Первое правило защиты от DDoS-атак (или любой другой) — быть готовым к DDoS-атаке. Второй правило защиты — составить план своей инфраструктуры и первичных действий при киберинцидентах.
Методы у взломщиков все изощреннее, а многие компании по-прежнему полагаются на случай, верят, что именно их пронесет - и никакой план реагирования им не нужен.
Кстати, предприниматели! Давайте проверим. Напишите в комментариях, есть ли в вашей компании такой план? Как часто вы его обновляете?
План реагирования позволяет подготовить сотрудников к киберинцидентам, сохранить репутацию, деньги и нервы - с его помощью вы сможете быстро пресечь атаку на ИТ-системы и минимизировать ущерб.
Как составить план реагирования на кибератаки?
По общей структуре он должен представлять понятную схему действий и пошагавшую инструкцию — а в разработке должны участвовать все специалисты, которых может коснуться кибератака и кто будет ее устранять.
Шаг 1. Подготовка
Для начала нужно определить команду реагирования и роли каждого сотрудника, чтобы не было хаоса в критической ситуации. Описать план действий и коммуникации.
Команда должна знать, на что реагировать, и в каких ситуациях подключаться. Поэтому необходимы стандарты безопасности, которые помогут определить киберинцидент.
Каждую атаку нужно задокументировать, чтобы потом проанализировать возникшие сложности: кто отреагировал? что пострадало? где произошел инцидент? какие были приняты действия и почему? как они помогли?
Обязательно проведите обучение всех сотрудников и проверьте все доступы.
Шаг 2. Обнаружение
Как только замечена подозрительную активность, нужно предупредить всю команду реагирования и тщательно следить за состоянием системы. Важно!Угрозы должны замечать не только команда, но и любой сотрудник компании (поэтому обучаться должны все).
Проследите, начала ли команда записывать свои действия в журнале инцидентов.
Шаг 3. Сдерживание
На этом этапе важно предотвратить дальнейшее распространение атаки, действовать быстро и четко. Например, отключить устройства от сети, изолировать их, отключить маршрутизатор.
Вы обязательно должны регулярно делать резервные копии данных, чтобы в подобных ситуациях была возможность восстановить исходное состояние ИТ-инфраструктуры.
Шаг 4. Устранение
Приступите к восстановлению работоспособности бизнеса — перенаправьте сетевой трафик, чтобы очистить системы, просканируйте заражение, устраните уязвимости.
Шаг 5. Восстановление
Здесь как раз приходят на помощь резервные копии. Естественно, нужно использовать те, в которых нет уяизвимостей.
Зафиксируйте в журнале всю последовательность действий, чтобы можно было провести работу над ошибками, а после инцидента провести обсуждение и проанализировать, что можно улучшить в отработке.
Чек-лист: что должно быть в плане реагирования
- В чем риски для вашей компании?
- Какие уязвимые места есть в инфраструктуре? Как их стоит распределить по приоритетам?
- Кто состоит в команде реагирования и какие функции выполняет каждый?
- Что считается инцидентом исходя из последних тенденций?
- Какие ресурсы есть у вашей компании? Какие стратегии стоит использовать во время нарушения безопасности?
- Какая последовательность действий и кто ответственный на каждом этапе?
- Как связаться с командой реагирования? (айтишники, специалисты ИБ, страховые компании, юристы и так далее)
- Что можно писать в публичных заявлениях?
- Где будет вестись журнал инцидентов? Там должны быть прописаны место, время, характер атаки, детали.
- Сколько будет стратегий реагирования? Как они будут проходить?
Советуем завести шаблоны и чек-листы для всех сотрудников, чтобы каждый знал, что делать в критической ситуации.
Конечно, в одиночку предпринимателям не стоит этим заниматься. На то и нужен хороший айтишник, который поможет провести все этапы подготовки плана и провести обучение сотрудникам.
Будьте осторожны!
Команда Перезагрузки.