Articles

Stadia van Incident Response

Bij het praten incident response, het standaard proces dat is gevolgd bij de afhandeling van een incident wordt beschreven door de volgende fasen:

  • Incident Response StappenVoorbereiding
  • Identificatie
  • Insluiting
  • Uitroeiing
  • Recovery

Voorbereiding is niet alleen de eerste fase, maar de meest cruciale fase. Voorbereiding bepaalt de effectiviteit van uw incident response mogelijkheden. In de praktijk wordt de essentie van de voorbereiding geweven gedurende het hele proces. Voorbereiding is ook de fase waarin impliciete kritische functies van effectieve incidentafhandeling expliciet worden vermeld. Een goede voorbereiding zal de maturiteit van uw incident response team dicteren en de zakelijke impact kan kwantificeerbaar worden gemeten.

De focal points van voorbereiding zijn::

  • beleid
  • communicatie
  • hulpmiddelen
  • opleiding
  • verantwoordelijkheden

beleid

om een incident response plan effectief te laten zijn, is de allereerste stap het verkrijgen van steun van de top van de organisatie. Deze steun zal ervoor zorgen dat de organisatie als geheel het incident response plan zal ondersteunen en de nodige tijd en middelen zal bieden om haar vermogen om succesvol te zijn te maximaliseren. Executive support manifesteert zich in eerste instantie in de vorm van beleid dat wordt ondertekend door de leiding van de organisatie. Een goed beleid beschermt de missie van het incident response team door het de nodige autoriteit te geven om het te volbrengen. Het beleid biedt een geschreven set van principes, regels of praktijken die bepalen hoe de organisatie zal reageren op een incident.

Het definiëren van het beleid kan een ontmoedigend proces zijn omdat er veel gebieden van informatiebeveiliging zijn die door een incident kunnen worden beïnvloed. Acceptabel gebruik, beëindiging van werknemers, gegevensarchivering, toegangscontrole en wachtwoordbeheer zijn slechts een klein voorbeeld van hoe de tentakels van incident response zich kunnen verspreiden. Het beleid kan invloed hebben op meerdere afdelingen die concurrerende behoeften kunnen hebben als gevolg van hun eigen individuele mandaten. Het creëren van een overkoepelend beleid dat voldoet aan de wettelijke, regelgevende en operationele vereisten kan een aanzienlijke investering in tijd en middelen vergen. Maar het is een noodzakelijke stap om te begrijpen hoe de hele organisatie functioneert om de implementatie van een effectief incident response team te vergemakkelijken.

verantwoordelijkheden

het proces van het creëren van een beleid begint de verschillende rollen in beeld te brengen die nodig zijn om het incident response proces te ondersteunen. Traditionele incidentrollen zoals een security manager of analist zijn meestal duidelijk. Cross-functionele ondersteuning van andere afdelingen is essentieel voor het succes van het vermogen van het team om incidenten te verhelpen. Deze afdelingen navigeren door de vertakkingen van het incident rond juridische, compliance, en public relations zorgen.

de geïdentificeerde rollen moeten expliciet worden gedefinieerd voor het proces van respons bij incidenten. De rollen zullen verschillende verantwoordelijkheden hebben, afhankelijk van de fase van het incident response proces dat de organisatie momenteel uitvoert.

Image of Incident Response Team

communicatie

de analyse die tijdens de beleidsontwikkeling wordt uitgevoerd, helpt bij het definiëren van communicatiekanalen en-processen die tijdens een incident moeten optreden. Een van de veel voorkomende misstappen tijdens de ontwikkeling van een incident response plan is het verwaarlozen van een belangrijke stakeholder in de behandeling van een incident te identificeren.

Wetten en voorschriften kunnen voorschrijven met welke externe entiteiten uw organisatie moet communiceren in het geval van een incident. In het communicatieplan moeten deze entiteiten worden geïdentificeerd en moeten de kennisgevingsprocedures worden vastgesteld. Bij het ontwikkelen van een plan moet speciale aandacht worden besteed aan leveranciers, klanten en dienstverleners.

het communicatieplan moet ook duidelijke richtsnoeren bevatten voor de vraag wanneer de wetshandhavingsinstanties erbij moeten worden betrokken en wie de organisatie en de instanties moeten coördineren. De belangrijkste reden waarom een veiligheidsincident niet leidt tot strafrechtelijke vervolging is dat de organisatie het incident en de communicatie met de wetshandhaving niet correct heeft afgehandeld. De persoon (personen) die als hoofdcontactpersoon is (zijn) aangewezen, moet (en) op een duidelijke en consistente manier communiceren met de rechtshandhavingsinstanties, overeenkomstig de door de organisatie en de rechtshandhavingsinstanties vastgestelde procedures.

Tools

een belangrijk onderdeel van het beleidsvormingsproces is het definiëren van de mogelijkheden van het incident response team. Het duidelijk definiëren van de verantwoordelijkheden van uw incident response team is een integraal onderdeel van het opzetten van de organisatie voor succes. Sommige diensten kunnen intern worden behandeld, terwijl andere kunnen worden uitbesteed. De tools die worden geïmplementeerd zijn ontworpen om in lijn te zijn met gedefinieerde mogelijkheden.

elke fase van het incident response plan zal tools hebben geassocieerd met het. De detectie-en analysefase zal tools bevatten om de rapportage van incidenten te stroomlijnen, netwerkverkeer vast te leggen en gedragsanalyse uit te voeren. De inperkings-en herstelfase van incidenten zal instrumenten bevatten om de netwerk – /systeemtoegang te beperken en het herstel van diensten binnen de vastgestelde hersteltijdvensters te vergemakkelijken. Post-incident tools kunnen worden gebruikt om de threat intelligence en knowledge base van de organisatie bij te werken.

Training

zodra de instrumenten en procedures zijn gedefinieerd, moeten alle personeelsleden die bij het proces van respons op incidenten moeten worden betrokken, regelmatig worden opgeleid. Training kan vorm krijgen in vele verschillende vormen. De sleutel is om de training relevant en omvattend van verschillende scenario ‘ s te maken. Tabletop oefeningen die alle relevante afdelingen te betrekken is een van de meest effectieve manieren om het incident reactie proces te fine-tunen. Een tafeloefening is een gesimuleerde oefening waarbij deelnemers samenkomen om incidentprocessen te bespreken. Het biedt flexibiliteit die moeilijk te verkrijgen is met live oefeningen en is inclusief voor alle rollen binnen de organisatie. Tabletop oefeningen maken het mogelijk voor de organisatie om hiaten die kunnen bestaan te identificeren. Ze stellen een organisatie ook in staat om de geleerde lessen toe te passen in een gecontroleerde omgeving.

regelmatige training zorgt ervoor dat uw bedrijf maximaal kan presteren tijdens een live incident.

Een populaire Sun Tzu quote is ” Ken jezelf en je zult alle gevechten winnen.”Jezelf kennen komt met uiterste zorg tijdens de voorbereidingsfase en het uitvoeren van bewuste oefening om zwakheden te ontdekken. Een volwassen en effectief incident response team wordt niet gemaakt via een ingeblikte technologische oplossing of een andere magische kogel. Ze zijn gebouwd met zorgvuldige aandacht bij de voorbereiding om de detectie, insluiting en post-incident activiteiten uit te voeren.