De seks trin til at opbygge en effektiv Cyber Incident Response Plan

de seks trin til at opbygge en effektiv Cyber Incident Response Plan

oktober 22, 2020
/ i blog
/ af admin

i det nuværende stadigt udviklende cybersikkerhedslandskab er enhver organisation, uanset størrelse, natur og industri, i fare for cyberangreb.

når en cyberhændelse opstår, kan den hurtigt eskalere til en forretningskrise, hvilket fører til økonomiske tab, juridiske konsekvenser, driftsforstyrrelser og omdømmeskader.

På trods af disse alvorlige konsekvenser er langt de fleste organisationer stadig uforberedte på passende at reagere på cybersikkerhedshændelser. Ifølge en nylig undersøgelse foretaget af IBM har 77% af de undersøgte organisationer faktisk ikke en Cyber Security Incident Response Plan (CSIRP) anvendt konsekvent på tværs af deres virksomhed.da cyberangreb i stigende grad tager en vejafgift på forretningsdrift og omdømme, bliver udvikling af en robust Cyber Incident Response (CIR) plan afgørende for organisationer at holde sig foran cybersikkerhedskurven.

Her er seks afgørende trin, som hver IR-plan skal dække for effektivt at tackle de uundgåelige sikkerhedshændelser:

De Seks trin i hændelsesrespons

organisationer skal udvikle et proaktivt og responsivt sæt kapaciteter som en del af deres hændelsesresponsplan for hurtigt at tilpasse og reagere på cyberhændelser.

proaktive kapaciteter

  • forberedelse
  • detektion
  • analyse

Responsive kapaciteter

  • indeslutning
  • udryddelse
  • genopretning

1) Forberedelse

forberedelse er afgørende for effektiv hændelsesrespons. Selv det bedste Cyber Security Incident Response Team (CSIRT) kan ikke effektivt reagere på en hændelse uden forudbestemte instruktioner. Beredskab indebærer:

  • Design, Udvikling, Træning og implementering af VIRKSOMHEDSDÆKKENDE IR-plan
  • oprettelse af kommunikationsretningslinjer for at muliggøre problemfri kommunikation under og efter en hændelse
  • gennemførelse af cybersimuleringsøvelser for at evaluere effektiviteten af hændelsesresponsplanen

2) detektion

formålet med denne fase er at overvåge netværk og systemer til at opdage, advare og rapportere om potentielle sikkerhedshændelser.

  • vedtage cyber threat intelligence (CTI) kapaciteter til at udvikle et omfattende cyberovervågningsprogram og til at understøtte løbende overvågning og detektion
  • gennemføre cyber kompromisvurderinger for at opdage ukendte kompromiser

3) Analyse

størstedelen af bestræbelserne på korrekt at forstå sikkerhedshændelsen finder sted under dette trin. Det involverer:

  • indsamling af information og derefter prioritering af individuelle hændelser og trin til et svar.
  • retsmedicinsk bevarelse og analyse af data for at bestemme omfanget og virkningen af hændelsen.

i tilfælde af en hændelse skal incident response-teamet fokusere på tre områder:

  • Endpoint Analysis
    • Bestem spor efterladt af den ondsindede skuespiller.
    • analyser en bit-for-bit kopi af systemer for at bestemme, hvad der skete på en enhed under hændelsen.
  • binær analyse
    • analyser ondsindede værktøjer eller binære filer, der bruges af den ondsindede aktør, og dokument funktionaliteterne i disse programmer. Analysen kan udføres gennem adfærdsanalyse eller statisk analyse.
  • Enterprise Hunting
    • analyser eksisterende systemer og hændelseslogfiler for at bestemme omfanget af hændelsen.
    • dokumentere alle de kompromitterede systemer, enheder og konti.

4) indeslutning

Dette er det mest kritiske stadium af hændelsesrespons. Strategien for at indeholde en hændelse er baseret på intelligens og indikatorer for kompromis indsamlet i analysefasen. Sikkerhedsteamet bør fokusere på at tage risikobegrænsende handlinger for at forhindre yderligere påvirkning og skade på organisationen.

  • koordineret nedlukning: når du har identificeret de kompromitterede systemer, skal du udføre en koordineret nedlukning af disse enheder. IR-teamet skal instrueres i at sikre korrekt timing.
  • tør og genopbyg: Slet de kompromitterede systemer og genopbyg operativsystemerne fra bunden. Skift loginoplysninger for alle de kompromitterede konti.

5) udryddelse

når du har identificeret domæner eller IP-adresser, der er udnyttet af de ondsindede aktører til kommando og kontrol, skal du udstede ‘trusselbegrænsningsanmodninger’ for at blokere kommunikationen fra alle kanaler, der er forbundet til disse domæner. IR-teamet skal fjerne de kendte eksisterende trusler fra netværkene.

6) gendannelse

  • udvikle en afhjælpningsstrategi på kort sigt og køreplan
  • fokus på at genoptage normal forretningsdrift
  • udvikle en langsigtet risikoreduktionsstrategi
  • dokument hændelsen for at forbedre IR-planen og opdatere sikkerhedsforanstaltninger for at undgå sådanne hændelser i fremtiden

Som konklusion
da cybertrusselmiljøet fortsætter med at udvikle sig hurtigt, involverer forberedelse af den uundgåelige cyberhændelse mere end at forberede sig på reagere. Det indebærer evnen til at reagere effektivt og komme sig grundigt.

derfor er det ikke nok at have en cyberhændelsesresponsplan. Sikkerhedsteamet skal forstå planen og teste den på tværs af organisationen, herunder blandt virksomhedsledere.

StealthLabs kan hjælpe dig!

StealthLabs kan hjælpe dig!StealtLabs ' Cybersecurity Incident Response Services vil give din organisation en tværfunktionel tilgang til forbedret kommunikation på tværs af din virksomhed for en hurtigere, mere effektiv, koordineret og pålidelig overtrædelsesrespons.StealthLabs er en af de førende udbydere af Informationssikkerhedstjenester på det amerikanske marked. Med mange års tilstedeværelse i branchen og stærk domæneekspertise, vi har imødekommet forretningsbehov i forskellige amerikanske stater og byer.

Kontakt os

flere cybersikkerhed artikler:

  • privilegeret adgang Management Services: strategi og fordele
  • Top 16 cybersikkerhed myter og misforståelser værd at vide!
  • telemedicin og cybersikkerhed: sikring af sundhedsdata!
  • Managed Security Service Provider (MSSP) i USA
  • Mobile Cybersecurity trusler, du bør vide for at beskytte dine Data!

Related Posts

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *