Articles

Fázích Incident Response

Když se mluví incident response, standardní proces, který následuje v řešení incidentu, je nastíněno v následujících fázích:

  • Incident Response KrokyPříprava
  • Identifikace
  • Izolace
  • Vymýcení
  • Využití

Příprava je nejen první fázi, ale nejvíce rozhodující fáze. Příprava určuje účinnost vašich schopností reakce na incidenty. V praxi je podstata přípravy tkaná po celý proces. Příprava je také fáze, kde jsou explicitně uvedeny implicitní kritické funkce efektivního řešení incidentů. Správná příprava bude diktovat zralost vašeho týmu reakce na incidenty a obchodní dopad lze kvantifikovatelně měřit.

ohnisky přípravy jsou:

  • v Politice
  • Komunikace
  • Nástroje
  • Školení
  • Zodpovědnost

aby pro reakci na incidenty v plánu být efektivní, prvním krokem je získat podporu z vrcholu organizace. Tato podpora zajistí, že organizace jako celek bude podporovat plán reakce na incidenty a poskytne potřebný čas a zdroje, aby maximalizovala svou schopnost být úspěšná. Výkonná podpora se zpočátku projevuje formou politiky, kterou podepsalo vedení organizace. Dobrá politika chrání poslání týmu reakce na incidenty tím, že mu dává nezbytnou pravomoc k jeho dosažení. Zásady poskytují písemný soubor zásad, pravidel nebo postupů, které diktují, jak bude organizace reagovat na incident.

definování zásad může být skličující proces, protože existuje mnoho oblastí informační bezpečnosti, které by mohly být ovlivněny incidentem. Přijatelné použití, ukončení zaměstnanců, archivace dat, řízení přístupu a správa hesel jsou jen malou ukázkou toho, jak se mohou chapadla reakce na incidenty šířit. Tato politika může mít dopad na více oddělení, která mohou mít konkurenční potřeby kvůli svým vlastním individuálním mandátům. Vytvoření zastřešující politiky, která splňuje právní, regulační, a provozní požadavky mohou významně investovat do času a zdrojů. Je to však nezbytný krok k pochopení toho, jak celá organizace funguje, aby pomohla usnadnit implementaci efektivního týmu reakce na incidenty.

odpovědnosti

proces vytváření zásad začíná soustředit různé role, které budou potřebné k podpoře procesu reakce na incidenty. Tradiční role incidentů, jako je bezpečnostní manažer nebo analytik, bývají jasné. Cross-funkční podpora z jiných oddělení je nedílnou součástí úspěchu schopnosti týmu k nápravě incidentů. Tato oddělení se orientují v důsledcích incidentu kolem právních předpisů, dodržování předpisů, a problémy s veřejností.

identifikované role by měly mít explicitně definovanou odpovědnost za proces reakce na incidenty. Role budou mít různé odpovědnosti v závislosti na tom, ve které fázi procesu reakce na incidenty organizace aktuálně provádí.

Obraz Incident Response Team

Komunikace

analýzy prováděné v průběhu vývoje politiky pomáhá usnadnit definování komunikační kanály a procesy, které by měly nastat během incidentu. Jedním z běžných chyb při vývoji plánu reakce na incidenty je zanedbání identifikace klíčové zúčastněné strany při řešení incidentu.

zákony a předpisy mohou diktovat vnější subjekty, se kterými musí vaše organizace v případě incidentu komunikovat. Komunikační plán by měl tyto subjekty identifikovat a definovat postupy oznamování. Zvláštní pozornost by měla být věnována dodavatelům, zákazníkům a poskytovatelům služeb při vývoji plánu.

komunikační plán by měl také stanovit jasné pokyny, kdy zapojit vymáhání práva a kdo bude koordinovat mezi organizací a agenturami. Hlavním důvodem, proč bezpečnostní incident nevedl k obvinění je, že organizace neřešilo incidentu a pro komunikaci s vymáhání práva správně. Osoba (osoby) určená jako vedoucí kontakt by měla komunikovat s donucovacími orgány jasným a konzistentním způsobem, který odpovídá postupům definovaným organizací a vymáháním práva.

nástroje

klíčovou součástí procesu vytváření zásad je definování schopností týmu reakce na incidenty. Jasné definování odpovědnosti vašeho týmu reakce na incidenty je nedílnou součástí nastavení organizace pro úspěch. Některé služby mohou být řešeny interně, zatímco jiné mohou být zadány externě. Nástroje, které jsou implementovány, jsou navrženy tak, aby byly v souladu s definovanými schopnostmi.

každá fáze plánu reakce na incidenty bude mít nástroje s ním spojené. Fáze detekce a analýzy bude mít nástroje pro zefektivnění hlášení incidentů, zachycení síťového provozu a provádění analýzy chování. Fáze zadržování a obnovy incidentů bude mít nástroje k omezení přístupu k síti / systému a usnadnění obnovy služeb v rámci definovaných oken doby zotavení. Nástroje po incidentu lze použít k aktualizaci zpravodajské a znalostní základny organizace.

školení

jakmile budou definovány nástroje a postupy, bude nutné pravidelně proškolovat všechny zaměstnance, kteří mají být zapojeni do procesu reakce na incidenty. Školení se může formovat v mnoha různých formách. Klíčem je, aby školení bylo relevantní a zahrnovalo různé scénáře. Stolní cvičení, která zahrnují všechna příslušná oddělení, jsou jedním z nejúčinnějších způsobů, jak doladit proces reakce na incidenty. Stolní cvičení je simulované cvičení, kde se účastníci shromažďují, aby diskutovali o incidenčních procesech. Poskytuje flexibilitu, kterou je obtížné získat živými cvičeními, a je inkluzivní pro všechny role v Organizaci. Stolní cvičení umožňují organizaci identifikovat mezery, které mohou existovat. Umožňují také organizaci aplikovat získané poznatky v kontrolovaném prostředí.

pravidelná praxe umožňuje vaší společnosti provádět maximální efektivitu během živého incidentu.

populární citát Sun Tzu je “ Poznej sám sebe a vyhraješ všechny bitvy.“Znát sám sebe je dodáván s extrémní péče byla přijata během fáze přípravy a provádění záměrné praxe, aby se zjistit slabiny. Zralý a efektivní tým reakce na incidenty není vytvořen pomocí konzervovaného technologického řešení nebo jiné magické kulky. Jsou postaveny s pečlivou pozorností při přípravě na provedení detekce, zadržování, a post-incident činnosti.