Biztonságiincidens-kezelés:
hatékony válasz a biztonsági incidensekre
Az incidenskezelés magába foglalja az incidensek prioritásának megadását, értékelését és kezelését.
Az automatizált folyamatok segítenek az incidenskezelő elemzőknek az incidensekre való optimális válaszadásban. Támadás esetén a vállalatoknak gyorsan kell reagálniuk, hogy minimalizálják a kárt és visszatartsák a fenyegetéseket. A biztonsággal kapcsolatos incidensek kezelésének alapja egy olyan terv létrehozása, amelyben meghatározásra kerülnek a feladatok és a felelősségek. A terv a kártékony programok és az érintett rendszerek elszigetelését is irányítja, valamint mélyebb elemzést biztosít a támadó azonosításához és a támadás okának részletesebb kivizsgálásához.
Mi a biztonsági incidens?
Egy biztonsági incidens lehet önálló esemény vagy több eseményből állhat, amelyek együtt azt jelzik, hogy egy szervezet rendszerei vagy adatai kompromittálódhattak, vagy hogy a védelmi intézkedések sikertelenek voltak. Ebbe beleértendő minden olyan szándékos vagy nem szándékos incidens, amely megnövekedett fenyegetést jelent az IT-biztonság számára.
Mi a súlyos incidens?
A súlyos incidens a legmagasabb prioritással rendelkező komoly incidens. Ezen incidenstípusok jelentős zavarhoz vagy akár az üzleti tevékenységek teljes leállásához vezethetnek, ezért különleges intézkedéseket igényelnek.
A súlyos incidensek olyan kockázatot jelentenek, amelyeket nem lehet elhanyagolni.
Mi az incidenskezelő?
Az incidenskezelő feladata a biztonsági incidens visszatartása és csökkentése. Ehhez tevékenységeket tervez, kezel és összehangol, valamint egyeztet más kiberbiztonsági szakértőkkel.
Az incidenskezelők főként azokat a szerepeket határozzák meg, dokumentálják és kommunikálják, amelyeket különböző szakértők vállalnak egy incidens során. Ezek a szerepek az incidens súlyossága alapján változnak.
Az incideskezelők kiépítik, tesztelik és ellenőrzik a kommunikációs csatornákat, és elmagyarázzák azokat a megfelelő személyzetnek. Ez elengedhetetlen a feladatok és a kommunikáció megfelelő áramlásának biztosításához.
Azt is biztosítják, hogy minden incidenskezelési és reagálási legjobb gyakorlatot, szabványt, kiberbiztonsági keretrendszert, törvényt és szabályozást betartanak, valamint megbecsülik az incidens esetlegesen felmerülő költségeit.
Miért olyan fontos a biztonságiincidens-kezelés manapság?
A kiberbűnözők rendszeresen támadják a vállalatokat, és azok gyakran hosszú távú károkat szenvednek el. Egyre növekvő gyakorisággal.
Féktelen, folyamatosan változó időkben élünk. A világ hálózatba van kötve, és a digitalizáció halad előre. Ezt egyértelműen tapasztalhattuk 2020-ban, különösen akkor, amikor egyre többen helyezték át a munkahelyüket otthoni irodáikba. Az informatikai szakemberek által kezelt hálózatról olyan munkahelyre kerültek át, ahol nincsenek vállalati tűzfalak és valószínűleg nincsenek őket védő professzionális antivírus programok.
Esta situación convierte a las empresas en un blanco fácil para los ciberdelincuentes y plantea importantes desafíos para los departamentos de TI.
Ez a helyzet védtelenné teszi a vállalkozásokat a kiberbűnözőkkel szemben, és komoly kihívásokat jelent az informatikai részlegek számára.
Az informatikai biztonság azonban nem csak a biztonsági szakemberek gondja, hanem minden egyes alkalmazott felelőssége is. Látszólag olyan egyszerű feladatok, mint például
- jelszavak rendszeres megváltoztatása,
- bizalmas információk megosztása csak ismert és ellenőrzött forrásokkal,
- szoftverek frissítése,
- adatok rendszeres biztonsági mentése,
- üres asztal stratégia folyamatos alkalmazása
fontos alapja a biztonságos munkavégzésnek. Minden alkalmat meg kell ragadni arra, hogy az alkalmazottakkal ismételten érzékeltessék a témát.
Mit kell figyelembe venni az incidensekre való felkészüléskor?
A legfontosabb dolog annak biztosítása, hogy minden alkalmazott ismerje a szerepét és a felelősségét egy biztonsági incidens esetén.
Ehhez forgatókönyveket lehet kidolgozni és rendszeresen átnézni, hogy azokat szükség esetén kiértékelni és optimalizálni lehessen. A reagálási tervnek jól dokumentáltnak kell lennie, valamint minden érintett szerepét és felelősségét részleteznie kell és el kell magyaráznia. Mindenekelőtt az egyes személyek kompetenciája számít. Minél jobban felkészültek az alkalmazottak, annál kevésbé valószínű, hogy kritikus hibákat követnek el.
Sobre todo, cuenta la competencia de cada individuo. Cuanto mejor preparados estén sus empleados, es menos probable que cometan errores críticos.
Válaszoljon önmagának a következő kérdésekre:
- Kiképezték az alkalmazottakat a biztonsági irányelvek szerint?
- Jóváhagyta a biztonsági irányelveket és az incidenskezelési tervet a megfelelő vezetőség?
- Tisztában van az incidensekre reagáló csoport a saját felelősségével és hogy kit kell értesítenie?
- A csapat összes tagja részt vett a gyakorlatokon?
Az incidenskezelési terv
A kiberbiztonságban, akárcsak az ITSM esetében, különféle keretrendszerek léteznek, mint például az ISO 27000 és különféle NIST specifikációk. Általánosan ezek mindegyike az incidensre adott reagálási terv elkészítését javasolják.
Az incidensre adott reagálási terv általában egy több fázissal rendelkező dokumentált utasításkészlet. Az incidensre adott reagálási terv meghatározza az összes szükséges intézkedést, és egyértelműen behatárolja a felelősségeket. Bizonyítottan több fázisból áll. Az effajta incidenskezelési terv rendszeres felülvizsgálata szükséges.
Egy incidenskezelési terv javasolt fázisai:
1. Előkészítés
Incidenskezelési eszközök és folyamatok biztosítása.
Az ITIL®-hez hasonlóan az incidensre adott reagálási tervben felvázolt folyamat is a legjobb gyakorlatokon alapszik. Az összes fontos fázis meg van határozva az eszközben. Így egy incidens bekövetkeztekor a reagáláshoz szükséges információ rövid idő alatt összegyűjthető. Fel kell vázolni az összes érintett fél közötti kommunikációt, és össze kell gyűjteni az elérhetőségeket.
2. Elemzés és azonosítás
Annak eldöntése, hogy biztonsági incidens történt-e.
A naplókezelő rendszerek, az IDS/IPS, a fenyegetésmegosztó rendszerek, valamint a tűzfalnaplók és a hálózati tevékenységek adatainak elemzése (például egy SIEM-en keresztül) segíti a megfelelő események osztályozását. A fenyegetés azonosítása után dokumentálni és kommunikálni kell azt a kialakított irányelvek szerint.
3. Feltartóztatás
Az incidens terjedésének feltartóztatása és a további károk megakadályozása.
Ebben a legnagyobb szerepet annak eldöntése játszik, hogy melyik stratégiát kell használni. A fő kérdés az, hogy melyik sérülékenység engedte behatolni a kártékony programokat. A gyors mérséklés (például egy hálózati szegmens elkülönítése) az első lépés a legtöbb incidensben, amely után gyakran kriminalisztikai elemzést kérnek kiértékelésre.
4. Megszüntetés
A kártékony program megszüntetve.
Miután a lehetséges fenyegetést sikerült megszüntetni, meg kell vizsgálni az incidens kiváltó okát. Ehhez minden kártékony programot biztonságosan el kell távolítani, a rendszereket be kell foltozni, telepíteni kell a frissítéseket, és frissíteni kell a szoftvereket, ha szükséges. Ezért a rendszereket a legfrissebb hibajavítási szintre kell emelni, és olyan jelszavakat kell hozzárendelni, amelyek megfelelnek az összes biztonsági követelménynek.
5. Visszaállítás
A rendszerek és az eszközök újra aktiválva lesznek, és készek a produktív üzemre.
Ennek a fázisnak a célja a „Vissza a normál működéshez”. Az összes rendszert folyamatosan ellenőrizni kell, hogy a várakozásoknak megfelelően működnek-e. Ezt egy hosszabb ideig tartó tesztelés és monitorozás biztosítja. Ebben a szakaszban az incidensre reagáló csoport határozza meg, hogy a műveletek mikor lesznek visszaállítva, és hogy a fertőzött rendszerek teljesen meg lettek-e tisztítva.
6. Tanulni a történtekből
Mi zajlott jól és mi nem?
Az ötödik szakasz befejeződése után összefoglaló értekezletet kell tartani az összes érintett féllel. Ezen az értekezleten tisztázzák a nyitott kérdéseket, és végül lezárják az incidenst. Ez nemcsak az incidens kezeléséről szól, hanem annak észleléséről is, például a SIEM által. Az egyeztetésből nyert ismeretek alapján olyan intézkedések határozhatók meg, amelyek a jövőben jobban kezelik az incidenseket.
–––
A biztonsági csapat irányultságától függően ez a hat fázis részben kombinálható vagy különböző mértékben valósítható meg.
Hogyan tudja a STORM mint SOAR szoftver támogatni az incidenskezelést?
-
AzonosításIlyen sok riasztás érkezésekor az elemzők túl sok időt pazarolnának az incidensek megnyitására és naplózására. Ehelyett egy SOAR automatizálást használ az új esetek létrehozásához.
-
Prioritás hozzárendeléseA riasztások beözönlésével való lépéstartáshoz az Ön kiberbiztonsági csapatának automatizált megoldásra van szüksége. A SOAR automatizálása gyorsan rangsorolja az egyes bejövő eseteket, hogy először a kritikus incidensekre reagáljanak.
-
DiagnosztikaA SOAR platformok a SIEM riasztások és egyéb adatok központilag történő szervezésével megkönnyítik a diagnosztikát a biztonsági elemzők számára. Ebbe beletartoznak például a WHOIS vagy a MISP információk is. Ez azt jelenti, hogy az aktuális esettel kapcsolatos összes adat gyorsan elérhető.
-
ReagálásA SOAR megoldás értesíti az összes érintettet egy incidens bekövetkezésekor: a vezetőséget, a fejlesztőket és az üzemeltetőket, valamint az IT-részleget. A mérséklési lépéseket történés közben dokumentálják. Így a SOAR megoldásban lévő központosított esetkezelés leegyszerűsíti az összes felelős fél bevonását. A többiek azonnal láthatják az aktuális folyamatot és állapotot.
-
Megoldás és lezárásA SOAR-ok egy incidensre adott összes reagálást dokumentálják a jövőbeli incidensek megakadályozásához. Ez a dokumentáció nem szerkeszthető. Ez biztosítja, hogy az eseményre adott válasz auditbiztos módon legyen tárolva.
Incidenskezelési szakértők
A biztonsággal kapcsolatos incidensek okai sokfélék és gyakran nem azonnal felismerhetők. Mindazonáltal szükséges azonosítani ezeket az incidens összes nyomának tényleges megszüntetése érdekében.
A STORM mint a SOAR szoftver számos előnnyel jár. Ez egy olyan eszköz, amely a biztonsági követelményekhez egyénileg igazítható, de a kiberbiztonsági szakértőinktől származó gyakorlati eljárásokat is tartalmaz.
A biztonsági szakértőink Önnel együtt dolgoznak az informatikai biztonsági folyamatának jelenlegi helyzete elemzésében, megfelelő megoldások kidolgozásában, majd ezek megvalósításában.
Lépjen kapcsolatba a szakértőinkkelKapcsolódó tartalmak, amelyek érdekelhetik Önt
Sérülékenységkezelés
Javítsa a biztonsági sérülékenységeket az OTRS által nyújtott sérülékenységkezeléssel. Azonosítsa, osztályozza és rangsorolja a szoftversérülékenységeket.
OTRS
Vegyen egy nagy lélegzetet a csapatával, és összpontosítson a sebességre, a valós idejű információkra, a legnagyobb rugalmasságra és az optimális biztonságra.
IT-szolgáltatáskezelés
Tegye még sikeresebbé a vállalkozását, és optimalizálja vállalatának folyamatait. Az OTRS Group ITSM eszköze az ügyfél- és szolgáltatásorientált munka megoldása – egyénileg igazodva az Ön struktúráihoz.