Что такое реагирование на инциденты и какую пользу оно приносит организациям?
15 июля 2021 г.
Меры кибербезопасности необходимы многим компаниям для предотвращения утечек данных и кибератак. Есть несколько аспектов, которые члены ИТ-группы учитывают для поддержки эффективных операций по обеспечению безопасности данных, таких как создание плана реагирования на инциденты. Если ваша компания хочет внедрить или улучшить свои меры безопасности данных, может быть полезно узнать больше о планах реагирования на инциденты. В этой статье мы определяем реагирование на инциденты, обсуждаем, как создать план реагирования на инциденты, и приводим несколько примеров того, что следует включить в эффективный план.
Что такое реакция на инцидент?
Реагирование на инциденты (IR) включает в себя шаги, которые специалисты по технологиям предпринимают для подготовки, обнаружения, сдерживания и восстановления после утечки данных. Это преднамеренный и организованный подход к ликвидации последствий взлома или кибератаки для защиты и выявления атакованных или поврежденных данных. Это также полезный инструмент для предотвращения будущих атак аналогичного характера, а именно тех, которые позволяют неавторизованным сторонам получить доступ к защищенным данным. Вот шесть общих шагов реагирования на инциденты:
Подготовка систем и процедур безопасности данных
Выявление инцидентов или кибератак
Сдерживание злоумышленников и выявление активности инцидентов
Удалить злоумышленника и закрыть параметры повторного входа
Восстановление после инцидента и восстановление систем
Применяйте обратную связь об инцидентах для улучшения подготовки системы
Что такое план реагирования на инцидент?
План реагирования на инциденты — это подробный документ, в котором излагаются процедуры, этапы и различные обязанности организации в рамках ее программы реагирования на инциденты. В нем часто подробно описывается подход организации к реагированию на инциденты и то, как эта программа поддерживает организацию и ее миссию. Он также может включать действия для каждого этапа реагирования на инциденты, роли и обязанности по выполнению этих действий, каналы связи между группой IR и остальной частью организации, а также показатели для измерения эффективности конкретного плана IR.
Преимущества создания плана реагирования на инциденты
Наличие установленного плана реагирования на инциденты имеет решающее значение для продолжения работы предприятий в случае технологической чрезвычайной ситуации. Цифровые системы могут отключаться по разным причинам, поэтому компаниям важно подготовиться к нескольким инцидентам, таким как стихийные бедствия, кибератаки или аппаратные ошибки. Вот некоторые ключевые преимущества создания и поддержания плана реагирования на инциденты:
Сокращение времени отключения
Поддержание общественного доверия
Сохранение соответствия протоколам безопасности
Создание уверенного ответа на угрозу
Уменьшение ущерба
Повышение кибербезопасности
6 элементов плана реагирования на инциденты
Вот шесть общих элементов планов реагирования на инциденты:
1. Подготовка
Этап подготовки плана IR часто включает обзор существующих мер или политик безопасности и определение эффективности этих мер. Организации также могут сочетать этот шаг с оценкой рисков, чтобы определить уязвимости безопасности и определить уровень важности для каждой части информации. На этом этапе организации также уточняют или создают политики для устранения уязвимостей и детализируют план коммуникаций. На этом этапе эффективные компании также могут назначать роли и обязанности группам реагирования на инциденты.
2. Выявление угроз
Используя меры и политики безопасности, установленные на этапе подготовки, группы реагирования на инциденты работают над обнаружением и идентификацией подозрительной киберактивности. Когда команда обнаруживает инцидент, они быстро работают над определением характера атаки, ее источника и целей злоумышленника. Этим командам важно собрать доказательства на этом этапе, чтобы они могли проанализировать данные позже. Это также может помочь в судебном преследовании злоумышленника, если команда или правоохранительные органы смогут его идентифицировать. На этом этапе организация также обычно реализует планы коммуникации для информирования связанных сторон об инциденте.
3. Сдерживание угрозы
Как только группа выявит угрозу, их следующая цель — определить и реализовать стратегии сдерживания. Конечная цель этого этапа — свести к минимуму ущерб, наносимый компании атакой. Этот этап часто имеет две подфазы, которые включают краткосрочное и долгосрочное сдерживание. На первом подэтапе изолируется угроза, а на втором предотвращается доступ к незатронутым системам.
4. Устранение угроз
Во время и после этапа сдерживания группы определяют полный масштаб атаки и выявляют затронутые системы или данные. Как только команда IR определит все уязвимые части, они могут начать удаление злоумышленников и вредоносных программ из систем. Эта фаза может продолжаться до тех пор, пока команда не удалит все следы атаки из системы. Для этого команды могут переводить системы в автономный режим и заменять активы чистыми версиями.
5. Восстановление и восстановление
На этом этапе команды подключают обновленные системы замены к сети. В некоторых случаях потери данных нет, но это зависит от того, когда команды в последний раз создавали чистую копию данных. Найдя чистую копию, они могут восстановить и обновить систему, постоянно отслеживая вторичные атаки.
6. Обратная связь и уточнение
После того, как команда устранит атаку и восстановится после нарушения безопасности, они могут просмотреть шаги, предпринятые во время атаки. Члены команды могут определить методы, которые сработали, и внести предложения по улучшению реагирования на инциденты в будущем. На этом этапе команды также заполняют необходимую документацию и представляют любые доказательства или выводы, обнаруженные ими во время атаки.
Образец плана реагирования на инциденты
Хотя количество шагов и конкретная информация, включенная в план реагирования на инциденты, может меняться, есть несколько важных компонентов, которые необходимо учитывать в плане реагирования. Шаги часто выполняются в последовательном порядке сверху вниз в документе реагирования на инциденты, но вы можете указать, могут ли команды пропускать определенные шаги, если они не относятся к конкретному инциденту. Вот пример элементов, которые вы можете включить в свой план реагирования на инциденты:
1. Немедленный ответ и контактная информация
На этом первом шаге вам может понадобиться, чтобы ответчик инициировал связь с соответствующими сотрудниками во всей пострадавшей организации. Это может включать в себя список конкретных сотрудников, с которыми можно связаться, вместе с их контактной информацией.
Пример: Человек, который первым обнаруживает инцидент, звонит в диспетчерскую полицию, затем в службу технической поддержки и к текущему начальнику смены. Ответственное лицо связывается с этими источниками в течение одного часа после обнаружения инцидента.
2. Журнал звонков и инцидентов
Этот следующий шаг помогает определить информацию, необходимую для начала регистрации каналов связи и информации об инцидентах. Это, вероятно, когда ИТ-отдел или группа реагирования на инциденты могут начать реагировать на инцидент и определять последствия атаки. Объем информации, включенной в журнал, может помочь улучшить сеанс обратной связи, обычно проводимый в конце плана реагирования.
Пример. Как только ИТ-персонал получает информацию об инциденте, он регистрирует имя первого ответившего, время вызова, характер инцидента, задействованное оборудование, местоположение и то, как ответчик впервые обнаружил инцидент.
3. Определение масштаба атаки
Этот шаг может помочь ИТ-персоналу определить, может ли атака критически повлиять на работу, и как правильно снизить риски. Важно определить угрозу, которую представляет атака для пострадавшей компании, и тип произошедшей атаки. Некоторая информация, которую вы можете включить в эту область, включает тип атаки, уровень угрозы, целевые системы и различные процедуры, которые необходимо выполнить на основе оценки угрозы.
Пример: после того, как ИТ-отдел или группа быстрого реагирования свяжутся со всеми соответствующими сотрудниками, ИТ-отдел или группа реагирования обсудят ситуацию, чтобы определить текущие действия атаки, целевые данные или информацию и возможные последствия получения злоумышленниками доступа к этой информации. Они также присваивают атаке категорию угрозы и начинают реализовывать процедуры реагирования.
4. Проверка доказательств
Этот шаг может помочь ИТ-специалистам определить, как злоумышленник совершил нарушение и как предотвратить подобное событие в будущем. Этот этап может включать собеседования, просмотр журналов безопасности и может различаться в зависимости от ситуации и организации. После того, как члены ИТ-группы изучат все доказательства и информацию, они могут предложить изменения в текущих мерах безопасности системы.
Пример: после того, как команда устранила атаку, ИТ-группа просматривает все системные журналы и журналы обнаружения вторжений и опрашивает свидетелей, чтобы определить, как произошло нарушение. Затем они создают рекомендации по исправлению и предотвращению повторения подобного нарушения. После одобрения руководства они могут внести эти изменения в систему и продолжить работу по восстановлению системы.
5. Просмотрите ответы и обновите политики
Этот последний шаг может помочь организации проанализировать инцидент и его влияние на компанию. Этот шаг также может включать обзор текущих политик безопасности и установленных протоколов реагирования. На этом этапе организации также могут обновлять или создавать новые политики для устранения уязвимостей.
Пример: после того, как ИТ-отдел полностью восстановил систему, компания проводит совещание для обсуждения события и методов предотвращения подобного события в будущем. Это совещание может также включать финансовую и информационную оценку убытков, понесенных в ходе процедур сдерживания угрозы. Группа может просмотреть текущие политики безопасности и определить потенциальные улучшения. Руководство компании может просмотреть все исправления и обновления, внедренные для предотвращения вторичной атаки, до завершения собрания.