Jak reagovat na narušení bezpečnosti pomocí plánu reakce na závažné incidenty

Se stále rostoucí důležitostí dat musí společnosti udělat vše, co je v jejich silách, aby zabránily narušení dat a bezpečnostním incidentům. Pokud se totiž „záškodníkovi“ podaří získat přístup k citlivým datům, vystavuje se společnost obrovskému finančnímu a reputačnímu riziku.

Mnoho článků a blogů se zaměřuje na to, jak zajistit, aby k útoku nikdy nedošlo, a to prostřednictvím řady proaktivních taktik pro zmírnění rizik. Ke všem těmto radám je však třeba doplnit poznámku, že i když vaše organizace přijala ta nejpřísnější bezpečnostní opatření, nic takového jako absolutní ochrana před bezpečnostními incidenty neexistuje.

V případě bezpečnostního incidentu vaše firma potřebuje konkrétní plán reakce na takový incident– a tento plán nelze vytvořit za pochodu. Vytvoření plánu reakce na incidenty umožňuje vaší organizaci přidělit odpovědnosti a zavést procesy dříve, než k incidentu nebo narušení dojde, což vám dá možnost okamžitě bojovat s událostí a minimalizovat její dopad na společnost.

Ve světě kybernetické bezpečnosti je nejlepší připravit se na nejhorší. Pojďme se podívat na některé osvědčené postupy pro vytvoření účinného plánu reakce na incidenty, který snižuje riziko a posilňuje kybernetickou odolnost.

Narušení a bezpečnostní incidenty jsou v našem podnikatelském prostředí, které je závislé na technologiích, bohužel běžné. Zpráva Risk Based Security uvádí, že v roce 2020 bylo v důsledku narušení bezpečnosti dat celosvětově odhaleno více než 36 miliard záznamů. Často je obtížné skutečně porozumět celé hloubce a šíři současného prostředí hrozeb, zvláště jsou-li rozsáhlé úniky dat pasé.

Ne všechny datové incidenty jsou však narušením dat. Podívejme se na rozdíly podrobněji:

• Bezpečnostní událost: Událost, která narušuje integritu, důvěrnost nebo dostupnost informačního aktiva. Může se jednat o útoky sociálního inženýrství, útoky na webové aplikace nebo různé potenciální hrozby, které nezpůsobily hmatatelnou škodu. Zatím.
• Incident: Narušení, které má za následek potvrzené vyzrazení (nikoli pouze potenciální expozici) dat neoprávněné straně. Patří mezi ně útoky sociálního inženýrství, útoky na základní webové aplikace, narušení systému, zneužití oprávnění a chyby uživatelů.

Jinými slovy, kyberzločinci nemusejí vždy ukrást informace, ale přesto mohou mít negativní dopad na vaši společnost. Zanedbání včasné reakce na incident navíc může rychle přerůst v narušení bezpečnosti. Pokud si například všimnete zranitelnosti v rozhraní API vašeho webu, může se záškodník připravovat na útok, a je tak načase rychle jednat, abyste se vyhnuli vážným následkům.

Náklady narušení dat

Přímé náklady, které si vyžádá únik dat, lze jen těžko vyčíslit. Vaší firmě mohou vzniknout nejen náklady přímé, jako je zaplacení výkupného za obnovení přístupu k datům, ale také náklady nepřímé, jako jsou náklady na pracovní sílu spojené s krizovým řízením.

Podle zprávy 2021 Cost of a Data Breach Report:

• Průměrné celkové náklady narušení dat činí 3,86 milionu dolarů.
• Průměrné náklady narušení dat vyplývající z chybné konfigurace cloudu činí 4,41 milionu USD.
• Společnosti, které vytvořily a otestovaly týmy pro reakci na incidenty, utrpěly ztráty v průměru pouze 2 miliony dolarů.

Jinými slovy to potvrzuje finanční hodnotu vytvoření a testování programu a týmu reakce na incidenty.

Vytvoření plánu reakce na incident může vaší společnosti ušetřit peníze tím, že budete mít k dispozici soubor přesně definovaných postupů, jimiž se bude váš tým kybernetické bezpečnosti řídit, jakmile zjistí incident. Tyto procesy zkrátí dobu, kterou tým potřebuje k identifikaci, prozkoumání, zadržení a odstranění aktéra hrozby ze systémů, sítí a aplikací. Definování a nácvik plánu reakce umožní identifikovat nedostatky, které lze odstranit před skutečným incidentem.

Čím rychleji se vaše organizace dokáže postavit bezpečnostnímu incidentu a neutralizovat jej, tím lépe bude schopna zvládnout případné narušení v budoucnu. Proto je zásadní proaktivně vytvořit komplexní plán reakce. Pokud pracujete na vlastním plánu reakce, zde je šest kroků, které by měl obsahovat.

1. Příprava

Fáze přípravy reakce na incident zahrnuje identifikaci a kategorizaci vysoce rizikových dat, aplikací, uživatelů, sítí, systémů a zařízení. Kromě toho by vaše firma měla zkontrolovat aktuální informace o hrozbách a aktuální kontextová obchodní rizika, aby vytvořila nejpravděpodobnější scénáře narušení dat.

2. Identifikace

Tento krok se zaměřuje spíše na pochopení normálního chování v prostředí než na nastavení výstrah při výskytu abnormálního chování. Například upozornění na krádež pověření může být založeno na počtu pokusů o přihlášení k účtu, které se nezdaří.

Jednou z nejobtížnějších částí procesu identifikace je správné nastavení výstrah. Pokud je abnormální chování definováno příliš široce, může váš bezpečnostní tým strávit nadmíru času falešnými výstrahami nebo je začít zcela ignorovat. Na druhou stranu příliš úzké definování výstrah může vést k tomu, že podezřelá nebo riskantní činnost nebude zaznamenána.

3. Omezení

Tento krok představuje proces izolace hrozby a zabránění jejímu pohybu v rámci sítí a systémů. V krátkodobém horizontu to může znamenat izolaci segmentu sítě nebo vypnutí systému, v dlouhodobém horizontu pak odstranění účtů nebo aplikaci bezpečnostní záplaty.

4. Eradikace

Eradikace znamená odstranění všeho, co škodlivý aktér použil jako součást útoku. Může to například znamenat bezpečné odstranění malwaru nebo infikovaných souborů, které byly součástí útoku.

5. Obnova

V této fázi vrátí tým reakce na incidenty zasažené sítě, systémy, účty a aplikace do stavu „před útokem“. To může znamenat jejich obnovení do předchozího záložního bodu a také ověření systémů, aby se zajistilo, že zranitelnost, kterou útočníci použili, je opravena.

6. Získané poznatky

Pravděpodobně nejdůležitější částí procesu reakce na incident je fáze získávání zkušeností, která po obnově pomáhá určit, co fungovalo, co nefungovalo a co lze do budoucna zlepšit. Tento klíčový krok vám pomůže vytvořit stále účinnější a trvalejší plán reakce na události.

Vytvoření plánu reakce na incident může být obtížné. Dodržování několika osvědčených postupů při vytváření spolehlivého plánu vám však pomůže vykročit správnou nohou. Podívejme se na něj blíže.

Neobjevujte znovu kolo

Stejně jako úniky dat nejsou ničím novým, nejsou tím ani plány reakce na incidenty. Organizace, jako je Národní institut pro standardy a technologie, poskytují několik základních osvědčených postupů pro vytvoření plánu reakce na incidenty. Případně můžete navštívit online fóra, kde se scházejí bezpečnostní týmy, a dozvědět se tak o zajímavých a konkrétních osvědčených postupech. To vám pomůže vytvořit pevný základ pro váš vlastní jedinečný plán.

Identifikujte data, která jsou nejdůležitější

Ne všechna data jsou svou důležitostí a mírou ochrany stejná a váš plán reakce na incidenty musí především upřednostňovat citlivá data. Začněte tím, že se poradíte s několika týmy ve vaší firmě ohledně jejich nejdůležitějších datových aktiv. Například dokumenty obsahující duševní vlastnictví nebo vysoce citlivé údaje o zákaznících by měly mít nejvyšší prioritu. Jakmile se dohodnete na tom, co jsou citlivá data, použijte hodnocení rizik pro všechny typy dat. To vám pomůže určit priority aktiv, která je třeba chránit v případě nouze.

Usnadněte implementaci plánu

Každý musí znát svou roli a povinnosti v plánu reakce a mít dovednosti a nástroje nezbytné k jejich splnění. Pokud vaši zaměstnanci nejsou na novou odpovědnost připraveni, zvažte konzultaci s třetí stranou, aby byla vaše data v co největším bezpečí.

Zajistěte, aby vaše organizace měla špičkové procesy. Zajištění kybernetické bezpečnosti může být nekonečný vytrvalostní závod. Hrozby se neustále vyvíjejí a udržení tempa vyžaduje spoustu času, energie a peněz. A platí to dvojnásob, pokud je vaše firma zasažena incidentem nebo narušením bezpečnosti dat.