V dnešní stále se vyvíjející kybernetické bezpečnosti krajiny, každá organizace, bez ohledu na velikost, povahu a průmyslu, jsou na riziko kyber-útokem takovým způsobem.
když dojde k kybernetickému incidentu, může rychle eskalovat do obchodní krize, což vede k finančním ztrátám, právním důsledkům, provoznímu narušení a poškození pověsti.
navzdory těmto závažným důsledkům je drtivá většina organizací stále nepřipravena adekvátně reagovat na incidenty v oblasti kybernetické bezpečnosti. Ve skutečnosti, podle nedávné studie IBM, 77% z dotazovaných organizací nemají Cyber Security Incident Response Plán (CSIRP) důsledně uplatňována v celé jejich podnikání.
Jako kybernetické útoky stále mít mýtné na obchodní operace a reputaci, vyvíjí robustní Cyber Incident Response (CIR) plán se stává zásadní pro organizace, aby zůstali před kybernetické bezpečnosti křivky.
Zde jsou šest rozhodujících kroků, které každý IR plán by měl zahrnovat efektivně řešit nevyhnutelné bezpečnostních incidentů:
Šest Kroků Incident Response
Organizace musí vyvinout aktivní a citlivý soubor schopností jako součást své reakce na incidenty plán rychle přizpůsobit a reagovat na kybernetické incidenty.
Proaktivní Schopnosti
- Příprava
- Detekce
- Analýzy
Schopnosti Reagovat
- Izolace
- Vymýcení
- Využití
1) Příprava
Příprava je zásadní pro účinné reakce na incidenty. Dokonce i nejlepší tým pro reakci na incidenty v oblasti kybernetické bezpečnosti (CSIRT) nemůže účinně reagovat na incident bez předem stanovených pokynů. Připravenost zahrnuje:
- Design, vývoj, školení a provádění celopodnikové IR plán
- Vytváření komunikačních pokyny, které umožní bezproblémovou komunikaci během a po mimořádné události
- Provádí počítačové simulace cvičení vyhodnotit účinnost incident response plán
2) Detekce
cílem této fáze je sledování sítě a systémy pro detekci, upozornění, a zprávy o potenciálních bezpečnostních incidentů.
- Přijmout cyber threat intelligence (ČOI) schopnosti rozvíjet komplexní počítačové monitorovací program a podporovat průběžné sledování a detekce
- Provádět kybernetické kompromis posouzení odhalit neznámé kompromisy,
3) Analýza
většina část úsilí, aby správně pochopili bezpečnostní incident se stal během tohoto kroku. Zahrnuje:
- shromažďování informací a poté upřednostňování jednotlivých incidentů a kroků pro odpověď.
- forenzní uchování a analýza dat k určení rozsahu a dopadu incidentu.
V případě incidentu, incident response team by se měla zaměřit na tři oblasti:
- koncový bod Analýzy
- Určit, stopy zanechal škodlivý herec.
- analyzujte bitovou kopii systémů a zjistěte, co se stalo na zařízení během incidentu.
- binární analýza
- analyzujte škodlivé nástroje nebo binární soubory používané škodlivým aktérem a dokumentujte funkce těchto programů. Analýzu lze provést pomocí analýzy chování nebo statické analýzy.
- Enterprise Hunting
- analyzujte existující systémy a protokoly událostí a určete rozsah incidentu.
- dokumentujte všechny ohrožené systémy, zařízení a účty.
4) zadržování
Toto je nejkritičtější fáze reakce na incidenty. Strategie pro potlačení incidentu je založena na inteligenci a ukazatelích kompromisu shromážděných během fáze analýzy. Bezpečnostní tým by se měl zaměřit na přijímání opatření ke zmírnění rizik, aby se zabránilo dalšímu dopadu a poškození organizace.
- koordinované vypnutí: po identifikaci ohrožených systémů proveďte koordinované vypnutí těchto zařízení. IR tým by měl být poučen, aby zajistil správné načasování.
- otřete a znovu vytvořte: otřete ohrožené systémy a znovu vytvořte operační systémy od nuly. Změňte přihlašovací údaje všech ohrožených účtů.
5) Vymýcení
Jakmile jste identifikovali domény nebo IP adresy zadlužuje škodlivých činitelů pro velení a řízení, vydání ‚škodlivý zmírnění požadavků‘ blokovat komunikaci ze všech kanálů připojených na tyto domény. Tým IR by měl ze sítí odstranit známé existující hrozby.
6) Recovery
- Vytvořit krátkodobý sanační strategii a plán
- Zaměření na obnovení normální obchodní operace
- Vytvořit dlouhodobou strategii zmírnění rizika
- Dokumentovat incident na zlepšení IR plán a aktualizace bezpečnostní opatření, aby se zabránilo takovým incidentům v budoucnu
Závěrem
Jako kybernetické hrozby prostředí se neustále vyvíjí rychle, příprava na nevyhnutelné případy kybernetických incidentů zahrnuje více než příprava reagovat. Zahrnuje schopnost efektivně reagovat a důkladně se zotavit.
proto nestačí pouze mít plán reakce na kybernetické incidenty. Bezpečnostní tým musí pochopit plán a otestovat jej v celé organizaci, včetně vedoucích podniků.
StealthLabs vám může pomoci!
StealtLabs‘ Kybernetické bezpečnosti Incident Response Služeb poskytne vaší organizace s cross-funkční přístup pro zlepšení komunikace v celé vaší firmě pro rychlejší, více efektivní, koordinovaný a spolehlivý porušení reakci.
společnost StealthLabs se sídlem v Texasu je jedním z předních poskytovatelů informačních bezpečnostních služeb na americkém trhu. S dlouholetou přítomností v oboru a silnými odbornými znalostmi v oblasti, zajišťujeme obchodní potřeby v různých státech a městech USA.
Kontaktujte Nás
Více Cybersecurity Články :
- Privilegovaný Přístup k Řízení Služeb: Strategie a Výhody
- Top 16 Kybernetické bezpečnosti Mýtů a Mylných představ, Stojí za to Vědět!
- telemedicína a Kybernetická bezpečnost: zabezpečení zdravotních údajů!
- poskytovatel spravovaných bezpečnostních služeb (MSSP) v USA
- mobilní hrozby kybernetické bezpečnosti, které byste měli vědět, abyste chránili svá Data!