Ten post był ostatnio aktualizowany 10 marca, 2021 o 09:27 am
Czy Twoja organizacja jest przygotowana do odpowiedzi na naruszenie bezpieczeństwa lub cyberatak? Według wielu ekspertów ds. bezpieczeństwa, to kwestia „kiedy”, a nie „czy” Twoja firma doświadczy poważnego incydentu związanego z bezpieczeństwem cybernetycznym. Plan reagowania na incydenty jest najlepszą szansą na obronę organizacji przed skutkami naruszenia bezpieczeństwa danych. Czas na zaplanowanie i przygotowanie reakcji na incydenty bezpieczeństwa – niezależnie od tego, czym one są – jest na długo przed ich wystąpieniem.
Co to jest plan reagowania na incydenty bezpieczeństwa?
Plan reagowania na incydenty bezpieczeństwa cybernetycznego (lub plan IR) jest zestawem instrukcji zaprojektowanych w celu pomocy firmom w przygotowaniu się, wykrywaniu, reagowaniu i usuwaniu skutków incydentów bezpieczeństwa sieciowego. Większość planów IR koncentruje się na technologii i obejmuje takie zagadnienia jak wykrywanie złośliwego oprogramowania, kradzież danych i przerwy w świadczeniu usług. Jednakże, każdy znaczący atak cybernetyczny może wpłynąć na organizację na wiele sposobów, dlatego plan powinien obejmować również takie obszary jak HR, finanse, obsługa klienta, komunikacja pracownicza, prawo, ubezpieczenia, public relations, organy regulacyjne, dostawcy, partnerzy, władze lokalne i inne podmioty zewnętrzne.
Istnieją standardowe ramy reagowania na incydenty opracowane przez takie organizacje jak NIST i SANS, które dostarczają ogólnych wytycznych dotyczących reagowania na aktywne incydenty. Plan reagowania na incydenty powinien być jednak dużo bardziej szczegółowy i precyzyjnie określać, kto, co i kiedy powinien zrobić. Przygotowaliśmy listę kontrolną zawierającą kluczowe elementy cybernetycznego planu IR, aby pomóc Ci zbudować odpowiedni rodzaj przewodnika dla Twojej organizacji.
W obu przypadkach – niezależnie od tego, czy korzystasz z szablonu planu reagowania na incydenty, czy z własnego planu IR – cele pozostają takie same: minimalizacja szkód, ochrona danych i pomoc Twojej organizacji w jak najszybszym odzyskaniu sprawności po incydencie.
Jak stworzyć Plan Reagowania na Incydenty
Każda organizacja posiadająca zasoby cyfrowe (komputery, serwery, obciążenia w chmurze, dane, itp.) może potencjalnie doświadczyć cyberataku lub naruszenia danych. Niestety, większość organizacji nie zdaje sobie sprawy, że doszło do naruszenia bezpieczeństwa danych, dopóki nie jest za późno. Stworzenie planu reagowania na incydenty związane z bezpieczeństwem cybernetycznym pomaga przygotować się na to, co nieuniknione i wyposażyć zespół bezpieczeństwa IT do reagowania przed, w trakcie i po ataku cybernetycznym. Chociaż ten wpis na blogu nie zagłębi się w szczegóły, które są niezbędne w prawdziwym planie reagowania na incydenty, pomoże Ci on zrozumieć kluczowe czynniki i czynniki na każdym etapie procesu reagowania na incydenty: przygotowanie, wykrywanie, reagowanie, odzyskiwanie i działania następcze po incydencie.
Plan reagowania na incydenty bezpieczeństwa powinien być wykorzystywany na bieżąco – jako żywy dokument – napędzający powtarzające się działania związane z wykrywaniem i reagowaniem (polowanie na zagrożenia, badanie incydentów cybernetycznych, reagowanie na incydenty oraz remediacja/odzyskiwanie). Wykonując bieżące działania związane z wykrywaniem i reagowaniem na incydenty, można poprawić higienę IT i bezpieczeństwa oraz lepiej chronić organizację przed nieznanymi zagrożeniami, ukrytymi napastnikami i potencjalnie zapobiec naruszeniu danych.
Na potrzeby tego bloga podzieliliśmy proces planowania reagowania na incydenty na pięć faz: Przygotowanie, Wykrycie, Reakcja, Odzyskiwanie i Działania następcze.
Przygotowanie
Przygotowanie jest pierwszą fazą planowania reakcji na incydent i prawdopodobnie najbardziej kluczową w ochronie Twojej firmy i zasobów cyfrowych. Na etapie przygotowania należy udokumentować, przedstawić i wyjaśnić role i obowiązki zespołu IR, w tym ustalić politykę bezpieczeństwa, która będzie podstawą do opracowania planu IR.
- Określić dokładną lokalizację, wrażliwość i względną wartość wszystkich informacji w organizacji, które muszą być chronione.
- Oceń, czy obecnie posiadasz wystarczające zasoby IT, aby odpowiedzieć na atak, czy też potrzebne będzie wsparcie firm trzecich.
- Uzyskaj poparcie kierownictwa, aby plan został w pełni zatwierdzony przez najwyższe kierownictwo organizacji.
- Przydziel role i obowiązki wszystkim zainteresowanym stronom, w tym działom IT, HR, komunikacji wewnętrznej, obsługi klienta, prawnym, PR i doradcom.
- Ustalenie łańcucha dowodzenia, który obejmuje zarówno IT, jak i liderów korporacyjnych. Kto jest dowódcą incydentu? Kto uruchamia plan reakcji na incydent? Kto ma uprawnienia do „zatrzymania pracy”, np. awaryjnego wyłączenia firmowych witryn internetowych?
- Zaplanuj przepływ pracy w reakcji na incydent wśród różnych interesariuszy. Kiedy zaangażowany jest dział kadr? Kiedy angażuje się dział prawny? Kiedy powiadamiane są media? Kiedy angażowane są władze zewnętrzne?
- Zbierz i zaktualizuj informacje kontaktowe (e-mail, tekst, VOIP itp.) dla wszystkich członków zespołu reagowania na incydenty, ich kopii zapasowych i menedżerów. Ustanowienie alternatywnych kanałów komunikacji, jeśli regularne kanały są zagrożone lub niedostępne.
- Zidentyfikowanie wymogów regulacyjnych dotyczących bezpieczeństwa cybernetycznego dla organizacji we wszystkich funkcjach i opracowanie wytycznych dotyczących interakcji z organami ścigania i innymi organami rządowymi w przypadku incydentu.
- Opracowanie i prowadzenie listy preferowanych dostawców technologii w zakresie kryminalistyki, wymiany sprzętu i powiązanych usług, które mogą być potrzebne przed, w trakcie lub po incydencie.
- Ustalenie procedur dla zespołów IT w celu otrzymywania jasnych, możliwych do podjęcia działań alarmów o wszystkich wykrytych złośliwych programach. Konkretne wyjaśnienia mogą pomóc członkom zespołu uniknąć odrzucenia alertu jako fałszywego pozytywu.
- Przechowuj uprzywilejowane dane uwierzytelniające, w tym hasła i klucze SSH, w bezpiecznym, scentralizowanym skarbcu.Automatyczna rotacja danych uwierzytelniających, izolowanie sesji kont uprzywilejowanych dla pracowników tymczasowych i regularne skanowanie w poszukiwaniu kont osieroconych po byłych pracownikach, które mogą nadal zapewniać nieautoryzowany dostęp.
- Zażądaj od pracowników zgłaszania podejrzanych wiadomości e-mail i działań, które mogą zagrażać bezpieczeństwu sieci.
- Upewnij się, że posiadasz czysty system gotowy do przywrócenia, być może obejmujący kompletny reimage systemu lub pełne przywrócenie z czystej kopii zapasowej.
- Otwórz kompleksowy i zintegrowany plan komunikacji w celu informowania zarówno wewnętrznych, jak i zewnętrznych odbiorców o incydentach w sposób szybki, dokładny i spójny.
Wykrywanie & Analiza
Faza wykrywania reakcji na incydenty bezpieczeństwa i planowania IR obejmuje monitorowanie, wykrywanie, ostrzeganie i raportowanie zdarzeń bezpieczeństwa. Obejmuje to identyfikację znanych, nieznanych i podejrzanych zagrożeń – takich, które wydają się złośliwe, ale w momencie ich wykrycia nie ma wystarczającej ilości danych, aby podjąć decyzję.
W przypadku wykrycia tropu, zagrożenia lub incydentu bezpieczeństwa, zespół reagowania na incydenty powinien natychmiast (jeśli nie automatycznie, z pomocą oprogramowania do reagowania na incydenty w cyberprzestrzeni) zebrać i udokumentować dodatkowe informacje – dowody kryminalistyczne, artefakty i próbki kodu – w celu określenia powagi, rodzaju i niebezpieczeństwa incydentu, a także przechowywać te dane w celu wykorzystania ich w późniejszym czasie do ścigania napastników.
- Opracuj proaktywną strategię wykrywania opartą na narzędziach, które mogą automatycznie skanować fizyczne i wirtualne hosty, systemy i serwery w poszukiwaniu wszelkich podatnych na ataki aplikacji, tożsamości lub kont.
- Rozważmy tradycyjne rozwiązania, takie jak platformy Endpoint Detection and Response (EDR), oprogramowanie antywirusowe nowej generacji (NGAV) lub narzędzia User/Entity Behavior Analytics (UEBA/UBA) do wykrywania złośliwego oprogramowania.
- Rozważmy również głęboką analizę i możliwości oparte na kryminalistyce, które mogą ocenić stan punktu końcowego poprzez sprawdzenie, co jest uruchomione w pamięci w danym momencie.
- Przeprowadź ocenę zagrożenia, aby zweryfikować, czy sieć została naruszona i szybko zidentyfikować obecność znanego lub nieistniejącego złośliwego oprogramowania oraz trwałych zagrożeń aktywnych lub uśpionych, które ominęły istniejące zabezpieczenia cybernetyczne.
Reakcja
Reagowanie na incydenty bezpieczeństwa może przybierać różne formy. Działania podejmowane w odpowiedzi na incydenty mogą obejmować selekcję alarmów z narzędzi zabezpieczających punkty końcowe w celu określenia, które zagrożenia są prawdziwe i/lub jaki jest priorytet reagowania na incydenty bezpieczeństwa. Działania w ramach reagowania na incydenty mogą również obejmować ograniczanie i neutralizowanie zagrożenia (zagrożeń) – izolowanie, wyłączanie lub inne „odłączanie” zainfekowanych systemów od sieci w celu zapobiegania rozprzestrzenianiu się cyberataku. Dodatkowo, operacje reagowania na incydenty obejmują eliminację zagrożenia (złośliwych plików, ukrytych backdoorów i artefaktów), które doprowadziło do incydentu bezpieczeństwa.
- Natychmiastowe zamknięcie systemów, sieci, magazynów danych i urządzeń w celu zminimalizowania zasięgu incydentu i odizolowania go od spowodowania rozległych szkód.
- Określ, czy jakiekolwiek wrażliwe dane zostały skradzione lub uszkodzone, a jeśli tak, jakie może być potencjalne ryzyko dla Twojej firmy.
- Usuń zainfekowane pliki i, jeśli to konieczne, wymień sprzęt.
- Prowadź kompleksowy dziennik incydentu i reakcji, w tym czas, dane, lokalizację i zakres szkód spowodowanych atakiem. Czy był to atak wewnętrzny, zewnętrzny, alarm systemowy, czy jedna z metod opisanych wcześniej? Kto go odkrył i jak został zgłoszony? Wymień wszystkie źródła i czasy, przez które przeszedł incydent. Na jakim etapie zaangażował się zespół bezpieczeństwa?
- Zachowaj wszystkie artefakty i szczegóły naruszenia do dalszej analizy pochodzenia, wpływu i intencji.
- Przygotuj i opublikuj publiczne oświadczenia tak szybko jak to możliwe, opisz jak najdokładniej naturę naruszenia, przyczyny źródłowe, zakres ataku, kroki w kierunku naprawy i zarys przyszłych aktualizacji.
- Uaktualnienie wszelkich zapór sieciowych i zabezpieczeń sieci w celu przechwycenia dowodów, które mogą być później wykorzystane do celów kryminalistycznych.
- Zaangażowanie zespołu prawnego i zbadanie zgodności z przepisami oraz ryzyka w celu sprawdzenia, czy incydent ma wpływ na jakiekolwiek przepisy.
- Kontakt z organami ścigania, jeśli ma to zastosowanie, ponieważ incydent może mieć również wpływ na inne organizacje. Dodatkowe informacje o incydencie mogą pomóc w jego wyeliminowaniu, zidentyfikowaniu zakresu lub przypisaniu sprawcy.
Odzyskiwanie i działania uzupełniające
Działania po incydencie (działania odzyskiwania i działania uzupełniające) obejmują eliminację zagrożenia bezpieczeństwa, przegląd i raportowanie tego, co się wydarzyło, aktualizację informacji o zagrożeniach w oparciu o nowe informacje o tym, co jest dobre, a co złe, aktualizację planu IR w oparciu o wnioski wyciągnięte z incydentu bezpieczeństwa, a także potwierdzanie i ponowne potwierdzanie, że środowisko jest rzeczywiście wolne od zagrożenia (zagrożeń) poprzez ocenę zagrożenia bezpieczeństwa cybernetycznego po incydencie lub ocenę ryzyka bezpieczeństwa i IT.
Odzyskiwanie
- Zlikwiduj zagrożenie bezpieczeństwa, aby zapewnić, że atakujący nie może odzyskać dostępu. Obejmuje to łatanie systemów, zamykanie dostępu do sieci i resetowanie haseł do zagrożonych kont.
- Podczas eliminowania zagrożenia należy przeprowadzić identyfikację przyczyny źródłowej, aby pomóc w określeniu ścieżki ataku, dzięki czemu można ulepszyć środki kontroli bezpieczeństwa w celu zapobiegania podobnym atakom w przyszłości.
- Przeprowadź ogólnofirmową analizę podatności w celu określenia, czy mogą istnieć inne podatności.
- Przywróć systemy do stanu sprzed zdarzenia. Sprawdź, czy nie doszło do utraty danych i zweryfikuj, czy integralność, dostępność i poufność systemów została odzyskana, a firma powróciła do normalnego funkcjonowania.
- Kontynuuj gromadzenie logów, zrzutów pamięci, audytów, statystyk ruchu sieciowego i obrazów dysków. Bez odpowiedniego gromadzenia dowodów, wiedza z zakresu cyfrowego kryminalistyki jest ograniczona, więc dalsze dochodzenie nie będzie miało miejsca.
Postępowanie po incydencie
- Pełny raport z reakcji na incydent i uwzględnienie wszystkich obszarów działalności, które zostały dotknięte incydentem.
- Określ, czy kierownictwo jest zadowolone z reakcji i czy organizacja musi dalej inwestować w ludzi, szkolenia lub technologię, aby poprawić swoją postawę bezpieczeństwa.
- Podziel się doświadczeniami. Co poszło dobrze, co nie i jak można poprawić procedury w przyszłości?
- Przeglądanie, testowanie i aktualizowanie planu reagowania na incydenty bezpieczeństwa cybernetycznego w sposób regularny, w miarę możliwości raz w roku.
- Wykonywanie oceny zagrożenia lub innych skanowań bezpieczeństwa w sposób regularny w celu zapewnienia zdrowia systemów, sieci i urządzeń.
- Uaktualnienie planów reagowania na incydenty po restrukturyzacji działu lub innych poważnych zmianach.
- Doinformowanie wszystkich interesariuszy o najnowszych trendach i nowych typach naruszeń bezpieczeństwa danych. Promuj przesłanie, że „bezpieczeństwo jest zadaniem każdego z nas.”
Podsumowanie
Celem naszej listy kontrolnej planu reagowania na incydenty cybernetyczne jest pomoc Twojemu zespołowi bezpieczeństwa IT w opracowaniu planu reagowania na incydenty, który jest kompleksowy, skoordynowany, powtarzalny i skuteczny.
Proszę pamiętać, że opracowanie planu reagowania na incydenty bezpieczeństwa cybernetycznego nigdy nie jest ćwiczeniem jednorazowym. Niestety, bez regularnych szkoleń z zakresu reagowania na incydenty i ćwiczeń IR, w tym scenariuszy ataków cybernetycznych na żywo, organizacje i ich zespoły bezpieczeństwa IT mogą nagle zostać przechytrzone przez hakerów, którzy zmieniają swoje strategie ataku/TTP i wybierają złośliwe oprogramowanie.
To, co działało w przeszłości, może nie działać jutro. Właściwy plan reagowania na incydenty bezpieczeństwa powinien być żywym dokumentem, który dotrzymuje kroku dzisiejszemu szybko zmieniającemu się krajobrazowi zagrożeń.
Pobierz naszą listę kontrolną Cybersecurity IR Plan Checklist, aby rozpocząć budowanie własnego planu reagowania na incydenty, lub skontaktuj się z nami, aby poprosić o konsultację, ocenę zagrożenia lub dowiedzieć się, w jaki sposób Infocyte umożliwia szybkie, elastyczne i niedrogie wykrywanie zagrożeń i reagowanie na incydenty.