Структура реагирования на инциденты была разработана NIST, чтобы дать ИТ-командам основу для построения своих планов реагирования на инциденты. Ниже приведены шаги этой структуры.
Действия по реагированию на инциденты NIST:
- Шаг №1: Подготовка
- Шаг №2: Обнаружение и анализ
- Шаг №3: Сдерживание, искоренение и восстановление
- Шаг №4: Действия после инцидента
Стоит отметить, что в шаге 3, где, по мнению NIST, сдерживание, искоренение и восстановление пересекаются, приводится информация о том, что вам не следует ждать, пока будут локализованы все угрозы, прежде чем начинать их искоренение.
Какой план реагирования лучше?
Некоторые спорят о том, какой план лучше, но на самом деле все зависит от предпочтений и ресурсов вашей организации. Важно, чтобы план содержал исчерпывающий контрольный список, которому ваша команда должна следовать, приступая к работе. В этой статье рассматриваются четыре шага NIST и раскрывается значение каждого из них для вашего плана реагирования на инциденты.
Шаг №1: Подготовка
Ни одна организация не может развернуть эффективное реагирование на инцидент в любой момент без подготовки. Должен быть план как для предотвращения событий, так и для реагирования на них.
Определите CSIRT (группу реагирования на инциденты компьютерной безопасности)
Чтобы действовать быстро и полно во время развития инцидента, каждый в CSIRT должен знать свои обязанности и решения, которые необходимо принимать.
CSIRT должен включать в себя различных представителей, в том числе технических экспертов, наделенных полномочиями принимать меры в поддержку бизнеса. В состав членов должны входить представители управленческих, технических, юридических и коммуникационных дисциплин, а также представители комитета безопасности. Все отделы, затронутые инцидентом, должны быть в курсе событий, и у каждого должна быть матрица решений, которая будет определять их действия во время и после инцидента.
В плане также должно быть указано, кто несет ответственность и кто имеет право принимать определенные важные решения. Это не те вещи, которые нужно выяснять, не говоря уже о том, чтобы спорить о них при инциденте.
Разработайте и обновите план
Убедитесь, что планы и другие подтверждающие документы существуют и периодически обновляются, чтобы оставаться актуальными. Весь соответствующий персонал должен иметь доступ к частям плана, относящимся к их обязанностям, и должен быть предупрежден, когда план будет пересмотрен. Должна быть обратная связь, которая включается после каждого значительного инцидента, чтобы постоянно улучшать план.
Приобретайте и поддерживайте надлежащую инфраструктуру и инструменты
Компании необходимо иметь возможности для обнаружения и расследования инцидентов, а также для сбора и сохранения доказательств. Чтобы определить, находится ли злоумышленник в вашей среде, очень важно, чтобы у вас была технология защиты конечных точек, которая обеспечивает полную видимость ваших конечных точек и собирает данные об инцидентах.
Без правильных инструментов и процессов, управляющих их использованием, вы не сможете исследовать, как злоумышленники получают доступ к вашей среде, как закрыть существующий доступ злоумышленника или как предотвратить доступ в будущем.
Всегда улучшайте навыки и поддерживайте обучение
Убедитесь, что команда реагирования на инциденты (IR) имеет соответствующие навыки и подготовку. Это включает периодическое выполнение плана IR. Это также включает в себя укомплектование группы по связям с инвесторами собственным персоналом, чтобы обеспечить свободное от работы время, необходимое для получения сертификатов и использования других образовательных возможностей.
Используйте современные возможности анализа угроз
Возможности анализа угроз помогают организации понять, на какие виды угроз она должна быть готова реагировать. Аналитика угроз должна легко интегрироваться в защиту конечных точек и использовать автоматизированное расследование инцидентов для ускорения реагирования на нарушения.
Автоматизация позволяет проводить более полный анализ угроз всего за несколько минут, а не часов, поэтому организация может опередить сложные постоянные угрозы (APT) с помощью более быстрых и надежных ответов.
Шаг №2: Обнаружение и анализ
Второй этап IR заключается в том, чтобы определить, произошел ли инцидент, его серьезность и тип. NIST выделяет пять шагов в рамках этой общей фазы:
Точные признаки инцидента (предвестники и индикаторы): Предвестники и индикаторы — это конкретные сигналы того, что инцидент либо вот-вот произойдет, либо уже произошел.
Проанализируйте обнаруженные признаки: после выявления группа IR должна определить, является ли предвестник или индикатор частью атаки или это ложное срабатывание.
Документирование инцидента: если сигнал окажется достоверным, группа IR должна начать документирование всех фактов, связанных с инцидентом, и продолжить регистрацию всех действий, предпринятых в ходе процесса.
Приоритизация инцидентов: NIST определяет этот шаг как наиболее важную точку принятия решения в процессе IR. Команда IR не может просто расставить приоритеты в отношении инцидентов в порядке очереди. Вместо этого они должны оценивать инциденты по влиянию, которое они окажут на бизнес-функциональность, конфиденциальность затронутой информации и возможность восстановления после инцидента.
Уведомление об инциденте: после того, как инцидент был проанализирован и ему присвоен приоритет, группа IR должна уведомить соответствующие отделы/лица. Подробный план IR должен включать конкретные требования к отчетности.
Шаг №3: Сдерживание, искоренение и восстановление
Цель этапа сдерживания — остановить последствия инцидента до того, как он сможет причинить дополнительный ущерб. Как только инцидент локализован, группа IR может потратить время, необходимое для разработки своих следующих шагов. Они должны включать принятие любых мер, необходимых для устранения основной причины инцидента и восстановления нормальной работы систем.
Разработайте стратегии сдерживания, искоренения и восстановления на основе таких критериев, как:
- критичность затронутых активов
- тип и тяжесть инцидента
- необходимость сохранения доказательств
- важность любых затронутых систем для критических бизнес-процессов
- ресурсы, необходимые для реализации стратегии
Все эти процессы должны быть задокументированы, а доказательства должны быть собраны. Для этого есть две причины: во-первых, чтобы извлечь уроки из атаки и повысить квалификацию службы безопасности, и во-вторых, чтобы подготовиться к возможным судебным разбирательствам.
Шаг №4: Действия после инцидента
Каждый инцидент должен быть возможностью учиться и совершенствоваться, но многие организации уделяют этому шагу слишком мало внимания. Противники постоянно развиваются, и командам IR необходимо идти в ногу с новейшими методами, тактикой и процедурами.
Совещание по извлечению уроков с участием всех соответствующих сторон должно быть обязательным после серьезного инцидента и желательным после менее серьезного инцидента с целью повышения безопасности в целом и обработки инцидентов в частности. В случае крупных атак при необходимости привлекайте людей из всей организации и приложите особые усилия, чтобы пригласить людей, чье сотрудничество будет необходимо во время будущих инцидентов.
Во время встречи проверьте:
- что случилось и когда
- насколько хорошо работала команда IR
- соблюдались ли документированные процедуры
- были ли эти процедуры адекватными
- какой информации не хватало, когда она была нужна
- какие действия замедлили выздоровление
- что можно сделать по другому
- что можно сделать, чтобы предотвратить будущие инциденты
- какие предвестники или индикаторы можно искать в будущем
Результаты этих встреч могут стать важным инструментом обучения для новых сотрудников. Их также можно использовать для обновления политик и процедур и создания инструкций, которые могут быть полезны во время будущих инцидентов.
Реагирование на инцидент командой Mainton
Объем индикаторов потенциальной компрометации (IOC) может быть чрезвычайно большим. Некоторые организации могут даже получать миллионы в день. Отделить сигнал атаки от ложных сообщений — сложная задача. Решения для обеспечения безопасности призваны облегчить жизнь вашей организации.
Команда компании Mainton использует подход, который сочетает в себе опыт реагирования на инциденты и исправления с передовыми технологиями для быстрого выявления злоумышленников и их изгнания из вашей среды. Компания Mainton сотрудничает с организациями, чтобы справиться с наиболее важными инцидентами кибербезопасности.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.