Ar jūsų įmonė pasiruošusi reaguoti į saugumo pažeidimą ar kibernetinę ataką? Kibernetinio saugumo ekspertų teigimu, reikia mąstyti, „kada“, o ne „ar“ jūsų Organizacija patirs rimtą kibernetinio saugumo incidentą. Tai taikoma tiek didelėms įmonėms, tiek mažoms ir vidutinėms įmonėms (MVĮ).
Turinys:
Kiekvienai organizacijai, nepriklausomai nuo jos dydžio, labai svarbu turėti parengtą atsako į incidentus planą, kuris būtų vykdomas iš karto po saugumo incidento. Atsako į incidentus planą reikia parengti nedelsiant. Šiandien išsamiau apžvelgsime, ką reikia žinoti, norint parengti gerą kibernetinio saugumo atsako į incidentus planą.
Kas yra atsakas į incidentus?
Atsakas į incidentus – tai struktūrizuota sistema, skirta su saugumu susijusių incidentų, pvz., duomenų apsaugos pažeidimų ar kenkėjiškos programinės įrangos atakų, padariniams valdyti. Užuot puolus į paniką, reikia imtis veiksmingo atsako į incidentus, kurio pagrindą sudaro iš anksto parengtas atsako į incidentus planas, skirtas padėti patirti kuo mažesnę žalą ir atkūrimo išlaidas. Dauguma organizacijų taiko atsako į incidentus raidos ciklo metodą, skirtą pereiti nuo reaktyvios prie aktyvios gynybos. Šį procesą paprastai valdo atsako į incidentus grupė arba specializuota kompiuterinių incidentų tyrimo grupė (CERT).
Šis raidos ciklas prasideda nuo pasirengimo ir grėsmių aptikimo priemonių nustatymo, paskui vyksta potencialių grėsmių aptikimas ir analizė. Nustačius pavojų, dėmesys sutelkiamas į jo plitimo užkardymą bei panaikinimą ir įprasto sistemų veikimo atkūrimą, siekiant neutralizuoti incidentą ir atkurti paslaugų teikimą. Paskutinis etapas – tai veikla po incidento, kai grupė įvertina įvykį, kad galėtų patobulinti būsimas saugumo priemones. Vadovaudamasi šia sistema, jūsų grupė gali laiku užkirsti kelią kibernetiniams pavojams ir užtikrinti, kad įmonė išliktų atspari.
Didėjanti kibernetinio saugumo incidentų banga: pasaulinė problema
2020 m. ir 2021 m. pateikė nemažai iššūkių. Pasaulinė COVID-19 pandemija privertė įvairaus dydžio organizacijas kurti nuotolinio darbo jėgą ir pereiti prie debesijos platformų. Deja, tokie pokyčiai sutapo su dideliu kibernetinio saugumo incidentų augimu, įskaitant 600 proc. išaugusį bendrą kibernetinių nusikaltėlių aktyvumą.
Kibernetinio saugumo incidentų, ypač išpirkos reikalaujančios programinės įrangos atakų, skaičius 2021 m. išaugo 151 proc. Apskaičiuota, kad šiandien kas 11 sekundžių nauja organizacija tampa išpirkos reikalaujančios programinės įrangos atakos auka.
Tačiau tai dar toli gražu ne viskas. „CPO Magazine“ praneša, kad buvo pažeista beveik pusė milijono „Zoom“ paskyrų, o su šiomis paskyromis susiję duomenys buvo parduoti tamsiajame internete. Be to, vien 2020 m. sausio–vasario mėn. fišingo atakų skaičius išaugo 510 proc. „Cybercrime Magazine“ pažymi, kad 2021 m. pasaulinė kibernetinių nusikaltimų žala siekia 16,4 mlrd. dolerių per dieną, 684,9 mln. dolerių per valandą, 11 mln. dolerių per minutę ir 190 000 dolerių per sekundę.
Atėjo sudėtingi laikai verslui, tačiau pelningi kibernetiniams sukčiams. Šiuolaikinėms įmonėms labai svarbu pasirengti tinkamai reaguoti į kibernetinius nusikaltimus. Nacionalinio kibernetinio saugumo aljanso duomenimis, 60 proc. mažų ir vidutinių įmonių, patyrusių rimtą kibernetinio saugumo incidentą, per šešis mėnesius nutraukia veiklą.
Kas yra atsako į incidentą planas ir kam jis reikalingas?
Atsako į incidentą planas – tai instrukcijų ir gairių rinkinys, skirtas padėti organizacijoms pasirengti kibernetinio saugumo incidentui, jį aptikti, į jį reaguoti ir atsitiesti po jo. Dauguma planų sudaromi spręsti tokias problemas kaip kenkėjiškos programinės įrangos atakos arba bendri saugumo ir duomenų apsaugos pažeidimai. Paprastai tokie planai yra orientuoti į technologijas ir juose pateikiamas atsako į incidentus procesas – tam tikra veiksmų eiga įmonei patyrus kibernetinio saugumo incidentą. Taip pat svarbu pažymėti, kad atsako į incidentus planuose dėmesys turėtų būti skiriamas ne tik IT skyriui, bet ir kitoms komandoms. Geras planas apima finansų, klientų aptarnavimo, ryšių su visuomene, žmogiškųjų išteklių, teisės ir kitas sritis.
Rengdami atsako į kibernetinio saugumo incidentą planą, pasirūpinkite, kad jis būtų kuo konkretesnis. Jis turėtų būti pritaikytas specialiai jūsų organizacijai ir jame turėtų būti aiškiai nurodyta, kas, ką ir kada turėtų daryti, jei įmonė patirtų kibernetinę ataką. Žinoma, kad atsako į incidentą procesas būtų sėkmingas ir atitiktų jūsų įmonės poreikius, reikia įvertinti daugybę aplinkybių. Kai kurios įmonės nežino, nuo ko pradėti, jau nekalbant apie tai, kam teikti pirmenybę. Norint atkreipti dėmesį į šią opią problemą, pateikiame keletą svarbiausių dalykų, į kuriuos reikėtų atsižvelgti rengiant kibernetinio saugumo atsako planą.
Atsako į incidentus metodika
Sprendžiant kibernetinio saugumo incidentus organizacijoms gali būti naudingi struktūriniai metodai, kuriuos siūlo NIST ir SANS.
NIST keturių etapų procesas apima toliau pateiktus nuoseklius veiksmus.
Pasiruošimas: kibernetinio saugumo rizikos valdymo pagrindų kūrimas.
Aptikimas ir analizė: incidento specifikos nustatymas ir įvertinimas.
Sulaikymas, naikinimas ir atkūrimas: incidentų šalinimas ir neutralizavimas, po to – sistemos atkūrimas.
Veikla po incidento: incidento analizė saugumui sustiprinti.
Ši sisteminė strategija pabrėžia nuolatinio tobulinimo ciklą, užtikrinantį plačią atsako į incidentus operacijų aprėptį. NIST keturių etapų procese nuosekliai išdėstoma, kaip suburti komandą, apibrėžti vaidmenis, nustatyti komunikacijos protokolus. Šios gairės yra universalios ir lengvai pritaikomos įvairioms pramonės šakoms.
Kita vertus, SANS pristato šešių etapų procesą, kuriame daugiausia dėmesio skiriama:
Pasiruošimas: komandos parengimas veiksmingai reaguoti į saugumo incidentus.
Identifikavimui: galimų saugumo incidentų aptikimas.
Sulaikymas: plitimo ar eskalavimo ribojimas.
Naikinimas: grėsmių pašalinimas.
Atkūrimas: sistemos funkcionalumo atkūrimas ir patvirtinimas.
Išmoktos pamokos: įžvalgos būsimiems atsakams sustiprinti.
SANS šešių etapų proceso sistemoje labiau gilinamasi į techninius incidentų valdymo aspektus, skatinant praktinį požiūrį į kibernetinio saugumo įvykių valdymą. SANS pasitelkia bendruomenės patirtį ir siūlo dinamišką požiūrį į incidentų suvaldymą. Numatomi efektyvūs veiksmai ir išsamios procedūros, kurios gali padėti organizacijoms tinkamai pasiruošti atsakui.
Suburkite vidinę atsako į incidentus grupę
Apsvarstykite galimybę suburti vidinę komandą, kuri būtų atsakinga už atsako į kibernetinio saugumo incidentus plano parengimą ir jo vykdymą kritiniu atveju. Grupės dydis priklauso nuo įmonės išteklių, tačiau ją turėtų sudaryti IT ir kibernetinio saugumo specialistai, žmogiškųjų išteklių specialistas, komunikacijos skyriaus vadovai ir teisės specialistas. Jei jūsų organizacijoje įvyktų saugumo incidentas, vidinė komanda gali būti labai naudinga, nes joje dirbantys žmonės būtų gerai susipažinę su tuo, kaip turėtų būti vykdomas atsako į incidentą planas.
Incidentų diferencijavimas
Ne visi saugumo incidentai yra vienodi. Todėl, kurdami atsako planą, apsvarstykite galimybę nustatyti skirtingų tipų procedūras skirtingiems incidentams. Labai svarbu įvertinti, kokie saugumo incidentai jūsų įmonėje būtų laikomi nedideliais ir dideliais. Dėl kai kurių pažeidimų gali tekti imtis rimtų atsakomųjų veiksmų, o su kitais galima susidoroti naudojant mažiau išteklių. Be to, atsižvelgiant į pažeidimo svarbą, į atsako į incidentus grupę gali reikėti įtraukti įvairių darbuotojų. Incidentų diferencijavimas yra labai svarbus mažesnėms įmonėms dėl ribotų išteklių.
Sukurkite veiksmų eigos kontrolinį sąrašą
Gerai parengtame atsako į kibernetinio saugumo incidentus plane turi būti pateiktas prioritetinių veiksmų, kurie turėtų būti atliekami iš karto po to, kai įmonė sužino apie galimą incidentą, kontrolinis sąrašas. Juk tai ir yra plano esmė. Nors kiekvienos organizacijos kontroliniai sąrašai skirsis priklausomai nuo jos dydžio, veiklos tipo ir kitų veiksnių, pateikiame keletą veiksmų, kurie turėtų būti įtraukti į bet kurį kontrolinį sąrašą:
Įrašykite pažeidimo nustatymo datą ir laiką.
Apibrėžkite saugumo incidento tipą.
Išjunkite galimai pažeistas sistemas, kad išvengtumėte tolesnės neleistinos veiklos.
Apklauskite asmenis, turinčius svarbių žinių apie galimą pažeidimą.
Padarykite pažeistų sistemų kopiją, kad jas būtų galima sutvarkyti nepakenkiant tyrimo procesui.
Komunikuokite viduje.
Parenkite viešąjį pranešimą visuomenei.
Reguliariai peržiūrėkite ir keiskite atsako į incidentus planą
Atsako į kibernetinio saugumo incidentus planas turi būti reguliariai peržiūrimas ir keičiamas atsižvelgiant į didėjančius ar mažėjančius įmonės išteklius ir kibernetinio saugumo tendencijas. Tai reikėtų daryti bent kartą per metus ar net dažniau. Atsaką į incidentus kibernetinio saugumo srityje dažnai reikia optimizuoti pagal organizacinius pokyčius, susijusius su personalu, IT infrastruktūra ir pan.
Įmonių kibernetinis saugumas gali būti itin sudėtingas. Tai susiję su žmogiškuoju faktoriumi ir daugybe kintamųjų. Net ir verslo pasaulio gigantai susiduria su sunkumais dėl griežtėjančių kibernetinio saugumo reikalavimų. O iš tiesų netgi toks sudėtingas dalykas kaip įmonės saugumas prasideda nuo smulkmenų, pavyzdžiui, geros slaptažodžių higienos ar gebėjimo atpažinti apgaulingą el. laišką.
Atsako į incidentus technologijų paketas apima: SIEM, SOAR ir EDR
Atsako į incidentus planas yra veiksmingas tik tiek, kiek veiksmingos jam įgyvendinti skirtos priemonės, nes šios technologijos užtikrina matomumą ir spartą, reikalingą saugumo incidentams tiksliai valdyti. Siekdama susidoroti su šiuolaikiniais kibernetiniais pavojais, atsako į incidentus grupė paprastai naudojasi specializuotu technologijų rinkiniu, kurio pagrindas yra SIEM platforma, veikianti kaip centrinė žurnalų valdymo ir įvykių analizės platforma visoje IT infrastruktūroje.
Tai reiškia, kad SIEM platforma atlieka intensyvų darbą: realiuoju laiku nuskaito bei analizuoja įvykių duomenis iš debesijos, tinklų ir aparatinės įrangos. Susiedama sudėtingus duomenų modelius ir integruodama juos su trečiųjų šalių grėsmių žvalgybos duomenimis, platforma nustato grėsmes, kurios kitaip galėtų likti nepastebėtos. Toks proceso automatizavimas padeda žymiai sumažinti laiką, kurį jūsų grupė sugaištų analizei atlikti rankiniu būdu, pagerina grėsmių aptikimo spartą ir supaprastina atitikties valdymą tokiose sistemose kaip BDAR ar SOC 2, nes ataskaitos rengiamos bei teikiamos automatiškai.
SIEM atlieka aukšto lygio bendrą apžvalgą, o EDR ir XDR priemonės orientuotos į galutinius įrenginius. Šios sistemos stebi asmeninius nešiojamuosius kompiuterius, mobiliuosius įrenginius ir serverius taip siekiant nustatyti, ar nėra įtartino elgesio arba neleistinų pakeitimų. Kadangi daugelis saugumo incidentų prasideda galutiniame įrenginyje, EDR yra labai svarbi priemonė ankstyvam grėsmių nustatymui, nes tai suteikia galimybę kompiuterinių incidentų reagavimo grupei (CERT) izoliuoti kenkėjišką programinę įrangą, kol ji dar nepasklido visoje Organizacijoje.
Galiausiai SOAR platforma atlieka operatyvines užduotis, būtinas veiksmingam atsakui į incidentus užtikrinti. Ji sujungia įvairias saugumo priemones į automatizuotus darbo procesus ir atlieka pasikartojančias užduotis, pvz., blokuoja kenkėjiškus IP adresus arba atšaukia prieigą. Integravus šias technologijas, jūsų grupė gali per kelias sekundes reaguoti į saugumo pažeidimą: užuot vedus duomenis rankiniu būdu, pagrindinį dėmesį galima sutelkti į strateginį pavojaus mažinimą.
DI vaidmuo valdant šiuolaikinius incidentus
Siekdamos susitvarkyti su milžinišku duomenų kiekiu šiuolaikinėse aplinkose, dauguma saugumo grupių į savo darbo procesus įtraukia dirbtinį intelektą. Nors DI nepakeičia atsako į incidentus grupės, jis padidina jos gebėjimą valdyti saugumo incidentus, nes susidoroja su užduotimis, kurioms atlikti būtina didelė sparta arba kurios yra pernelyg pasikartojančios, kad jas būtų galima atlikti rankiniu būdu.
DI pagrindu veikiančios platformos puikiai tinka norint greitai rūšiuoti duomenis ir mažinti triukšmą. Vienu metu analizuodamos tūkstančius perspėjimo signalų, šios sistemos gali atskirti nepavojingus konfigūracijos pakeitimus nuo tikrų grėsmių. Šis filtravimo procesas suteikia galimybę kompiuterinių incidentų tyrimo grupei (CERT) susitelkti į prioritetinius pavojus, užuot pasimetus klaidingai teigiamų rezultatų jūroje, o tai mažina žmonių perdegimo riziką.
Per tyrimo etapą DI padeda atkurti chronologinę įvykių seką. Jis gali akimirksniu susieti duomenis iš skirtingų šaltinių ir tiksliai parodyti, kaip grėsmė pateko į tinklą ir kurie ištekliai buvo paveikti. Šis DI pagrindu atliekamas tyrimas suteikia aiškumo, kurio reikia veiksmingam reagavimui į incidentus, nes nereikia spėlioti bandant suprasti saugumo pažeidimo mastą.
Siekiant nedelsiant užkardyti pavojaus plitimą, autonominio taisymo funkcija suteikia galimybę sistemai per kelias milisekundes atlikti iš anksto patvirtintus veiksmus. Jei reikia izoliuoti užkrėstą nešiojamąjį kompiuterį ar atšaukti prieigą prie įtartinos paskyros, DI gali užkardyti grėsmę dar jai neišplitus. Nuolat tobulinant, šios sistemos ilgainiui pritaikomos apsaugoti įrangą nuo naujų atakų modelių, su kuriais susiduria. Taip užtikrinama, kad jūsų atsako į incidentus planas būtų parengtas iškart susidoroti su naujais kibernetiniais pavojais.
Kaip „NordPass“ gali padėti apsaugoti jūsų verslą?
„NordPass“ puikiai supranta iššūkius, susijusius su jūsų įmonės duomenų apsauga. Mūsų „NordPass Enterprise“ planas skirtas padėti didelėms organizacijoms optimizuoti skaitmeninės prieigos valdymą ir bendrą saugumo būklę. Integravę „NordPass“ į savo įmonę, įgyjate saugaus slaptažodžių valdymo įrankį ir partnerį, skatinantį darbuotojus laikytis tinkamos kibernetinio saugumo praktikos.
„NordPass Enterprise“ siūlo daugybę pažangių ir patogių saugumo funkcijų, kad įmonės galėtų užtikrinti saugumą be didelio vargo. Naudodamos bendrųjų aplankų ir grupių funkcijas, organizacijos gali įdiegti prieigos kontrolę, suderintą su savo vidaus struktūromis ir politika.
Be to, „NordPass“ suteikia puikią galimybę palengvinti darbinę kasdienybę ir sutaupyti laiko, kuris sugaištamas, pavyzdžiui, rankiniu būdu įvedant prisijungimo duomenis. Visa tai įmanoma dėl automatinio užpildymo funkcijos, kuri sukurta taip, kad vos keliais mygtuko spustelėjimais padėtų užpildyti internetines formas. Toks efektyvumas leidžia jūsų komandai susitelkti ties pagrindinėmis užduotimis, o tai labai svarbu įmonėms, norinčioms pagreitinti procesus.