Ani ty nejzajištěnější bezpečnostní systémy nejsou osvobozeny od kybernetických útoků, natož těch, které nejsou zabezpečené. Kybernetičtí útočníci se vždy pokusí proniknout do vaší sítě a je vaší odpovědností je zastavit.

Tváří v tvář takové hrozbě se počítá každá sekunda. Jakékoli zpoždění může odhalit vaše citlivá data, což by mohlo být velmi škodlivé. Vaše reakce na bezpečnostní incident je rozdíl. Plán reakce na incident (IR) vám umožňuje rychle se tlačit proti vetřelcům.

Co je plán reakce na mimořádné události?

Plán reakce na incident je taktický přístup k řízení bezpečnostního incidentu. Skládá se z postupů a zásad při přípravě, vyhodnocení, omezení a zotavení z bezpečnostního incidentu.

V závislosti na dopadu incidentu může dojít k prodlevě, kterou vaše organizace trpí kvůli bezpečnostnímu incidentu. Plán reakce na incident zajišťuje, že se vaše organizace co nejdříve odrazí na nohy.

Kromě obnovení vaší sítě zpět do stavu, v jakém byla před útokem, vám IR plán pomůže vyhnout se opakování incidentu.

instagram viewer

Jak vypadá plán reakce na mimořádné události?

Plán reakce na incidenty je úspěšnější, když jsou k němu dodrženy zdokumentované pokyny. Aby se to stalo, musí váš tým plánu porozumět a mít potřebné dovednosti k jeho provedení.

Pro správu kybernetických hrozeb se používají dva hlavní rámce reakce na incidenty - rámce NIST a SANS.

Vládní agentura National Institute of Standards and Technology (NIST) se specializuje na různé oblasti technologií a kybernetická bezpečnost je jednou z jejích hlavních služeb.

Plán reakce na incidenci NIST se skládá ze čtyř kroků:

  1. Příprava.
  2. Detekce a analýza.
  3. Zadržení, vymýcení a obnova.
  4. Aktivita po incidentu.

Soukromá organizace SysAdmin, Audit, Network and Security (SANS) je známá svou odborností v oblasti kybernetické bezpečnosti a informačního školení. Rámec SANS IR se s oblibou používá v kybernetické bezpečnosti a zahrnuje šest kroků:

  1. Příprava.
  2. Identifikace.
  3. Zadržení.
  4. Vymýcení.
  5. Zotavení.
  6. Ponaučení.

Přestože se počet kroků nabízených v rámci NIST a SANS IR liší, oba jsou podobné. Pro podrobnější analýzu se zaměřme na rámec SANS.

1. Příprava

Dobrý IR plán začíná přípravou a rámce NIST i SANS to uznávají. V tomto kroku zkontrolujete bezpečnostní opatření, která máte aktuálně na místě, a jejich účinnost.

Proces kontroly zahrnuje posouzení rizik vaší sítě odhalit případné chyby zabezpečení. Musíte identifikovat svá IT aktiva a podle toho je upřednostnit tím, že systémům obsahujícím vaše nejcitlivější data přikládáte nejvyšší důležitost.

Budování silného týmu a přiřazování rolí každému členovi je funkcí přípravné fáze. Nabídněte všem informace a zdroje, které potřebují k rychlé reakci na bezpečnostní incident.

2. Identifikace

Po vytvoření správného prostředí a týmu je načase zjistit všechny hrozby, které mohou ve vaší síti existovat. Toho můžete dosáhnout pomocí informačních kanálů hrozeb, firewallů, SIEM a IPS k monitorování a analýze dat z hlediska indikátorů útoku.

Pokud je detekován útok, musíte vy a váš tým určit povahu útoku, jeho zdroj, kapacitu a další součásti potřebné k zabránění narušení.

3. Zadržení

Ve fázi zadržování je cílem izolovat útok a učinit jej bezmocným, než způsobí poškození systému.

Účinné zadržování bezpečnostního incidentu vyžaduje pochopení incidentu a míry poškození, které může vašemu systému způsobit.

Před zahájením procesu zadržování zálohujte soubory, abyste během něj neztratili citlivá data. Je důležité, abyste si uchovali forenzní důkazy pro další vyšetřování a právní záležitosti.

4. Vymýcení

Fáze eradikace zahrnuje odstranění hrozby z vašeho systému. Vaším cílem je obnovit váš systém do stavu, v jakém byl před incidentem. Pokud to není možné, pokusíte se dosáhnout něčeho, co se blíží jeho předchozímu stavu.

Obnova systému může vyžadovat několik akcí, včetně vymazání pevných disků a upgradu verze softwaru, prevence hlavní příčiny a skenování systému za účelem odstranění škodlivého obsahu, který může existovat.

5. Zotavení

Chcete se ujistit, že fáze eradikace byla úspěšná, takže musíte provést více analýz, abyste potvrdili, že váš systém zcela neobsahuje žádné hrozby.

Jakmile si budete jisti, že je pobřeží čisté, musíte svůj systém vyzkoušet a připravit se na to, až bude spuštěn. Věnujte velkou pozornost své síti, i když je živá, abyste si byli jisti, že nic není v nepořádku.

6. Poučení

Zabránění opakování narušení zabezpečení znamená vzít na vědomí věci, které se pokazily, a opravit je. Každá fáze plánu IR by měla být zdokumentována, protože obsahuje důležité informace o možných lekcích, které z něj lze vyvodit.

Po shromáždění všech informací byste si měli vy a váš tým položit několik klíčových otázek, včetně:

  • Co se přesně stalo?
  • Kdy se to stalo?
  • Jak jsme se s incidentem vypořádali?
  • Jaké kroky jsme podnikli v reakci?
  • Co jsme se z incidentu dozvěděli?

Osvědčené postupy pro plán reakce na mimořádné události

Přijetí plánu reakce na incidenty NIST nebo SANS je solidní způsob, jak se vypořádat s kybernetickými hrozbami. Ale abyste dosáhli skvělých výsledků, musíte dodržovat určité postupy.

Identifikujte kritická aktiva

Kybernetičtí útočníci jdou zabít; cílí na vaše nejcennější aktiva. Musíte identifikovat svá kritická aktiva a upřednostnit je ve svém plánu.

Tváří v tvář incidentu by měl být váš první zastávkový přístav tím nejcennějším, co můžete zabránit útočníkům přístup nebo poškození vašich dat.

Vytvořte efektivní komunikační kanály

Tok komunikace ve vašem plánu může způsobit nebo narušit vaši strategii odezvy. Zajistěte, aby všichni zúčastnění měli v každém bodě dostatečné informace k provedení příslušných opatření.

Čekání na výskyt incidentu před zefektivněním komunikace je riskantní. Zavedení na místo vzbudí ve vašem týmu důvěru.

Udržujte to jednoduché

Bezpečnostní incident je vyčerpávající. Členové vašeho týmu budou pravděpodobně zběsilí a budou se snažit zachránit den. Neztěžujte jim práci s komplexními detaily ve vašem IR plánu.

Udržujte to co nejjednodušší.

I když chcete, aby informace ve vašem plánu byly snadno srozumitelné a proveditelné, nezalévejte je přílišnou generalizací. Vytvořte konkrétní postupy, které by členové týmu měli dělat.

Vytvořte si příručky reakce na incidenty

Plán šitý na míru je účinnější než generický plán. Abyste dosáhli lepších výsledků, musíte si vytvořit IR příručku pro řešení různých druhů bezpečnostních incidentů.

Tato příručka poskytuje vašemu týmu odpovědí krok za krokem průvodce, jak konkrétní kybernetickou hrozbu důkladně zvládnout, místo aby se dotkla povrchu.

Otestujte plán

Nejúčinnější plán reakce na odsazení je plán, který je průběžně testován a certifikován jako účinný.

Nevytvářejte si plán a zapomeňte na něj. Pravidelně provádějte bezpečnostní cvičení, abyste identifikovali mezery, které mohou kybernetičtí útočníci využít.

Přijetí proaktivního bezpečnostního přístupu

Kybernetičtí útočníci si uvědomují jednotlivce a organizace. Nikdo se ráno neprobudí a čeká, že jeho síť bude hacknuta. I když si možná nepřejete bezpečnostní incident, existuje možnost, že k němu dojde.

To nejmenší, co můžete udělat, je být proaktivní vytvořením plánu reakce na incidenty pro případ, že by se kybernetičtí útočníci rozhodli zacílit na vaši síť.

PodíltweetE-mailem
Co je to kybernetické vydírání a jak mu můžete zabránit?

Kybernetické vydírání představuje významnou hrozbu pro vaše online zabezpečení. Co to ale přesně je a jak můžete zajistit, že nejste obětí?

Číst dále

Související témata
  • Bezpečnostní
  • Technologie vysvětlena
  • Zabezpečení online
O autorovi
Chris Odogwu (19 článků zveřejněno)

Chris Odogwu je fascinován technologií a mnoha způsoby, jak vylepšuje život. Je vášnivým spisovatelem a nadšeně sděluje znalosti prostřednictvím svého psaní. Má bakalářský titul z masové komunikace a magisterský titul z vztahů s veřejností a reklamy. Jeho oblíbeným koníčkem je tanec.

Více od Chris Odogwu

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné elektronické knihy a exkluzivní nabídky!

Kliknutím sem se přihlásíte k odběru