nykypäivän alati muuttuvassa kyberturvallisuusmaisemassa jokainen organisaatio koosta, luonteesta ja toimialasta riippumatta on kyberhyökkäyksen vaarassa.

kyberonnettomuus voi kärjistyä nopeasti liiketoimintakriisiksi, joka johtaa taloudellisiin menetyksiin, oikeudellisiin seurauksiin, operatiivisiin häiriöihin ja mainevahinkoihin.

näistä vakavista seurauksista huolimatta valtaosa organisaatioista ei ole vieläkään valmis vastaamaan asianmukaisesti kyberturvallisuushäiriöihin. Itse asiassa IBM: n tuoreen tutkimuksen mukaan 77 prosentilla tutkituista organisaatioista ei ole Cyber Security Incident Response Plania (CSIRP), jota sovelletaan johdonmukaisesti heidän yrityksessään.

kyberhyökkäysten vaatiessa yhä enemmän veroa liiketoiminnasta ja maineesta, vankan Cyber Incident Response (Cir)-suunnitelman kehittäminen on välttämätöntä, jotta organisaatiot voivat pysyä kyberturvallisuuskäyrän edellä.

tässä on kuusi ratkaisevaa vaihetta, jotka jokaisen IR-suunnitelman tulisi kattaa väistämättömien turvallisuushäiriöiden tehokkaaksi käsittelemiseksi:

vaaratilanteiden torjunnan kuusi vaihetta

organisaatioiden tulee kehittää ennakoiva ja reagoiva valmiusjoukko osana vaaratilanteiden torjuntasuunnitelmaansa, jotta ne voivat nopeasti sopeutua ja reagoida kybervahinkoihin.

proaktiiviset valmiudet

• valmistelu

toteaminen analyysi

reagointikyky

• eristäminen
• hävittäminen

1) valmistelu

valmistelu on ratkaisevan tärkeää tehokkaan vaaratilanteeseen vastaamisen kannalta. Jopa paras Cyber Security Incident Response Team (CSIRT) ei voi tehokkaasti vastata tapahtumaan ilman ennalta annettuja ohjeita. Varautumiseen liittyy:

• koko yrityksen kattavan IR-suunnitelman suunnittelu, kehittäminen, koulutus ja toteutus
• Viestintäohjeiden luominen saumattoman viestinnän mahdollistamiseksi vaaratilanteen aikana ja sen jälkeen
• Kybersimulaatioharjoitusten suorittaminen vaaratilanteiden torjuntasuunnitelman tehokkuuden arvioimiseksi

2) havaitseminen

tämän vaiheen tavoitteena on seurata verkkoja ja järjestelmiä mahdollisten tietoturvaloukkausten havaitsemiseksi, varoittamiseksi ja raportoimiseksi.

• ottaa käyttöön cyber threat intelligence (CTI) – valmiudet kattavan kybervalvontaohjelman kehittämiseksi ja jatkuvan seurannan ja havaitsemisen tukemiseksi
• suorittaa kyberkompromissiarviointeja tuntemattomien kompromissien havaitsemiseksi

3) analyysi

suurin osa pyrkimyksistä tietoturvaloukkauksen ymmärtämiseksi tapahtuu tämän vaiheen aikana. Siihen kuuluu:

• tietojen kerääminen ja sen jälkeen yksittäisten tapahtumien ja toimenpiteiden priorisointi vastausta varten.
• tietojen oikeuslääketieteellinen säilyttäminen ja analysointi tapauksen laajuuden ja vaikutusten selvittämiseksi.

vaaratilanteen sattuessa vaaratilanteiden vastausryhmän tulisi keskittyä kolmeen alueeseen:

• Päätepisteanalyysi
  • määrittää haitallisen toimijan jälkeensä jättämät jäljet.
  • analysoi bit-for-bit-kopio järjestelmistä selvittääkseen, mitä laitteessa tapahtui tapahtuman aikana.
• Binäärianalyysi
  • analysoi haitallisen toimijan käyttämiä haittaohjelmia tai binäärejä ja dokumentoi näiden ohjelmien toiminnallisuudet. Analyysi voidaan suorittaa Käyttäytymisanalyysin tai staattisen analyysin avulla.
• Enterprise Hunting
  • analysoi olemassa olevia järjestelmiä ja tapahtumalokeja selvittääkseen vaaratilanteen laajuuden.
  • dokumentoi kaikki vaarantuneet järjestelmät, laitteet ja tilit.

4) eristäminen

Tämä on vaaratilanteiden kriittisin vaihe. Strategia tapahtuman hillitsemiseksi perustuu analyysivaiheessa kerättyihin tiedustelutietoihin ja kompromissiindikaattoreihin. Turvallisuustiimin tulisi keskittyä riskinhallintatoimiin, joilla estetään lisävaikutukset ja vahingot organisaatiolle.

• koordinoitu sammutus: kun olet tunnistanut vaarantuneet järjestelmät, suorita näiden laitteiden koordinoitu sammutus. IR-tiimiä olisi ohjeistettava varmistamaan oikea ajoitus.
• pyyhi ja rakenna uudelleen: pyyhi vaarantuneet järjestelmät ja rakenna käyttöjärjestelmät uudelleen tyhjästä. Vaihda kaikkien vaarantuneiden tilien kirjautumistiedot.

5) hävittäminen

kun olet tunnistanut verkkotunnuksia tai IP-osoitteita, joita vahingolliset toimijat ovat hyödyntäneet komentoa ja valvontaa varten, esitä uhkien lieventämispyynnöt estääksesi viestinnän kaikista näihin verkkoalueisiin yhdistetyistä kanavista. IR-ryhmän pitäisi poistaa tunnetut olemassa olevat uhat verkoista.

6) elpyminen

• kehitetään lähiaikojen korjaamisstrategia ja etenemissuunnitelma
• keskity normaalin liiketoiminnan jatkamiseen
• kehitetään pitkän aikavälin riskinhallintastrategia
• dokumentoi vaaratilanne parantaakseen IR-suunnitelmaa ja päivittääkseen turvatoimia tällaisten vaaratilanteiden välttämiseksi tulevaisuudessa

lopuksi
koska kyberuhkaympäristö kehittyy edelleen nopeasti, väistämättömään kybervahinkoon varautuminen vaatii enemmän kuin reagoimisen valmistautumista. Siihen kuuluu kyky reagoida tehokkaasti ja toipua perusteellisesti.

siksi pelkkä kybervahinkojen torjuntasuunnitelma ei riitä. Turvatiimin on ymmärrettävä suunnitelma ja testattava sitä koko organisaatiossa, myös yritysjohtajien keskuudessa.

StealthLabs voi auttaa sinua!

Stealtlabsin Cybersecurity Incident Response Services tarjoaa organisaatiollesi poikkitoiminnallisen lähestymistavan liiketoimintasi viestinnän parantamiseksi nopeamman, tehokkaamman, koordinoidun ja luotettavan tietoturvaloukkausvastauksen mahdollistamiseksi.

Texasissa pääkonttoriaan pitävä StealthLabs on yksi Yhdysvaltain markkinoiden johtavista tietoturvapalvelujen tarjoajista. Vuosien teollisuuden läsnäolo ja vahva domain asiantuntemus, olemme catering liiketoiminnan tarpeisiin eri Yhdysvaltain osavaltioissa ja kaupungeissa.

ota yhteyttä

Lisää Kyberturvallisuusartikkeleita:

• Privileged Access Management Services: Strategy and Benefits
• Top 16 Kyberturvallisuusmyyttejä ja harhaluuloja, jotka kannattaa tietää!
• Telelääketiede ja kyberturvallisuus: terveystietojen turvaaminen!
• hallittu tietoturvapalvelun tarjoaja (MSSP) USA: ssa
• mobiilin Kyberturvallisuusuhat sinun pitäisi tietää, jotta suojaat tietosi!