Как не тратить лишнее время на безопасность. Реагирование на инциденты. 17.09.2019 14:42Специалисты по ИБ компании могут сэкономить время на некоторых направлениях, управлении оповещениями, например, чтобы потратить его на другое направление. Однако есть сферы, где разница между реагированием в течение нескольких часов и нескольких дней может повлечь огромные штрафы, репутационные риски, потерю клиентов и другие угрожающие бизнесу последствия.
По этой причине при появлении инсайдерской угрозы компания должна иметь возможность быстро реагировать, не тратя время на выяснение того, что произошло, когда и почему. В этой статье содержатся советы, как ускорить процессы реагирования на инциденты и предотвратить негативные последствия.
1. Будьте готовы до того, как произойдет инцидент
В английском языке есть поговорка, актуальная, как никогда – «An ounce of prevention is worth a pound of cure» или «унция профилактики стоит фунта лечения» дословно. Эта поговорка идеально подходит к ситуации с реагированием на инциденты. Одним из наиболее важных (и потенциально трудоемких) шагов в любом процессе реагирования на инциденты является подготовка к ним. Это значит, что нужно потратить время на систематизацию политик безопасности компании и плана реагирования на инциденты.
Для этого мы рекомендуем привлечь оперативную группу сотрудников из разных подразделений компании для разработки коммуникационной стратегии с четко определенными ролями и обязанностями. Эффективное обучение реагированию на инциденты важно тем, что помогает членам группы точно понять, что должно произойти в случае фактического инцидента. Следующий шаг - моделирование инцидентов, что поможет командам определить, как реагировать на инцидент. Это также поможет выявить сильные и слабые стороны людей, процессов и технологий, участвующих в реагировании на инциденты, и скорректировать их до наступления инцидента.
Во время этапа подготовки к реагированию на инциденты руководители, ответственные за безопасность в организации, должны оценить технологический стек и определить, какие инструменты следует использовать на каждом этапе реагирования на инциденты. Может случиться так, что каких-то инструментов не окажется, какие-то инструменты будут в избытке. В идеале именно на этом этапе такие инструменты должны быть идентифицированы.
Затем следует провести тщательный процесс документирования, чтобы если инцидент безопасности когда-либо возникнет, группа безопасности могла проанализировать произошедшее и предотвратить возникновение подобных инцидентов в будущем.
Если эти шаги предпринимаются проактивно, вы сэкономите много времени при возникновении инцидента. Однако, если вы столкнулись с реальным инцидентом, происходящим в данный момент, но не имели времени или ресурсов, чтобы подготовиться заранее, следующие советы также помогут вам сократить время реагирования.
2. Инвестируйте в прозрачность
Когда происходит инцидент с инсайдерской угрозой, вам нужно точно знать, где получить контекст о том, что произошло. Тем не менее, трудно выделить нужную информацию из системных, сетевых данных и данных журнала. Даже с помощью инструмента SIEM сложно анализировать данные и получать контекст и полную картину, необходимые для эффективного реагирования на инциденты.
Стандартные инструменты оповещения безопасности могут проинформировать вас "что "произошло, но не дадут широкий контекст. Но для реагирования на инцидент вы должны быть в состоянии ответить на следующие вопросы:
- Где это произошло? (В приложении? В сети?)
- Какие системы затронуты?
- Когда это произошло?
- Что еще происходило в то время?
Если у вас нет единой панели, на которой отображаются ответы на все эти вопросы, реагирование на инциденты может занять очень много времени, при этом специалистам по ИБ потребуется пройти через множество различных инструментов и просеять огромное количество журналов. Как вы сами понимаете, это никоим образом не способствует ускорению процесса реагирования на инциденты.
Вместо этого, в идеале, вы инвестируете в инструменты, которые специально созданы для обеспечения прозрачности и контекста. Наличие инструментов, которые способны быстро обеспечить соответствующий контекст, может защитить репутацию и ресурсы вашей организации.
3. Ответьте на угрозы
Многие организации совершают ошибку, не реагируя в полной мере на инцидент. Возможно, на первый взгляд кажется, что это экономит время, но если вы не делаете все три описанные ниже шага, то почти гарантированно получите серьезные последствия, для устранения которых потребуется еще больше времени.
Сдерживайте
Думайте о сдерживании как о контроле повреждений. На этом этапе группа безопасности стремится остановить любой ущерб, который, возможно, уже произошел, и предотвратить дальнейшие проблемы или эскалацию в затронутых системах. В случае инсайдерской угрозы на данном этапе может потребоваться привлечение HR или юридических групп, определяющих дальнейшие шаги для ответственной стороны или сторон.
Искореняйте
На этапе ликвидации пораженные системы должны быть сняты с производства (если это необходимо). Все вредоносное содержимое должно быть удалено из системы. Прозрачность, описанная выше, абсолютно необходима для эффективного устранения этой проблемы.
Восстанавливайте
Наконец, прежде чем системы будут приняты обратно в производство, они должны быть эффективно протестированы и проверены командой безопасности. Затем они должны быть своевременно восстановлены. Этот этап имеет решающее значение для того, чтобы не происходили новые инциденты, а сотрудники могли вернуться к работе как можно быстрее.
Следование этим трем шагам гарантирует, что не будет потеряно время на попытки выяснить степень повреждения, а исправление произойдет вскоре после происшедшего инцидента.
Экономьте время, не жертвуя бдительностью
Обеспечьте быстрое и эффективное реагирование на инсайдерские угрозы с полной картиной деятельности пользователя с помощью платформы управления угрозами подобной ObserveIT. Платформа ObserveIT упрощает и ускоряет процесс реагирования на инциденты, предоставляя подробные визуальные снимки, точные маршруты активности и прямую видимость активности пользователей и данных.