По мнению большинства опытных специалистов по безопасности, слишком много организаций на сегодняшний день не готовы к кибер-инцидентам.
Это связано с тем, что в компаниях по-прежнему отсутствуют какие-либо документированные процедуры для локализации, сортировки, эскалации, смягчения или восстановления после инцидента.
Крайне важно обрабатывать уведомления о нарушениях и коммуникации, но не у всех есть четкий план реагирования. Поэтому, когда дело доходит взлома, компании не могут должным образом ответить на событие.
Главные ошибки при реагировании на инциденты безопасности
Отсутствие стратегии реагирования является ошибкой номер один. Вторая проблема заключается в неспособности проверить план после его составления.
Чтобы помочь организациям лучше понять проблемы в реагировании на инциденты и управлении SOC, Bitdefender обратился к экспертам по кибербезопасности.
Мы узнали, почему отсутствие планирования вредит реагированию на инциденты. И расспросили экспертов о советах, как лучше всего выстроить ключевой документ для служб безопасности.
Какие могут быть ошибки при составлении плана реагирования на кибер-инциденты?
На этот вопрос ответил Андрей Говард, генеральный директор, Kudelski Security:
«К сожалению, организации часто не готовы признать, что у них нет определенной стратегии сдерживания и реагирования. Или у них нет соответствующих планов эскалации.
Наши группы реагирования на инциденты также видели общее непонимание (со стороны клиентов) угроз, с которыми они сталкиваются при реагировании на нарушение. Вот ряд ошибок в таких компаниях:
· Вместо четкой стратегии реагирования на инциденты в компании используется набор инструментов с настройками “по умолчанию”, которые создают ложное чувство безопасности.
· Отсутствует видимость сетевого трафика и данных конечных точек.
· Чрезмерная зависимость от устаревших инструментов оповещения для определения “критических” правил, связанных с этими устройствами обнаружения.
· Передача информации из разных продуктов или инструментов без согласованного представления о состоянии безопасности.
Что должен включать план реагирования на кибер-угрозы?
С этим вопросом Bitdefender обратился к Джону Мерфи – руководителю GRC Consulting, Alliant Cybersecurity, специалисту по безопасности и конфиденциальности данных:
«Хороший план должен иметь три основных элемента:
1. Подготовка. Необходимо обучить и провести тренировку для установления порядка действий. Помните, что “копейка” подготовки стоит “рубля” отклика.
2. Реагирование, изоляция, идентификация области, прекращение работы, сохранение доказательств, создание необходимых уведомлений и т. д.
3. Восстановление – чтобы можно было вернуться к исходной точке максимально быстро.
Слишком много планов концентрируются только на внутренних последствиях и возможностях. Даже самые зрелые и “опытные” организации нуждаются во внешней специализированной помощи».
Как выбрать длину плана реагирования на кибер-инциденты?
Ответил Том ДеСот, исполнительный вице-президент и ИТ-директор, Digital Defense:
«Планы реагирования на инциденты могут сильно различаться по длине в зависимости от всех различных сценариев, к которым может быть обращен документ. Некоторые из них, связанные с инцидентом, могут быть не такими длинными.
Но те, которые предназначены для устранения несколько сценариев – кибератаки, вируса или вредоносного ПО, атаки вымогателей и т. д. – могут быть довольно продолжительными и обычно разбиты на сегменты, относящиеся к каждому из различных сценариев. В последнем случае документ вполне может содержать 100 страниц или быть больше в длину».
Как убедиться, что план соответствует конфиденциальности?
На этот вопрос ответил Мори Хабер, технический директор и CISO, BeyondTrust:
«Некоторые планы выглядят “великолепно” на бумаге, но при их практическом осуществлении создают множество дополнительных проблем конфиденциальности и безопасности данных.
Например, к сбору данных, собеседованиям и хранению конфиденциальных данных следует относиться с осторожностью и не нарушать другие меры безопасности.
План реагирования должен быть безопасным, а установленный рабочий процесс – достаточно предписывающим, чтобы избежать дополнительных нарушений».
Как лучше тестировать план реагирования на кибер-инциденты?
Тут мы обратились к техническому директору By Light Light IT Services, Кену Дженкинс:
«Не просто делайте политику и процедуры на бумаге, а “проходите” ее.
Техническая группа и все промежуточные участники должны участвовать в своеобразных тренировках, чтобы наилучшим образом отработать действия и убедиться, что все знают свою роль в процессе реагирования.
Чтобы ваши специалисты смогли своевременно принять обоснованные решения, используйте:
· Практические учебные упражнения, которые позволяют организациям тестировать как свой персонал, так и свои технологии. И вдобавок оставаться в курсе тенденций / методов противодействия по мере того, как атаки становятся все более изощренными. Путем тиражирования их собственного стека инфраструктуры / технологий и моделирования соответствующих атак, этот тип обучения часто приводит к выводам о том, как настроить внутренние системы и инструменты на основе способностей команды и слабых сторон инфраструктуры.
· Настольные упражнения позволяют организациям практиковать свои внутренние коммуникации, оценивать решения, которые необходимо будет принять, решать, когда необходимо привлекать стороннюю команду реагирования или сотрудников правоохранительных органов (на основе соблюдения законов об уведомлении о нарушениях), и предвидеть судебные разбирательства / разработка соответствующей документации или стандартов отчетности или шаблонов».
О чем стоит помнить при создании плана реагирования?
Кертис Фехнер, технический директор и специалист по управлению угрозами Optiv, дал следующие советы:
«Убедитесь, что план фактически устанавливает основу для сквозного реагирования. Он должен охватывать действия, которые происходят после обнаружения или идентификации. И к тому же определять, что произойдет после инцидента – чтобы запустить процесс самосовершенствования.
Планы реагирования на кибер-инциденты предназначены для сбора деталей, политик и стандартов высокого уровня. Важно, чтобы в таком плане были прописаны критерии для вызова плана, предупреждения или события, где задействована команда реагирования. И желательно расставить приоритеты на основе какой-либо оценки риска».
