Что-то уже случилось: план реагирования на киберинциденты

План реагирования на киберинциденты состоит из следующих этапов:

·   Подготовка

·   Выявление / Анализ происходящего

·   Попытка реагирования / сдерживания

·   Устранение причин

·   Восстановление

·   Полученные уроки.

Любая организация, серьезно относящаяся к своей кибербезопасности, должна уделять приоритетное внимание разработке и поддержанию подобного плана реагирования на киберинциденты. Этот план служит важной основой для эффективного управления и смягчения последствий киберугроз и атак.

Участники форума Cyber and Digital Security поделилились своими видениями о том, каким должен быть такой план:

«План реагирования на киберинциденты – это простой документ (или сложный плейбук – зависит от масштаба вашей организации), который сообщает специалистам по ИТ и кибербезопасности, что делать в случае инцидента безопасности, такого как утечка данных или утечка конфиденциальной информации», – сказал Павел Жуйков, генеральный директор GEOS Research group.

«План должен быть кратким, четким и точным. Все заинтересованные стороны внутри компании (C-Level  и подчиненные) могут быстро принимать решения и все указанные шаги. Важно: в нем не должно быть сложного жаргона, долгих схем, фокус — на конкретной ИТ-инфраструктуре вашего бизнеса, самых критических активах (ВАЖНО ОЦЕНИТЬ ЗАРАНЕЕ!) и конкретном контексте угроз», – сказал Клим Гольцман, ASTEL.

«План реагирования на киберинциденты должен быть не только всеобъемлющим, но и динамичным. Это означает, что его необходимо регулярно тестировать с помощью киберштабных учений и обновлять по результатам учений (А вы уже запланировали такие?). Его также следует регулярно совершенствовать, чтобы он соответствовал текущему ландшафту киберугроз в РК и Вашей отрасли. Постоянно развивая и адаптируя план реагирования на киберинциденты, вы можете повысить устойчивость своей организации к киберугрозам и защитить критически важные активы и информацию», – сказал Александр Пушкин, руководитель SOC PC Cloud Services.

Но как создать этот план

Давайте подробно рассмотрим каждый этап, чтобы понять, как они в совокупности способствуют устойчивости кибербезопасности.

Подготовка

Этап подготовки в структуре реагирования на инциденты в основном сосредоточен на том, как дать все права структуре (ИБ-департаменту), который согласует политику организации в отношении защиты личной информации и конфиденциальных данных с ее тактиками бизнеса и политиками безопасности персонала. Это предполагает тщательную оценку и интеграцию этих политик с существующей технологической инфраструктурой вашего бизнеса.

Этап подготовки также включает разработку четких бумажных и электронных протоколов и руководств, определяющих, как управлять конфиденциальными данными и защищать их, гарантируя, что все сотрудники знают свои роли и обязанности в обеспечении кибербезопасности. Кроме того, этот этап может включать в себя проведение регулярных учебных занятий по реагированию на киберинциденты и учений по моделированию кибератак, чтобы гарантировать, что все хорошо подготовлены к быстрым и эффективным действиям в случае киберинцидента.

Выявление / анализ

Этот этап планирования реагирования на инцидент направлен на определение того, подверглись ли вы взлому или была ли скомпрометирована какая-либо из ваших систем. В случае, если нарушение действительно обнаружено, следует сосредоточиться на ответах на такие вопросы:

— Кто обнаружил нарушение?

— Какова степень нарушения?

— Как это влияет на работу?

На этапе анализа вы должны оценить текущее состояние подотчетных активов, актуальные в момент атаки риски, принятые уже меры безопасности, чтобы установить базовый уровень для нормальной деятельности. Этот этап включает в себя непрерывный мониторинг в моменте, анализ угроз и оценку рисков для превентивного обнаружения аномалий. Эффективная идентификация атакующих группировок (Threat Intel) помогает минимизировать время реагирования и снизить потенциальный ущерб от киберугроз. На этом этапе также важно все документировать.

Сдерживание

На этом этапе плана реагирования необходимо подумать о том, что можно сделать, чтобы сдержать последствия нарушения:

·       Какие системы можно перевести в автономный режим, отключив от любого внешнего доступа? Какие системы надо изолировать?

·       Какова краткосрочная и долгосрочная стратегия борьбы с последствиями нападения?

·       Кто и как блокирует найденную вредоносную активность?

·       Что с резервными копиями?

·       Что с привилегированного доступа?

·       Применены ли все соответствующие обновления безопасности?

Устранение

Фаза устранения в плане реагирования на киберинциденты является критически важным этапом, который фокусируется на тщательном понимании основной причины нарушения и ее быстром и эффективном устранении в режиме реального времени.

Процесс реагирования на инциденты на этом этапе включает в себя ряд тщательных действий, таких как:

·       Исправление уязвимостей в системе для предотвращения дальнейшей эксплуатации (апдейт прошивок, корректировка настроек)

·       Удаление любого вредоносного программного обеспечения, которое могло быть установлено

·       Обновление старых версий программного обеспечения, чтобы обеспечить их защиту от известных угроз.

·       Детальное изучение всей ИТ-инфраструктуры для выявления любых других потенциальных уязвимостей, которые могут быть использованы в будущем.

·       Сотрудничество с экспертами по кибербезопасности для внедрения передовых мер безопасности и протоколов, которые могут улучшить общий уровень безопасности организации.

Восстановление. Извлеченные уроки

Эта фаза реагирования на инциденты направлена на восстановление работоспособности затронутых систем после атаки. Весь этот этап зависит от того, устранены ли бреши в системах и как ваш департамент обеспечит, чтобы эти системы не были взломаны снова. Решающее значение имеет то, как мы справляемся с нарушением и какие уроки извлекаем из этого.

На этом этапе крайне важно:

·   собрать всех членов группы реагирования (не позднее, чем через 2 недели после происшествия);

·   вернуться к документации, созданной на этапе 2;

·   оценить происходящее, почему это произошло и что было сделано для сдерживания ситуации;

·    обсудить, можно ли было что-то сделать по-другому. Были ли какие-либо пробелы в плане реагирования на инциденты? Был ли какой-то отдел или заинтересованная сторона, которая могла бы отреагировать быстрее или иначе?