Cei șase pași pentru a construi un plan eficient de răspuns la incidente cibernetice

cei șase pași pentru a construi un plan eficient de răspuns la incidente cibernetice

22 octombrie 2020
/ în blog
/ de admin

în peisajul actual de securitate cibernetică în continuă evoluție, fiecare organizație, indiferent de dimensiune, natură și industrie, este expusă riscului de atac cibernetic.

când are loc un incident cibernetic, acesta poate escalada rapid la o criză de afaceri, ducând la pierderi financiare, implicații juridice, perturbări operaționale și daune reputaționale.în ciuda acestor consecințe grave, marea majoritate a organizațiilor sunt încă nepregătite să răspundă în mod corespunzător la incidentele de securitate cibernetică. De fapt, potrivit unui studiu recent realizat de IBM, 77% dintre organizațiile chestionate nu au un plan de răspuns la Incidente de securitate cibernetică (CSIRP) aplicat în mod consecvent în întreaga întreprindere.pe măsură ce atacurile cibernetice afectează din ce în ce mai mult operațiunile de afaceri și reputația, dezvoltarea unui plan robust de răspuns la incidente cibernetice (Cir) devine esențială pentru ca organizațiile să rămână în fața curbei de securitate cibernetică.

iată șase pași cruciali pe care fiecare plan IR ar trebui să îi acopere pentru a aborda în mod eficient incidentele inevitabile de securitate:

cele șase etape ale răspunsului la Incidente

organizațiile trebuie să dezvolte un set proactiv și receptiv de capabilități ca parte a planului lor de răspuns la incidente pentru a se adapta rapid și a răspunde la incidentele cibernetice.

capabilități Proactive

  • pregătire
  • detectare
  • analiză

capabilități receptive

  • izolare
  • eradicare
  • recuperare

1) Pregătirea

pregătirea este crucială pentru răspunsul eficient la incidente. Chiar și cea mai bună echipă de răspuns la Incidente de securitate cibernetică (CSIRT) nu poate răspunde eficient la un incident fără instrucțiuni prestabilite. Pregătirea implică:

  • proiectarea, dezvoltarea, instruirea și implementarea planului IR la nivel de întreprindere
  • crearea de orientări de comunicare pentru a permite comunicarea fără probleme în timpul și după un incident
  • efectuarea de exerciții de simulare cibernetică pentru a evalua eficacitatea planului de răspuns la incidente

2) detectarea

Obiectivul acestei faze este de a monitoriza rețelele și sistemele pentru a detecta, alerta și raporta potențialele incidente de securitate.

  • adoptarea capabilităților cyber threat intelligence (CTI) pentru a dezvolta un program cuprinzător de monitorizare cibernetică și pentru a sprijini monitorizarea și detectarea continuă
  • efectuați evaluări de compromis cibernetic pentru a detecta compromisuri necunoscute

3) Analiza

cea mai mare parte a eforturilor de a înțelege corect incidentul de securitate au loc în timpul acestei etape. Aceasta implică:

  • colectarea de informații și apoi prioritizarea incidentelor individuale și a pașilor pentru un răspuns.
  • conservarea criminalistică și analiza datelor pentru a determina amploarea și impactul incidentului.

în timpul evenimentului unui incident, echipa de răspuns la incidente ar trebui să se concentreze pe trei domenii:

  • analiza punctului final
    • determinați piesele lăsate în urmă de actorul rău intenționat.
    • analizați o copie bit-Pentru-bit a sistemelor pentru a determina ce a avut loc pe un dispozitiv în timpul incidentului.
  • analiza binară
    • analizați instrumentele sau binarele rău intenționate utilizate de actorul rău intenționat și documentați funcționalitățile acestor programe. Analiza poate fi efectuată prin analiza comportamentului sau analiza statică.
  • Enterprise Hunting
    • analiza sistemelor existente și jurnalele de evenimente pentru a determina domeniul de aplicare al incidentului.
    • documentați toate sistemele, dispozitivele și conturile compromise.

4) izolare

aceasta este etapa cea mai critică de răspuns la incidente. Strategia de conținere a unui incident se bazează pe inteligența și indicatorii de compromis adunați în faza de analiză. Echipa de securitate ar trebui să se concentreze pe luarea de acțiuni de atenuare a riscurilor pentru a preveni impactul și deteriorarea ulterioară a organizației.

  • oprire coordonată: o dată după identificarea sistemelor compromise, efectuați o oprire coordonată a acestor dispozitive. Echipa IR trebuie instruită să asigure o sincronizare corectă.
  • ștergeți și reconstruiți: ștergeți sistemele compromise și reconstruiți sistemele de operare de la zero. Modificați datele de conectare ale tuturor conturilor compromise.

5) eradicarea

odată ce ați identificat domenii sau adrese IP utilizate de actorii rău intenționați pentru comandă și control, emiteți ‘cereri de atenuare a amenințărilor’ pentru a bloca comunicarea de pe toate canalele conectate la aceste domenii. Echipa IR ar trebui să elimine amenințările existente cunoscute din rețele.

6) recuperarea

  • elaborarea unei strategii de remediere pe termen scurt și a unei foi de parcurs
  • concentrarea asupra reluării operațiunilor normale de afaceri
  • elaborarea unei strategii de atenuare a riscurilor pe termen lung
  • documentarea incidentului pentru îmbunătățirea planului IR și actualizarea măsurilor de securitate pentru a evita astfel de incidente în viitor

În concluzie
pe măsură ce mediul de amenințare cibernetică continuă să evolueze rapid, pregătirea pentru incidentul cibernetic inevitabil implică mai mult decât pregătirea pentru a reacționa. Aceasta implică capacitatea de a răspunde eficient și de a vă recupera temeinic.

prin urmare, pur și simplu având un plan de răspuns la incidente cibernetice nu este suficient. Echipa de securitate trebuie să înțeleagă planul și să îl testeze în întreaga organizație, inclusiv în rândul liderilor de afaceri.

StealthLabs vă poate ajuta!

StealthLabs vă poate ajuta!

serviciile StealtLabs de răspuns la Incidente de securitate cibernetică vor oferi organizației dvs. o abordare inter-funcțională pentru o comunicare îmbunătățită în cadrul afacerii dvs. pentru un răspuns mai rapid, mai eficient, coordonat și fiabil la breșe.cu sediul în Texas, StealthLabs este unul dintre cei mai importanți furnizori de servicii de securitate a informațiilor de pe piața americană. Cu ani de prezență în industrie și expertiză puternică în domeniu, am satisfăcut nevoile de afaceri din diferite state și orașe din SUA.

Contactați-Ne

Mai multe articole de securitate cibernetică :

  • servicii de gestionare a accesului privilegiat: strategie și beneficii
  • Top 16 mituri și concepții greșite de securitate cibernetică care merită cunoscute!
  • telemedicina și securitatea cibernetică: securizarea datelor de sănătate!
  • furnizor de servicii de securitate gestionate (MSSP) în Statele Unite ale Americii
  • amenințări mobile de securitate cibernetică ar trebui să știți pentru a vă proteja datele!

Related Posts

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *