Cyber Essentials #6 – I stało się… czyli Incident Reponse
Choć to stresujące, w przypadku uzasadnionego podejrzenia – należy założyć, że włamanie nastąpiło i rozpocząć remediację. Poleganie na nadziei to najgorsza z możliwych strategii cyberbezpieczeństwa. Zaplanuj, przygotuj i przeprowadź ćwiczenia dotyczące cyberataków i incydentów, tak jak w przypadku ćwiczeń przeciwpożarowych. Wiąże się to z planem aktywności systemowych oraz komunikacji wewnątrz i na zewnątrz firmy. Personel musi wiedzieć kto, co i w jakiej kolejności ma wykonać – pod ogromną presją czasu.
- Określ role i obowiązki osób reagujących na incydent oraz odzyskiwania danych i przywracania sprawności systemów. Testuj to często. Reagowanie na incydenty koncentruje się głównie na ochronie zasobów informacyjnych, podczas gdy odzyskiwanie po awarii koncentruje się na ciągłości biznesowej. Po opracowaniu planu przetestuj go w symulacji („war-gaming”), w których role i obowiązki są przypisane osobom przypisanym do określonych w procesie ról. Gwarantuje to, że faktyczny atak nie będzie poligonem testowym Twojego procesu.
- Wykorzystaj oceny wpływu na działalność biznesową, aby określić priorytety zasobów i określić, które systemy należy najpierw odzyskać. Analiza wpływu na biznes (Business Impact Analysis) pomaga zidentyfikować i nadać priorytet krytycznym systemom, informacjom i aktywom. Informacje te określają wymagania awaryjne i priorytety dotyczące informacji i usług krytycznych. Umożliwia również planowanie skutków zakłóceń i określa dopuszczalne czasy przestojów. Cel: priorytety reakcji i odzyskiwania.
- Dowiedz się, do kogo możesz zwrócić się po pomoc. Zwykle są to partnerzy zewnętrzni, dostawcy, osoby udzielające pomocy z instytucji rządowych/branżowych, dział techniczny i oczywiście organy ściagania. W ramach reakcji na incydenty, odzyskiwania po awarii i ciągłości biznesowej zidentyfikuj i udokumentuj partnerów, do których zwrócisz się o pomoc. Uzupełnij zasoby i wytyczne dotyczące tego, kiedy, jak i komu należy zgłosić incydent, aby uzyskać pomoc.
- Kieruj rozwojem wewnętrznej struktury raportowania w celu wykrywania, komunikowania i powstrzymywania ataków. Skuteczne plany komunikacji skupiają się na problemach charakterystycznych dla naruszeń bezpieczeństwa. Standardowa procedura raportowania zmniejszy zamieszanie i sprzeczne informacje między kierownictwem, pracownikami i interesariuszami. Komunikacja powinna być ciągła, ponieważ większość naruszeń danych ma miejsce przez długi czas, a nie natychmiast. Wobec interesariuszy – powinna pochodzić od najwyższego kierownictwa, aby pokazać zaangażowanie w działanie i znajomość sytuacji.
- Wykorzystaj środki ograniczające, aby ograniczyć wpływ incydentów cybernetycznych. Komunikuj się i realizuj swój plan reagowania na incydenty, taki jak izolowanie segmentu sieci, blokada zainfekowanych stacji roboczych lub wyłączenie serwerów produkcyjnych i przekierowanie ruchu na zastępcze. I w najgorszym razie – zatrzymanie funkcjonowania systemu. Przetestuj systemy, aby upewnić się, że działają i są bezpiecznie skonfigurowane po rozwiązaniu incydentu.
- Ucz się na błędach. Po każdym incydencie przeprowadź retrospektywną sesją mającą na celu wyciągnięcie lekcji, tzw. Lessons learned. Pozwoli to na optymalizację reakcji w przyszłości.
Nieważne jak się przygotujesz, ze względu na poziom skomplikowania możesz jedynie minimalizować straty – ich uniknięcie jest praktycznie niemożliwe. Dwa kluczowe wnioski to:
- Im więcej zainwestujesz w procesy i rozwiązania z zakresu bezpieczeństwa tym:
- Ciężej będzie komuś zainfekować Twoją sieć lub wykraść dane
- Szybciej Twój zespół wykryje incydent i rozpocznie procedurę remediacji
- Praktyka jest bezcenna – nie pozwól by prawdziwy incydent był poligonem testowym dla Twojego zespołu. Skutki mogą być katastrofalne. Każdy musi wiedzieć za co jest odpowiedzialny, jak to wykonać – i to nie w teorii.
Jako specjaliści od skanowania podatności i testów penetracyjnych pomagamy naszym klientom zauważyć luki w ich procesach i odpowiednio je zaadresować. Szereg organizacji, z którymi współpracujemy pozwala określić kluczowe trendy oraz odchylenia od nich – specyficzne dla konkretnych branż.