Hvad er en hændelsesplan?

Selv de mest sikrede sikkerhedssystemer er ikke fritaget for cyberangreb, endsige dem, der ikke er sikret. Cyberangreb vil altid forsøge at bryde ind i dit netværk, og det er dit ansvar at stoppe dem.

I lyset af en sådan trussel tæller hvert sekund. Enhver forsinkelse kan afsløre dine følsomme data, og det kan være enormt skadeligt. Dit svar på en sikkerhedshændelse gør forskellen. En Incident Response (IR) -plan giver dig mulighed for hurtigt at skubbe tilbage mod ubudne gæster.

Hvad er en hændelsesplan?

En hændelsesresponsplan er en taktisk tilgang til håndtering af en sikkerhedshændelse. Den består af procedurer og politikker ved forberedelse, evaluering, indeslutning og genopretning fra en sikkerhedshændelse.

Den nedetid, din organisation lider på grund af en sikkerhedshændelse, kan blive ved med at afhænge af hændelsens indvirkning. En hændelsesreaktionsplan sikrer, at din organisation hopper tilbage på benene hurtigst muligt.

Udover at gendanne dit netværk tilbage til det, det var før angrebet, hjælper en IR -plan dig med at undgå en gentagelse af hændelsen.

Hvordan ser en hændelsesindsatsplan ud?

En hændelsesplan er mere vellykket, når de dokumenterede instruktioner følges til sidstnævnte. For at det kan ske, skal dit team forstå planen og have de nødvendige færdigheder til at udføre den.

Der er to store hændelsesreaktionsrammer, der bruges til håndtering af cybertrusler - NIST- og SANS -rammerne.

Et statsligt agentur, National Institute of Standards and Technology (NIST) har specialiseret sig i forskellige områder af teknologi, og cybersikkerhed er en af ​​dets kerneydelser.

NIST -planen for indsatssvar består af fire trin:

1. Forberedelse.
2. Påvisning og analyse.
3. Indeslutning, udryddelse og genopretning.
4. Aktivitet efter hændelsen.

En privat organisation, SysAdmin, Audit, Network and Security (SANS) er kendt for sin ekspertise inden for cybersikkerhed og informationstræning. SANS IR -rammen bruges populært inden for cybersikkerhed, og den involverer seks trin:

1. Forberedelse.
2. Identifikation.
3. Indeslutning.
4. Udryddelse.
5. Genopretning.
6. Erfaringer.

Selvom antallet af trin, der tilbydes i NIST- og SANS IR -rammerne, er forskelligt, er begge ens. For en mere detaljeret analyse, lad os fokusere på SANS -rammerne.

1. Forberedelse

En god IR -plan begynder med forberedelse, og både NIST- og SANS -rammer anerkender dette. I dette trin gennemgår du de sikkerhedsforanstaltninger, du har på stedet i øjeblikket, og deres effektivitet.

Gennemgangsprocessen indebærer en risikovurdering af dit netværk til opdage eventuelle sårbarheder, der kan eksistere. Du skal identificere dine it -aktiver og prioritere dem i overensstemmelse hermed ved at tillægge de systemer, der indeholder dine mest følsomme data, størst betydning.

Opbygning af et stærkt team og tildeling af roller til hvert medlem er en funktion af forberedelsesfasen. Tilbyd alle de oplysninger og ressourcer, de har brug for til hurtigt at reagere på en sikkerhedshændelse.

2. Identifikation

Efter at have oprettet det rigtige miljø og team, er det tid til at opdage eventuelle trusler, der kan eksistere i dit netværk. Du kan gøre dette ved hjælp af trusler efterretningsfeeds, firewalls, SIEM og IPS til at overvåge og analysere dine data for angreb.

Hvis et angreb opdages, skal du og dit team bestemme angrebets art, dets kilde, kapacitet og andre komponenter, der er nødvendige for at forhindre et brud.

3. Indeslutning

I indeslutningsfasen er målet at isolere angrebet og gøre det magtesløst, før det forårsager skade på dit system.

At indeholde en sikkerhedshændelse kræver effektivt en forståelse af hændelsen og graden af ​​skade, den kan forårsage på dit system.

Sikkerhedskopier dine filer, før du starter indeslutningsprocessen, så du ikke mister følsomme data i løbet af det. Det er vigtigt, at du bevarer retsmedicinsk bevis for yderligere undersøgelser og juridiske spørgsmål.

4. Udryddelse

Udryddelsesfasen indebærer fjernelse af truslen fra dit system. Dit mål er at gendanne dit system til den tilstand, det var i, før hændelsen opstod. Hvis det er umuligt, forsøger du at opnå noget, der er tæt på dens tidligere tilstand.

Gendannelse af dit system kan kræve flere handlinger, herunder at tørre harddiskene, opgradere softwareversioner, forhindring af grundårsagen og scanning af systemet for at fjerne ondsindet indhold, der evt eksisterer.

5. Genopretning

Du vil sikre dig, at udryddelsesfasen var vellykket, så du skal udføre flere analyser for at bekræfte, at dit system er fuldstændigt ugyldigt for eventuelle trusler.

Når du er sikker på, at kysten er klar, skal du testkøre dit system som forberedelse til, at det går live. Vær meget opmærksom på dit netværk, selvom det er live for at være sikker på, at der ikke er noget galt.

6. Lektion lært

At forhindre, at et sikkerhedsbrud gentager sig, indebærer at tage de ting, der gik galt, til efterretning og rette dem. Hver fase af IR -planen bør dokumenteres, da den indeholder vigtig information om mulige erfaringer, der kan drages af den.

Efter at have samlet alle oplysninger, bør du og dit team stille jer selv nogle centrale spørgsmål, herunder:

• Hvad skete der præcist?
• Hvornår skete det?
• Hvordan håndterede vi hændelsen?
• Hvilke skridt tog vi i sit svar?
• Hvad har vi lært af hændelsen?

Bedste fremgangsmåder for en hændelsesplan

Vedtagelse af enten NIST- eller SANS -hændelsesresponsplanen er en solid måde at tackle cybertrusler på. Men for at få gode resultater er der visse metoder, du skal opretholde.

Identificer kritiske aktiver

Cyberangreb går efter drabet; de målretter mod dine mest værdifulde aktiver. Du skal identificere dine kritiske aktiver og prioritere dem i din plan.

I lyset af en hændelse bør din første anløbshavn være dit mest værdifulde aktiv for at forhindre angribere i at adgang til eller beskadigelse af dine data.

Etablere effektive kommunikationskanaler

Kommunikationsstrømmen i din plan kan lave eller bryde din responsstrategi. Sørg for, at alle involverede til enhver tid har tilstrækkelig information til at træffe passende foranstaltninger.

Det er risikabelt at vente på, at der sker en hændelse, før du effektiviserer din kommunikation. At sætte det på plads på forhånd vil vække tillid til dit team.

Hold det simpelt

En sikkerhedshændelse er udmattende. Medlemmer af dit team vil sandsynligvis være hektiske og forsøge at redde dagen. Gør ikke deres job vanskeligere med komplekse detaljer i din IR -plan.

Hold det så enkelt som muligt.

Selvom du vil have, at oplysningerne i din plan er lette at forstå og udføre, skal du ikke vande dem med overgeneralisering. Opret specifikke procedurer for, hvad teammedlemmer skal gøre.

Opret afspilningsbøger for hændelsesrespons

En skræddersyet plan er mere effektiv end en generisk plan. For at få bedre resultater skal du oprette en IR -playbog til håndtering af de forskellige slags sikkerhedshændelser.

Playbook giver dit svarhold en trin-for-trin guide til, hvordan du håndterer en bestemt cyber-trussel grundigt i stedet for bare at røre overfladen.

Test planen

Den mest effektive indrykningsresponsplan er en, der løbende testes og certificeres for at være effektiv.

Lav ikke en plan og glem det. Udfør sikkerhedsøvelser med jævne mellemrum for at identificere smuthuller, som cyberangrebere kan udnytte.

Vedtagelse af en proaktiv sikkerhedsmetode

Cyberangreb tager enkeltpersoner og organisationer uvidende. Ingen vågner om morgenen og forventer, at deres netværk bliver hacket. Selvom du måske ikke ønsker en sikkerhedshændelse over dig selv, er der en mulighed for, at det vil ske.

Det mindste, du kan gøre, er at være proaktiv ved at oprette en hændelsesplan, hvis cyberangreb vælger at målrette mod dit netværk.

Hvad er cyberafpresning, og hvordan kan du forhindre det?

Cyberafpresning udgør en betydelig trussel mod din online sikkerhed. Men hvad er det egentlig, og hvordan kan du sikre, at du ikke er et offer?

Læs Næste

Om forfatteren