Mennyire jó az incidenskezelési tervünk?

Share this:

A kiberbiztonsági incidensekre történő reagáláskor sokminden rosszul sülhet el, éppen ezért kiemelt fontosságú, hogy legyen egy megfelelő cselekvési terv, a károk kezelése és enyhítése érdekében. Ahogy Tim Stiller is felvázolta webinárjában, az incidensek kezelése kihívásokat okozhat, de egy sikeres csapatnak 6 lépésre van szüksége a szervezéshez és összehangoláshoz.

Az elhárítási terv egyes elemei függenek a vállalattól és az incidenstől, de az incidensreagálásra szakosodott csoportnak képesnek kell lennie kifejleszteni a kellő gyakorlatot, hogy megbirkózzanak a fenyegetésekkel. Mérettől és terjedelemtől függetlenül, hatékonyan kell biztosítani, hogy az incidenskezelési idő a minimumra szorítkozzon és ösztönözni kell a proaktivitást.

A nyomozási fázis során a vállalatnak nincs ideje megtervezni a stratégiát – a csapatnak már tudnia kell, hogy ki vegyen részt benne, milyen lépéseket tegyen és milyen technológiákat használjon. Forgatókönyv vagy terv nélkül a válaszintézkedések rövidek és strukturálatlanok lesznek, illetve hiányozni fognak olyan adatok, amik segítenek felkészülni a következő támadásra.

 

Előkészítés

Az első lépés az előkészítés. Ez a fázis emberekről, folyamatokról, technológiákról szól – valamint annak ismeretéről, hogy mi van már a helyén, beleértve a külső és belső érdekeltek elérhetőségét.

Célszerű listát vezetni a felhasználókról, szoftverekről és folyamatokról a rendszeren, beleértve a következő területeket:

  • Végpontok: Ez tartalmazhat vírusírtókat vagy HIPS behatolásgátlót és egyéb szoftvermegoldásokat.
  • Hálózat: A hálózat előkészítése tartalmazza az e-mail védelmét és a hálózat határainak dokumentációját.
  • Logok: A naplómegőrzésen kívül naplófigyeléssel is foglalkozik ez a terület és arról, hogy hogyan lép kapcsolatba a figyelmeztető (pl SIEM) platformmal a vizsgálat érdekében.
  • Házirend: Tartalmazza az adatok összegyűjtését és megőrzését.

Az előkészítési fázis legfőbb lényege, hogy hogyan lehet megismerni képességeidet és az egyes összetevők értékét. Nem ez a folyamat legfőbb eleme, de rálátást ad arra, hogy milyen folyamatokat kell javítani a jövőben, ha azok nem működnek. Több adatot ad a hiányosságok és a gyenge pontok azonosításához.

Az incidenskezelő csapatnak gyakorlatot kell szereznie, hogy leszámoljanak a fenyegetésekkel, mérettől és kiterjedéstől függetlenül.

Ezen kívül feltétlenül meg kell határozni az üzleti szempontból kritikus adatvagyont, annak érdekében, hogy jobban megértsük a betörés lehetséges okait és hatását.

Legvégül ki kell alakítani a szervezethez illeszkedő keretet. Lényeges, hogy az incidensre válaszoló csapat ne ijedjen meg egy szituációtól, legyen az bármennyre is súlyos. Az incidensreagálási csoport nem képes megfelelően fellépni előre meghatározott tervek nélkül, melyek a vállalatra vannak szabva, biztosítva, hogy a problémamegoldó készség a lehető legjobb legyen.

Azonosítás

A következő lépés az azonosítás. Ha egy incidens bekövetkezett, mindent meg kell tudni róla, amit csak lehet, hogy megfelelő intézkedéseket tehessünk. Az első és legfontosabb, hogy az incidensreagálási tervnek tisztán meg kell tudni különböztetnie a biztonsági eseményt és a biztonsági incidenst. Ez segíteni fog a vezetésnek abban, hogy jól járjon el. (például egy munkaidőn túl történő kibertámadás esetén) Megérteni az incidenst és fontosságát – a fertőzött gépek száma és fertőzött rendszer kiléte kulcsfontosságú információ lesz a vezetőség számára.

Biztonsági esemény: Megfigyelhető eset a hálózatban vagy a rendszerben. Például a felhasználó egy fájlkiszolgálóhoz csatlakozik és megoszt vagy kap spam e-maileket. Eseményből lehet incidens, de nem minden esetben következik ez be.

Biztonsági incidens: Számítógépes biztonsági házirendek megszegése, vagy szabványos biztonsági gyakorlatok megsértése. Minden esetben azonnali beavatkozást igényel. Például DoS támadás, rosszindulatú kód futtatása, emberi hibák, fizikai házirendek megsértése.

Könnyebb folyamatazonosítás érdekében meg kell próbálni megválaszolni a következő kérdéseket:

  • Mekkora az incidens kiterjedése?
  • Hogyan fedeztük fel?
  • Milyen hálózati szegmensekre terjed ki?
  • Hatással van az éles (produkciós) rendszerekre?
  • Miért történhetett meg?

Elszigetelés

A következő lépés az elszigetelés, amit a támadás mértéke alapján kell meghatározni. Ebben a szakaszban a legfontosabb a folyamat terjedésének megállítása, biztosítva, hogy ne okozzon kárt más üzemi területeken. Az elszigetelő folyamat egy rövid távú megoldás.

Rövid időszak: Az elsődleges cél a támadás kiterjedésének korlátozása és a károk csökkentése. Végpont szempontból elszigetelést jelent. Hálózati szempontból néhány lépést meg lehet tenni a domének és IP címek blokkolásával.

Felszámolás

Most áttérünk a közép és hosszú távú megoldásokra. A cél ebben a fázisban eltávolítani az esemény felfedezett maradványait. Ennek velejárója a veszélyes kód eltávolítása, illetve felelőtlen munkavállaló oktatása/szankcionálása. Ezzel összefüggésben teljes körű nyomozást kell végezni az egész folyamat naplóbejegyzéseiről.

Hosszú távú tervek: A hosszú távú megoldások tartalmazzák a fióktörlést, malware törlést, nem használt szolgáltatások letiltását, rendszer frissítését, valamint visszaállítani a rendszert a működő állapotra.

Visszaállítás

A helyreállítási folyamat nem csak a rendszer helyreállításáról és a hálózatra való visszacsatolásáról szól, hanem arról is, hogy javítani kell a sebezhetőségeket. Ezen a ponton biztosítani kell az összes vállalati biztonsági előírás és kiberbiztonsági framework betartását. A stratégia helyes megvalósításának az eredménye, hogy a fenyegetést nagy valószínűséggel sikerült teljesen felszámolni és nem maradt a hálózatban.

A visszaállítófolyamat tartalmazhatja:

  • A támadás bizonyítékainak összegyűjtése.
  • Letiltott IP címek megvizsgálása, hogy megbizonyosodjunk a tiltások helyes működéséről.
  • Víruskeresők adatbázisainak frissítése, automata frissítés bekapcsolása.

Gyakorlás

A cél a szervezet incidensreagálási tervének folyamatos frissentartása. A legfontosabb elem megérteni a sebezhetőségeket, tendenciákat és rangsorolni a rövid/hosszú távú terveket. Az incidenskezelő csapat gyakran kihagyja ezeket a lépéseket, mondván, hogy megoldották enélkül is, de erre a hibára csak akkor jönnek rá amikor a következő támadás során ugyanazokat a hibákat követik el.

A támadás utáni fázisban elég adatnak kell lennie ahhoz, hogy eldönthesd, szükségesek-e a következők:

  • Eszközök optimalizálása, beleértve az automatizálást.
  • Átláthatóság növelése.
  • Automatizálással optimalizálható feladatok azonosítása.
  • Fenyegetési hírszerzés használata.
  • Sérült vagy elavult folyamatok helyreállítása, vagy leállítása.

Hogy néz ki a forgatókönyv?

Ideális esetben a tervnek 5-10 forgatókönyvet kell tartalmaznia, amit az incidenskezelő csapat használni tud. Általában az ilyen terv tartalmaz forgatókönyvet adathalászatra, malware fertőzésre, jogkör szerzésre, gépek közötti lépegetésre és adatlopásra.

Terv készítésekor meg kell határozni a csapat szerepét, kötelezettségeit, feltérképezve az esetleges válasz életciklusát. Minden csapattagnak tisztában kell lennie azzal, hogy mit kell tennie a vizsgálat minden egyes szakaszában.

Az incidenskezelési tervnek 5-10 forgatókönyvet kell tartalmaznia, ami kihat a szervezetre.

A kivizsgálás során fontos, hogy a csapataid tudják hogyan kell állapotjelentést és eseményfrissítést készíteni – biztosítva, hogy az ügyfelekhez csak a fontos információ jusson el és ne ugyanaz a többoldalas jelentés legyen ismételgetve. Ugyanez a helyzet akkor is, ha a szervezet egészét érinti a probléma. Kérdezd meg magadtól, hogy a csapatod hasznos tagja-e a láncnak. Végezetül a harmadik fél bevonását kell jól meghatározni. A kulcs itt a képességek jó feltérképezése.

A le nem tesztelt terv nem jó terv.

Az életszerű szimuláció és megfigyelése fontos a hiányosságok feltárásának érdekében. Ez jó módszer, hogy kiderítsük a terv funkcionálisan működik-e? Ez az egyetlen módja felkészíteni a csapatot egy valós kibertámadásra. A tesztbe beépíthetünk hamis riasztásokat, mert előfordulhat olyan eset, hogy a csapat számára nem teljesen világosak a „játékszabályok”. A teszt gyakori ismétlése szükséges a terv és a csapat naprakészen tartásához, a szervezet így szerez megfelelő tapasztalatot.

Tesztelési módszerek

Megbeszélés – Egyeztetés a különböző érintett csapatokkal.

Tabletop – Ez magába foglalja a példákkal és trendekkel kapcsolatos részletes instrukciókat az érdekeltek részére, gyors biztonsági eligazítás keretein belül.

Élethű szimuláció – Az egyetlen módja, hogy nyomás alatt teszteljük a tervet. Biztonsági eszközökre összpontosít. A teszt megfigyelése biztosíja a terv funkcionális működését és azt, hogy minden csapat egyformán értelmezze instrukcióit.

 

Forrás: https://www.cshub.com/security-strategy/articles/how-strong-is-your-incident-response-plan?fbclid=IwAR0NvpWLYDJtUPN6iDcqjUvSehpGt1u2mLBqzWZmsgfrLImt_VlGelh7pZE

Other Posts