Дори и най -защитените системи за сигурност не са освободени от кибератаки, да не говорим за тези, които не са защитени. Кибератаците винаги ще се опитват да проникнат във вашата мрежа и ваша отговорност е да ги спрете.

Пред такава заплаха всяка секунда е от значение. Всяко забавяне може да разкрие вашите чувствителни данни и това може да бъде изключително вредно. Вашият отговор на инцидент със сигурността прави разликата. План за реакция при инциденти (IR) ви позволява да бъдете бързи в отблъскването срещу натрапници.

Какво представлява планът за реакция при инциденти?

Планът за реакция при инциденти е тактически подход за управление на инцидент по сигурността. Състои се от процедури и политики при подготовката, оценката, ограничаването и възстановяването след инцидент със сигурността.

Времето на престой, което вашата организация претърпява поради инцидент със сигурността, може да продължи, в зависимост от въздействието на инцидента. Планът за реакция при инциденти гарантира, че вашата организация се връща на крака възможно най -скоро.

instagram viewer

Освен възстановяването на мрежата ви към това, което е било преди атаката, IR планът ви помага да избегнете повторение на инцидента.

Как изглежда планът за реакция при инциденти?

Планът за реакция при инциденти е по -успешен, когато се следват документираните инструкции за последното. За да се случи това, вашият екип трябва да разбере плана и да има необходимите умения за изпълнението му.

Има две основни рамки за реакция при инциденти, използвани за управление на киберзаплахите - NIST и SANS.

Правителствена агенция, Националният институт по стандарти и технологии (NIST), специализирана в различни области на технологиите и киберсигурността е една от основните й услуги.

Планът за отговор на инцидента по NIST се състои от четири стъпки:

  1. Подготовка.
  2. Откриване и анализ.
  3. Сдържане, ликвидиране и възстановяване.
  4. Дейности след инциденти.

Частна организация, SysAdmin, Audit, Network and Security (SANS) е известна със своя опит в обучението по киберсигурност и информация. Рамката SANS IR се използва широко в киберсигурността и включва шест стъпки:

  1. Подготовка.
  2. Идентификация.
  3. Задържане.
  4. Изкореняване.
  5. Възстановяване.
  6. Поуки.

Въпреки че броят на стъпките, предлагани в NIST и SANS IR рамките, се различава, и двете са сходни. За по -подробен анализ нека се съсредоточим върху рамката на SANS.

1. Подготовка

Добрият IR план започва с подготовката и рамките на NIST и SANS признават това. В тази стъпка преглеждате мерките за сигурност, които имате на място в момента, и тяхната ефективност.

Процесът на преглед включва оценка на риска на вашата мрежа да открийте всички възможни уязвимости. Трябва да идентифицирате вашите ИТ активи и да ги приоритизирате, като придадете изключително значение на системите, съдържащи най -чувствителните ви данни.

Изграждането на силен екип и разпределянето на роли на всеки член е функция на подготвителния етап. Предложете на всички информация и ресурси, от които се нуждаят, за да реагират незабавно на инцидент със сигурността.

2. Идентификация

След като сте създали подходящата среда и екип, е време да откриете всички заплахи, които могат да съществуват във вашата мрежа. Можете да направите това с помощта на емисии за разузнаване на заплахи, защитни стени, SIEM и IPS за наблюдение и анализ на вашите данни за индикатори за атака.

Ако бъде открита атака, вие и вашият екип трябва да определите естеството на атаката, нейния източник, капацитет и други компоненти, необходими за предотвратяване на пробив.

3. Задържане

Във фазата на ограничаване целта е да изолирате атаката и да я направите безсилна, преди тя да причини някакви щети на вашата система.

Съдържането на инцидент със сигурността ефективно изисква разбиране на инцидента и степента на щети, които може да причини на вашата система.

Архивирайте файловете си, преди да започнете процеса на задържане, за да не загубите чувствителни данни в хода му. Важно е да съхранявате съдебни доказателства за по -нататъшно разследване и правни въпроси.

4. Изкореняване

Фазата на ликвидиране включва премахването на заплахата от вашата система. Вашата цел е да възстановите системата си в състоянието, в което е била преди инцидента. Ако това е невъзможно, се опитвате да постигнете нещо близко до предишното му състояние.

Възстановяването на вашата система може да изисква няколко действия, включително изтриване на твърдите дискове, надграждане на версии на софтуера, предотвратяване на първопричината и сканиране на системата за премахване на злонамерено съдържание, което може съществуват.

5. Възстановяване

Искате да сте сигурни, че етапът на ликвидиране е успешен, затова трябва да извършите повече анализи, за да потвърдите, че вашата система е напълно лишена от всякакви заплахи.

След като сте сигурни, че брегът е чист, трябва да тествате системата си, за да се подготвите за пускането й на живо. Обърнете специално внимание на мрежата си, дори когато тя е на живо, за да сте сигурни, че нищо не е наред.

6. Научен урок

Предотвратяването на повтарящи се нарушения на сигурността води до вземане под внимание на нещата, които са се объркали, и коригирането им. Всеки етап от ИР плана трябва да бъде документиран, тъй като съдържа жизненоважна информация за възможните уроци, които могат да бъдат извлечени от него.

След като сте събрали цялата информация, вие и вашият екип трябва да си зададете някои ключови въпроси, включително:

  • Какво точно се случи?
  • Кога се случи това?
  • Как се справихме с инцидента?
  • Какви стъпки предприехме в отговор?
  • Какво научихме от инцидента?

Най -добри практики за план за реагиране при инциденти

Приемането на план за реакция при инциденти на NIST или SANS е солиден начин за справяне с киберзаплахите. Но за да получите отлични резултати, трябва да спазвате определени практики.

Идентифицирайте критични активи

Кибератаците отиват за убийството; те са насочени към най -ценните ви активи. Трябва да идентифицирате критичните си активи и да ги приоритизирате в плана си.

В случай на инцидент първото ви пристанище трябва да бъде най -ценният ви актив, за да предотвратите нападателите достъп или увреждане на вашите данни.

Установете ефективни комуникационни канали

Потокът на комуникация във вашия план може да направи или да наруши стратегията ви за реакция. Уверете се, че всеки участник има адекватна информация във всеки момент, за да предприеме подходящи действия.

Изчакването да се случи инцидент, преди да оптимизирате комуникацията си, е рисковано. Поставянето му предварително ще вдъхне доверие на вашия екип.

Не го усложнявай

Инцидентът със сигурността е изтощителен. Членовете на вашия екип вероятно ще бъдат неистови, опитвайки се да спасят деня. Не затруднявайте работата им със сложни подробности във вашия IR план.

Дръжте го възможно най -просто.

Въпреки че искате информацията в плана ви да бъде лесна за разбиране и изпълнение, не я разводнявайте с прекомерно обобщение. Създайте конкретни процедури за това какво трябва да правят членовете на екипа.

Създайте книги за реакция при инциденти

Специално изработеният план е по-ефективен от общия план. За да получите по -добри резултати, трябва да създадете IR книга за справяне с различните видове инциденти със сигурността.

Учебникът дава на вашия екип за реакция стъпка по стъпка ръководство за това как да се справите добре с конкретна кибер-заплаха, вместо просто да докосвате повърхността.

Тествайте плана

Най -ефективният план за отговор при отстъп е този, който непрекъснато се тества и сертифицира за ефективност.

Не създавайте план и забравете за него. Периодично провеждайте учения за сигурност, за да идентифицирате вратичките, които кибератаките могат да използват.

Приемане на проактивен подход за сигурност

Кибератаците вземат лица и организации в неведение. Никой не се събужда сутрин, очаквайки мрежата им да бъде хакната. Въпреки че може да не желаете инцидент със сигурността върху себе си, има вероятност той да се случи.

Най -малкото, което можете да направите, е да бъдете проактивни, като създадете план за реакция при инциденти само в случай, че кибератаците решат да се насочат към вашата мрежа.

ДялТуителектронна поща
Какво е кибер изнудване и как можете да го предотвратите?

Кибер изнудването представлява значителна заплаха за вашата онлайн сигурност. Но какво точно е това и как можете да сте сигурни, че не сте жертва?

Прочетете Напред

Свързани теми
  • Сигурност
  • Обяснена технология
  • Онлайн сигурност
За автора
Крис Одогву (19 статии са публикувани)

Крис Одогву е очарован от технологиите и многото начини, по които подобрява живота. Страстен писател, той е развълнуван да предаде знания чрез писането си. Има бакалавърска степен по масови комуникации и магистърска степен по връзки с обществеността и реклама. Любимото му хоби е танците.

Още от Крис Одогву

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и изключителни оферти!

Щракнете тук, за да се абонирате