének megértését.

Készítsen biztonsági másolatot a fájljairól, mielőtt elkezdené az elszigetelési folyamatot, nehogy elveszítse az érzékeny adatokat. Fontos, hogy megőrizze a törvényszéki bizonyítékokat a további vizsgálatokhoz és jogi ügyekhez.

4. Felszámolás

A felszámolási szakasz magában foglalja a fenyegetés eltávolítását a rendszerből. A cél az, hogy visszaállítsa a rendszert az incidens előtti állapotba. Ha ez lehetetlen, akkor megpróbál valamit elérni, ami közel áll a korábbi állapotához.

A rendszer visszaállítása több műveletet is igényelhet, beleértve a merevlemezek törlését, a frissítést szoftververziókat, megakadályozva a kiváltó okot, és megvizsgálva a rendszert az esetleges rosszindulatú tartalmak eltávolítása érdekében létezik.

5. Felépülés

Biztos akar lenni abban, hogy a felszámolási szakasz sikeres volt, ezért további elemzéseket kell végeznie annak megerősítésére, hogy a rendszere teljesen fenyegető.

Miután meggyőződött arról, hogy a part tiszta, tesztelnie kell a rendszert, hogy felkészüljön az élesítésre. Nagyon figyeljen a hálózatára, még élőben is, hogy megbizonyosodjon arról, hogy semmi nincs rendben.

6. Megtanulta a leckét

A biztonsági rések ismétlődésének megakadályozása azt jelenti, hogy tudomásul veszik a hibás dolgokat és kijavítják azokat. Az IR terv minden szakaszát dokumentálni kell, mivel fontos információkat tartalmaz a lehetséges tanulságokról, amelyeket ebből lehet levonni.

Miután összegyűjtött minden információt, Önnek és csapatának fel kell tennie magának néhány kulcsfontosságú kérdést, többek között:

• Mi történt pontosan?
• Mikor történt?
• Hogyan kezeltük az esetet?
• Milyen lépéseket tettünk a válaszában?
• Mit tanultunk az esetből?

Az incidensek elhárítási tervének bevált módszerei

A NIST vagy a SANS incidensre vonatkozó terv elfogadása szilárd módja a kiberfenyegetések kezelésének. A nagyszerű eredmények eléréséhez azonban bizonyos gyakorlatokat be kell tartani.

A kritikus eszközök azonosítása

Cybertámadók mennek a gyilkosságra; a legértékesebb eszközeidet célozzák meg. Meg kell határoznia a kritikus eszközeit, és rangsorolni kell azokat a tervben.

Egy incidens esetén az első bejáratnak kell lennie a legértékesebb eszköznek, amellyel megakadályozhatja a támadókat elérheti vagy károsíthatja az adatait.

Hatékony kommunikációs csatornák létrehozása

A kommunikáció folyamata a tervben megváltoztathatja vagy megtörheti válaszstratégiáját. Gondoskodjon arról, hogy minden érintett megfelelő információval rendelkezzen a megfelelő lépések megtételéhez.

A kommunikáció egyszerűsítése előtt kockázatos várni egy esemény bekövetkezésére. Az előzetes elhelyezés önbizalmat kelt a csapatban.

Ne komplikáld túl

Egy biztonsági esemény kimerítő. A csapat tagjai valószínűleg őrjöngőek lesznek, és megpróbálják megmenteni a napot. Ne nehezítse meg munkájukat az IR -terv összetett részleteivel.

Legyen a lehető legegyszerűbb.

Bár azt szeretné, hogy a tervben szereplő információk könnyen érthetőek és végrehajthatók legyenek, ne öntözze túlzott általánosítással. Hozzon létre konkrét eljárásokat arra vonatkozóan, hogy a csapattagoknak mit kell tenniük.

Készítsen incidensekkel kapcsolatos kezelési útmutatókat

A személyre szabott terv hatékonyabb, mint az általános terv. A jobb eredmények elérése érdekében létre kell hozni egy IR -játékkönyvet a különféle biztonsági incidensek kezelésére.

A játékkönyv lépésről lépésre útmutatást ad a válaszcsapatnak arról, hogyan kell alaposan kezelni egy adott számítógépes fenyegetést, ahelyett, hogy csak megérintené a felületet.

Tesztelje a tervet

A leghatékonyabb behúzási választerv az, amelyet folyamatosan tesztelnek és hatékonynak tanúsítanak.

Ne készíts tervet és felejtsd el. Rendszeresen végezzen biztonsági gyakorlatokat, hogy azonosítsa a kibúvókat, amelyeket a kibertámadók kihasználhatnak.

Proaktív biztonsági megközelítés elfogadása

A kibertámadók nem veszik tudomásul az egyéneket és szervezeteket. Senki sem ébred fel reggel, arra számítva, hogy feltörik a hálózatát. Bár nem kíván biztonsági eseményt magának, fennáll annak a lehetősége.

A legkevesebb, amit tehet, hogy proaktívnak kell lennie, ha létrehozza az incidensre vonatkozó tervet, arra az esetre, ha a kibertámadók a hálózatot célozzák meg.

Mi a számítógépes zsarolás és hogyan lehet megakadályozni?

A számítógépes zsarolás jelentős veszélyt jelent az online biztonságra. De mi is ez pontosan, és hogyan tudja biztosítani, hogy ne legyen áldozat?

Olvassa tovább

A szerzőről