Vytvoření plánu reakce na incident
Vytvoření plánu reakce na incident může vaší společnosti ušetřit peníze tím, že budete mít k dispozici soubor přesně definovaných postupů, jimiž se bude váš tým kybernetické bezpečnosti řídit, jakmile zjistí incident. Tyto procesy zkrátí dobu, kterou tým potřebuje k identifikaci, prozkoumání, zadržení a odstranění aktéra hrozby ze systémů, sítí a aplikací. Definování a nácvik plánu reakce umožní identifikovat nedostatky, které lze odstranit před skutečným incidentem.
Čím rychleji se vaše organizace dokáže postavit bezpečnostnímu incidentu a neutralizovat jej, tím lépe bude schopna zvládnout případné narušení v budoucnu. Proto je zásadní proaktivně vytvořit komplexní plán reakce. Pokud pracujete na vlastním plánu reakce, zde je šest kroků, které by měl obsahovat.
1. Příprava
Fáze přípravy reakce na incident zahrnuje identifikaci a kategorizaci vysoce rizikových dat, aplikací, uživatelů, sítí, systémů a zařízení. Kromě toho by vaše firma měla zkontrolovat aktuální informace o hrozbách a aktuální kontextová obchodní rizika, aby vytvořila nejpravděpodobnější scénáře narušení dat.
2. Identifikace
Tento krok se zaměřuje spíše na pochopení normálního chování v prostředí než na nastavení výstrah při výskytu abnormálního chování. Například upozornění na krádež pověření může být založeno na počtu pokusů o přihlášení k účtu, které se nezdaří.
Jednou z nejobtížnějších částí procesu identifikace je správné nastavení výstrah. Pokud je abnormální chování definováno příliš široce, může váš bezpečnostní tým strávit nadmíru času falešnými výstrahami nebo je začít zcela ignorovat. Na druhou stranu příliš úzké definování výstrah může vést k tomu, že podezřelá nebo riskantní činnost nebude zaznamenána.
3. Omezení
Tento krok představuje proces izolace hrozby a zabránění jejímu pohybu v rámci sítí a systémů. V krátkodobém horizontu to může znamenat izolaci segmentu sítě nebo vypnutí systému, v dlouhodobém horizontu pak odstranění účtů nebo aplikaci bezpečnostní záplaty.
4. Eradikace
Eradikace znamená odstranění všeho, co škodlivý aktér použil jako součást útoku. Může to například znamenat bezpečné odstranění malwaru nebo infikovaných souborů, které byly součástí útoku.
5. Obnova
V této fázi vrátí tým reakce na incidenty zasažené sítě, systémy, účty a aplikace do stavu „před útokem“. To může znamenat jejich obnovení do předchozího záložního bodu a také ověření systémů, aby se zajistilo, že zranitelnost, kterou útočníci použili, je opravena.
6. Získané poznatky
Pravděpodobně nejdůležitější částí procesu reakce na incident je fáze získávání zkušeností, která po obnově pomáhá určit, co fungovalo, co nefungovalo a co lze do budoucna zlepšit. Tento klíčový krok vám pomůže vytvořit stále účinnější a trvalejší plán reakce na události.