Walka o bezpieczeństwo danych Twojej firmy nie jest dla ludzi o słabych nerwach. W chwili, kiedy ilość systemów, aplikacji oraz użytkowników jest większa niż kiedykolwiek wcześniej, utrzymanie wszystkiego w ładzie jest ciężką walką. Jeśli chodzi o ochronę przed najgorszymi scenariuszami, potrzebna jest dosłownie każda pomoc.
Według SANS, każdy plan antykryzysowy (plan reakcji na incydent) składa się z 6 etapów:
- Przygotowanie – przygotowanie użytkowników oraz systemów na obsługę potencjalnego incydentu.
- Identyfikacja – określenie, co rozumiemy, jako ‘incydent bezpieczeństwa’, czyli które zdarzenia możemy zignorować, a na które należy zareagować.
- Powstrzymanie – wyizolowanie zaatakowanego systemu, aby zminimalizować straty.
- Likwidacja – Wyszukanie i eliminacja przyczyny (odizolowanie dotkniętego systemu od środowiska produkcyjnego)
- Regeneracja – włączenie zaatakowanego systemu do środowiska produkcyjnego (i obserwowanie jego zachowania)
- Wnioski – zapisanie informacji, przegląd i analiza na forum wszystkich zespołów, aby usprawnić proces reakcji w przyszłości.
Poniżej znajdziecie trzy przykłady reakcji na incydent z linii frontu. Pomogą one w każdej fazie budowanego planu.
Definiowanie sukcesu planu antykryzysowego
Jeśli chodzi o obronę przed atakami, sukces ma wiele poziomów. Według ogólnej opinii, atakującemu wystarczy jedna dobra decyzja, natomiast obrońca musi podejmować same dobre decyzje. Nie zawsze jest to jednak prawdą.
Ataki nie są kwestią typu wszystko-albo-nic – mają miejsce na przestrzeni czasu i dzielą się na wiele etapów poprzedzających sukces.
Chcąc pozostać w ukryciu przed czujną ochroną, atakujący musi podejmować wiele decyzji (i wszystkie poprawne). Jeśli ochrona wykryje atakującego przynajmniej raz, będzie miała możliwość zlokalizowania i przerwania całego ataku.
Niemożliwym jest wykrycie wszystkiego, co dzieje się podczas ataku – jednakże wykrycie (oraz identyfikacja) części, która wystarczy do powstrzymania ataku już jest dużym sukcesem.
Nie panikuj i skup się
Realizacja planu jest kluczowa – istnieje szeroka gama sposobów ataku i chęć pozostania ekspertem od każdego rodzaju z nich mija się z celem.
Najważniejszą częścią reakcji na incydent to działanie w sposób, który minimalizuje straty, potrzebny czas i koszta.
W rezultacie, to na podstawie tego będzie oceniana Twoja praca, a nie na podstawie tego czy pokryte zostały wszystkie aspekty potencjalnego słabego punktu.
Zacznij od podstaw. Agresorzy są leniwi.
Atakujący mają techniczne i finansowe podstawy do tego, aby pokonać systemy swoich celów przy najmniejszym zaangażowaniu środków i wysiłku. Jeśli wyeliminujemy łatwe cele w swojej sieci, zwiększymy ilość pracy potrzebną by naruszyć jej bezpieczeństwo.
AlienVault stworzył niedawno eBook pt. Poradnik Reakcji na Incydent (Insider’s Guide to Incident Response), który w 5 rozdziałach opisuje podstawowe strategie pomocne przy tworzeniu wydajnego i efektywnego planu antykryzysowego.
Tematy poruszone w eBooku to:
- Tworzenie i wyposażanie swojej Grupy Reagowania
- Proces i procedury reakcji na incydent
- Typy incydentów bezpieczeństwa
- Narzędzia reakcji na incydent
- Trening z zakresu reakcji na incydent
Cały eBook w języku angielskim jest dostępny do pobrania tutaj.
Źródło: thehackernews.com