Když se stanou špatné věci, musíte to někomu říct.
Hlášení incidentů je součástí bezpečnostního programu mnoha organizací a poskytuje jim strukturovaný způsob dokumentace, reakce na kybernetické útoky a učení se z nich.
Zdánlivě malý bezpečnostní incident může rychle přerůst ve vážnou hrozbu s dalekosáhlými důsledky, včetně pádu vaší organizace. Proto je klíčové porozumět důležitosti hlášení bezpečnostních incidentů, typům bezpečnostních incidentů a tomu, jak jim předcházet.
Co je bezpečnostní incident?
Bezpečnostním incidentem se rozumí jakýkoli pokus nebo skutečný neoprávněný přístup, zničení nebo zveřejnění citlivých osobních údajů nebo důvěrných informací. To zahrnuje jakékoli narušení bezpečnosti, skutečné nebo potenciální, které by mohlo narušit důvěrnost a dostupnost údajů.
Proč byste měli hlásit bezpečnostní incidenty?
Zprávy o bezpečnostních incidentech obvykle poskytují konkrétní informace o incidentu, jako je jeho rozsah, čas výskytu a dopad na jednotlivce nebo systémy. Níže jsou uvedeny hlavní důvody, proč hlásit bezpečnostní incidenty.
1. Usnadňuje jasné odpovědnosti při řešení bezpečnostních incidentů
Hlášení incidentů vyzývá organizace, aby zavedly účinné procesy ke zmírnění a nápravě bezpečnostních incidentů.
Po zjištění incidentu je klíčové rychle zahájit plány reakce na incidenty, které nastiňují proces hlášení. To by mělo zahrnovat implementaci infrastruktury pro hlášení incidentů, která podporuje automatizované pracovní postupy, aby upozornila správný personál na účinnou eskalaci a zmírnění.
Pro organizace je také nezbytné vytvořit zásady prevence ztráty dat, které slouží jako vodítko pro zasvěcené osoby. Tyto zásady by měly poskytnout zasvěceným osobám jasný plán vymezující jejich role a odpovědnosti při nakládání s firemními daty.
Mnoho incidentů vyžaduje okamžitou detekci a rychlou akci. Organizace, které nehlásí bezpečnostní incidenty, riskují vystavení celého ekosystému, včetně třetích stran, kybernetickým útokům.
Vzdělávání zaměstnanců o dopadech potenciálních kybernetických bezpečnostních incidentů, jako je narušení dat a odstranění překážek pro hlášení incidentů, může je proměnit v proaktivní spojence v boji proti kybernetické útoky.
Zvýšené hlášení incidentů zvyšuje povědomí a povzbuzuje jednotlivce, aby zlepšili své strategie kybernetické bezpečnosti. Zprávy o incidentech navíc slouží organizacím jako plán, jak získat cenné poznatky a zlepšit své postupy pro zmírňování rizik.
3. Zajišťuje dodržování předpisů
Silně regulovaná odvětví, včetně zdravotnictví a financí, vyžadují hlášení kybernetických incidentů a jejich nedodržení má obvykle za následek nákladné sankce. Společnosti s kritickou infrastrukturou jsou také vázány regulačními zákony, jako je např Hlášení kybernetických incidentů pro zákon o kritické infrastruktuře (CIRCIA) a GDPR, které po nich vyžadují hlášení incidentů do 72 hodin.
4. Chrání pověst organizace
Aby bylo možné účinně reagovat na bezpečnostní incidenty a zotavit se z nich, musí plány reakce zahrnovat všechny zúčastněné strany a průběžně je informovat o průběhu. Zúčastněné strany a zákazníci mají tendenci důvěřovat organizacím, které hlásí incidenty. Je tomu tak proto, že takové hlášení je vnímáno jako důkaz kompetence organizace, jejího závazku k bezpečnosti a proaktivního úsilí při řešení incidentů.
4 typy bezpečnostních incidentů a jak jim předcházet
Znalost různých typů bezpečnostních incidentů je klíčem k minimalizaci jejich poškození a posílení odolnosti organizace proti jejich dopadu. Zde jsou běžné typy bezpečnostních incidentů a jak jim předcházet.
1. Vnitřní hrozba
Vnitřní hrozba označuje náhodné nebo úmyslné ohrožení bezpečnosti a dat firmy. Často je spojován s bývalými nebo současnými zaměstnanci a třetími stranami, včetně zákazníků, dodavatelů a dodavatelů.
Chcete-li čelit vnitřním hrozbám, poskytněte zaměstnancům a dodavatelům školení o povědomí o bezpečnosti jako předpoklad pro přístup k síti organizace. Také zaveďte a dodržujte přísné postupy zálohování a archivace dat a své systémy vždy skenujte pomocí antispywarový software jako Norton nebo Bitdefender.
Kromě toho implementujte monitorování protokolů pro všechny systémy a zařízení. Identifikujte a sledujte účty privilegovaných uživatelů pro vše, včetně serverů, webových stránek a aplikací. Pokud si všimnete účtu s neobvyklým chováním, může to znamenat, že jej někdo používá k infiltraci do sítě organizace.
2. Phishingový útok
Phishing je typ kybernetického útoku, kdy pachatel vydávající se za seriózní osobu nebo organizaci přiměje oběť ke sdílení citlivých dat. Aby toho dosáhl, pošle škodlivý činitel cíli e-mail nebo zprávu obsahující škodlivé odkazy, který po kliknutí může ukrást jejich důvěrná data, včetně přihlašovacích údajů a kreditní karty podrobnosti.
Obecně platí, že když si nejste jisti pravostí e-mailu, je nejlepší přímo kontaktovat legitimní osobu nebo společnost a neklikat na odkazy uvedené v e-mailu.
Organizace mohou zmírnit phishingové útoky posílením zabezpečení e-mailů. Toho lze dosáhnout implementací e-mailové bezpečnostní protokoly, konkrétně začleněním anti-spoofing kontroly jako DMARC, SPF a DKIM pro vaše domény.
3. Muž-in-the-Middle Attack
K útoku typu man-in-the-middle (MITM) dochází, když zlomyslný aktér tajně zachytí, upraví nebo odstraní data, která si vyměňují dvě strany, které se domnívají, že komunikují přímo s každou z nich jiný.
Útoky MITM se primárně zaměřují na e-commerce obchody, internetové bankovnictví a otevřené veřejné Wi-Fi hotspoty. Těmto útokům lze předcházet kontrola bezpečnosti webu se chystáte navštívit veřejné sítě Wi-Fi a vyhýbat se jim (pokud je to možné) nebo používat VPN k ochraně svých veřejných Wi-Fi připojení.
Použití VPN zašifruje vaše internetové připojení a ochrání soukromá data, která sdílíte, včetně hesel a údajů o kreditních kartách při používání veřejné Wi-Fi.
Rizika můžete také zmírnit implementací doporučené postupy zabezpečení koncových bodů, jako je instalace ESET Endpoint Security k filtrování nevyžádaných e-mailových zpráv. ESET lze nakonfigurovat tak, aby automaticky skenoval podezřelé e-maily a webové stránky a chránil tak vaše zařízení a sítě před kybernetickými útoky a malwarem.
4. Denial-of-Service Attack
Při útocích typu denial-of-service (DoS) se kyberzločinci zaměřují na počítače nebo sítě a brání legitimním uživatelům v přístupu k nim. Hlavním cílem tohoto kybernetického útoku je znepřístupnit služby. Toho se obvykle dosáhne zahlcením cílového systému nebo služby provozem, dokud nepřestane reagovat nebo se nezhroutí.
Útok DoS obvykle používá malý počet útočících strojů, možná jeden počítač, k přemožení svého cíle. Když je k provedení útoku použito více počítačů nebo souvisejících zařízení, stane se z něj útok distribuovaného odmítnutí služby (DDoS).
DoS útoky lze úspěšně spustit proti různým systémům, včetně průmyslových řídicích systémů, které podporují kritické procesy. I když riziko těchto útoků nelze zcela eliminovat, znát typy útoků DoS které mohou ohrozit vaše systémy a stroje a mít plán odezvy může změnit.
Zatímco jednoduchý útok DoS zhroucující server lze opravit restartem systému, řešení složitějších útoků může vyžadovat zvláštní úsilí. Můžete například posílit zabezpečení webových serverů tím, že je nakonfigurujete tak, aby se bránily před požadavky HTTP a SYN záplavy.
K dalšímu posílení obrany používejte důvěryhodný bezpečnostní software a nástroje pro útoky DoS, které mohou analyzovat příchozí datové pakety, klasifikujte je jako běžné nebo nebezpečné a blokujte data, která by vám mohla ublížit webová stránka.
Aktualizujte také své routery a firewally pomocí nejnovějších bezpečnostních záplat, abyste blokovali nelegitimní provoz, a zvažte spolupráci s ISP během útoku na blokování IP adres útočníka.
Udělejte z hlášení incidentů normu pro boj s kybernetickými útoky
V dnešním digitálním světě by organizace měly zahrnout hlášení bezpečnostních incidentů jako součást svých standardních postupů. Důvodem je převládající výskyt bezpečnostních incidentů, jako jsou phishingové e-maily, vnitřní hrozby a útoky MITM, které mohou ohrozit systémy nebo data organizace.
Přijmout proaktivní opatření k zabránění útoku je mnohem lepší, než se snažit napravit škody způsobené útokem. Nejprve však musí organizace identifikovat potenciální rizika, aby je proaktivně řešily a předešly opakování podobných incidentů v budoucnu.
