7 viziuni asupra planificării răspunsului la incidente cibernetice
May 26, 2020    
International, Announcement    
185

7 viziuni asupra planificării răspunsului la incidente cibernetice

Potrivit opiniei celor mai experimentați profesioniști în domeniul securitatii informationale, astăzi, multe organizații nu sunt pregătite pentru incidentele informatice.

Acest lucru se datorează faptului că companiile nu au încă nicio procedură documentată pentru localizarea, sortarea, escaladarea, atenuarea sau recuperarea unui incident.

Este obligatoriu să se ocupe de notificările privind încălcările și comunicările, dar nu toată lumea are un plan clar de răspuns. Prin urmare, atunci când vine vorba de hacking, companiile nu pot răspunde corect la eveniment.

Greșeli majore în procesul de pregatire a răspunsul la incidente de securitate

"Din păcate este aceeași poveste veche. Adesea, organizațiile nu sunt pregătite să răspundă - le lipsește o strategie de contenție și răspuns definite sau nu au planuri adecvate de escaladare." "Echipele noastre de răspuns la incident au văzut, de asemenea, o lipsă generală de înțelegere din partea clienților despre amenințările cu care se confruntă atunci când răspund la o încălcare. Mai mulți factori determină această lipsă generală de înțelegere:
  • Nici o strategie nu a fost aplicată la programul de răspuns la incidente, în schimb se bazează pe un set de instrumente activate cu setări implicite care creează un sentiment fals de securitate.
  • Lipsa de vizibilitate în traficul de rețea și în datele finale
  • Deprinderea excesivă a instrumentelor de alertă vechi pentru identificarea regulilor „critice” asociate acestor dispozitive de detectare
  • Transferul informațiilor de la diferite produse sau instrumente fără o înțelegere agreată a stării de securitate..'"


--Andrew Howard, CEO, Kudelski Security

Ce ar trebui să includă un plan de reacție cibernetică

"A solid plan should have three main elements:
  • Instruire. Este necesară instruirea și desfășurarea unui antrenament pentru a stabili un curs de acțiune. Nu uitați că un „ban” de antrenament merită un răspuns „in lei”
  • Răspuns, Izolare, domeniul de identificare, oprirea sângerării, conservarea dovezilor, efectuarea notificărilor necesare etc.
  • Recuperare - pentru a putea reveni la punctul de plecare cât mai repede posibil


"Prea multe planuri pe care le vedem au doar elementul de mijloc și, mai rău, se concentrează doar pe implicațiile și capacitățile interne. După toate probabilitățile, vor exista mai multe domenii în care chiar și cele mai mature și mai capabile organizații au nevoie de ajutor specializat." --Jon Murphy, Cybersecurity, Data Privacy, GRC Consulting Practice Lead, Alliant Cybersecurity

Cum să alegi durata unui plan de reacție la incidentele informatice?

"Planurile de răspuns la incidente pot varia foarte mult, în funcție de toate scenariile pe care documentul le poate solicita. Unele care se ocupă doar de un incident de încălcare a securității cibernetice poate să nu fie atât de îndelungate, dar cele care sunt destinate să abordeze mai multe scenarii - atac cibernetic, focar de virus sau malware, atac de ransomware etc. - pot fi destul de lungi și sunt de obicei fragmentate în diferitele scenarii. În cel mai rau caz, documentul poate avea si peste o 100 de pagini sau mai mult."

--Tom DeSot, executive vice president and CIO, Digital Defense

Cum vă asigurați că planul dvs. este confidențial?

"Unele planuri arată „grozav” pe hârtie, dar atunci când sunt puse în practică, creează multe probleme suplimentare de confidențialitate și securitate a datelor.. De exemplu, colectarea datelor, interviurile și stocarea datelor confidențiale ar trebui să fie tratate cu grijă și să nu încalce alte măsuri de securitate."

"Planul de răspuns trebuie să fie sigur, iar fluxul de lucru stabilit trebuie să fie suficient de prescriptiv pentru a evita perturbări suplimentare."

--Morey Haber, CTO and CISO, BeyondTrust

Care este cea mai bună metodă de testare a unui plan de reacție la incidentele cibernetice?

"„Nu faceți doar politici și proceduri pe hârtie, ci „treceți ”prin ele. Grupul tehnic și toți participanții intermediari ar trebui să participe la un fel de antrenament pentru a rezolva cel mai bine acțiunile și a se asigura că toată lumea își cunoaște rolul în procesul de răspuns.:

Exerciții de pregătire practică care permit organizațiilor să își testeze atât personalul, cât și tehnologia. În plus, pentru a fi la curent cu tendințele / contramăsurile, deoarece atacurile devin mai sofisticate. Replicând propria stivă de infrastructură / tehnologie și simulând atacuri adecvate, acest tip de instruire duce adesea la concluzii despre modul de ajustare a sistemelor și instrumentelor interne bazate pe capacitățile echipei și pe deficiențele infrastructurii..

Exercițiile de pe tablă permit organizațiilor să își exerseze comunicările interne, să evalueze deciziile care vor trebui luate, să decidă când să angajeze o echipă de răspuns extern sau oficiali de aplicare a legii (bazată pe respectarea legilor privind raportarea încălcărilor) și să anticipeze litigiile / dezvoltarea documentației sau standardelor relevante, raportare sau șabloane."
--Ken Jenkins, CTO of By Light Professional IT Services' Cyberspace Operations Vertical

De ce trebuie sa tinem minte la crearea unui plan de raspuns?

"Asigurați-vă că planul stabilește de fapt baza unui răspuns end-to-end. Ar trebui să acopere acțiunile care apar după detectare sau identificare. Și pe lângă asta, pentru a determina ce se va întâmpla după incident - pentru a începe procesul de auto-îmbunătățire"

--Andrew Bassi, Principal Forensic Consultant, Pen Test Partners

via bitdefender.ru