Articles

steg för incidentrespons

När man talar incidentrespons beskrivs standardprocessen som följs vid hantering av en incident av följande steg:

  • Incidentresponsstegförberedelse
  • identifiering
  • inneslutning
  • utrotning
  • återhämtning

förberedelse är inte bara den första fas men den mest avgörande fasen. Förberedelse avgör effektiviteten av dina incident response kapacitet. I praktiken vävs kärnan i beredningen genom hela processen. Förberedelse är också den fas där implicita kritiska funktioner för effektiv incidenthantering uttryckligen anges. Korrekt förberedelse kommer att diktera löptiden för ditt incident response team och affärseffekten kan mätas kvantifierbart.

kontaktpunkterna för förberedelser är:

  • Policy
  • kommunikation
  • verktyg
  • utbildning
  • ansvar

Policy

för att en incidentresponsplan ska vara effektiv är det allra första steget att få stöd från toppen av organisationen. Detta stöd kommer att säkerställa att organisationen som helhet kommer att stödja incidenthanteringsplanen och ge nödvändig tid och resurser för att maximera sin förmåga att lyckas. Executive support manifesterar sig initialt i form av politik som undertecknas av organisationens ledning. En bra politik skyddar uppdraget för incident response team genom att ge den nödvändiga myndigheten för att uppnå det. Policyn innehåller en skriftlig uppsättning principer, regler eller praxis som dikterar hur organisationen ska reagera på en incident.

att definiera policyn kan vara en skrämmande process på grund av att det finns många områden av informationssäkerhet som kan påverkas av en incident. Acceptabel användning, uppsägning av anställda, dataarkiv, åtkomstkontroll och lösenordshantering är bara ett litet urval av hur tentaklerna för incidentrespons kan spridas. Policyn kan påverka flera avdelningar som kan ha konkurrerande behov på grund av sina egna individuella mandat. Att skapa en övergripande policy som uppfyller juridiska, reglerande och operativa krav kan ta en betydande investering i tid och resurser. Men det är ett nödvändigt steg för att förstå hur hela organisationen fungerar för att underlätta genomförandet av ett effektivt incidenthanteringsteam.

ansvar

processen med att skapa en policy börjar fokusera de olika roller som behövs för att stödja incidentsvarsprocessen. Traditionella incidentroller som en säkerhetschef eller analytiker tenderar att vara tydliga. Tvärfunktionellt stöd från andra avdelningar är en integrerad del av framgången för lagets förmåga att avhjälpa incidenter. Dessa avdelningar navigerar konsekvenserna av händelsen kring juridiska, efterlevnad, och PR-problem.

de identifierade rollerna bör ha sitt ansvar uttryckligen definierat för incidentsvarsprocessen. Rollerna kommer att ha olika ansvar beroende på vilken fas av incidenthanteringsprocessen organisationen för närvarande utför.

bild av Incident Response Team

kommunikation

analysen som genomförs under hela policyutvecklingen bidrar till att underlätta definieringen av kommunikationskanaler och processer som ska inträffa under en incident. Ett av de vanligaste misstagen under utvecklingen av en incidentresponsplan är att försumma att identifiera en nyckelintressent i hanteringen av en incident.

lagar och förordningar kan diktera de externa enheter som din organisation måste kommunicera med i händelse av en incident. Kommunikationsplanen bör identifiera dessa enheter och fastställa förfarandena för anmälan. Särskild uppmärksamhet bör ägnas leverantörer, kunder och tjänsteleverantörer när de utvecklar en plan.

kommunikationsplanen bör också fastställa tydliga riktlinjer för när man ska involvera brottsbekämpning och vem som ska samordna mellan organisationen och byråerna. Den främsta anledningen till att en säkerhetsincident inte leder till åtal är att organisationen inte hanterade händelsen och kommunikationen med brottsbekämpning korrekt. Den eller de personer som utsetts som huvudkontakt bör kommunicera med brottsbekämpning på ett tydligt och konsekvent sätt som motsvarar de förfaranden som definieras av organisationen och brottsbekämpningen.

verktyg

en nyckelkomponent i policyskapande processen definierar funktionerna i incidentsvarsteamet. Att tydligt definiera ansvaret för ditt incidenthanteringsteam är en integrerad del av att skapa organisationen för framgång. Vissa tjänster kan hanteras internt medan andra kan outsourcas. Verktygen som implementeras är utformade för att vara i linje med definierade funktioner.

varje fas i incidentsvarsplanen kommer att ha verktyg associerade med den. Detekterings-och analysfasen kommer att ha verktyg för att effektivisera incidentrapportering, fånga nätverkstrafik och genomföra beteendeanalys. Incident inneslutning och återhämtning fas kommer att ha verktyg för att begränsa nätverk/systemåtkomst och underlätta restaurering av tjänster inom de definierade återställningstider fönster. Verktyg efter incidenten kan användas för att uppdatera organisationens hotunderrättelse och kunskapsbas.

utbildning

När verktygen och förfarandena har definierats måste all personal som ska vara involverad i incidenthanteringsprocessen utbildas regelbundet. Träning kan ta form i många olika former. Nyckeln är att göra utbildningen relevant och omfatta olika scenarier. Tabletop övningar som involverar alla relevanta avdelningar är ett av de mest effektiva sätten att finjustera incidenthanteringsprocessen. En bordsövning är en simulerad övning där deltagarna samlas för att diskutera incidentprocesser. Det ger flexibilitet som är svår att få med levande övningar och är inkluderande för alla roller inom organisationen. Tabletop övningar gör det möjligt för organisationen att identifiera luckor som kan finnas. De tillåter också en organisation att tillämpa lärdomarna i en kontrollerad miljö.

regelbunden praxis gör det möjligt för ditt företag att utföra maximal effektivitet under en levande incident.en populär Sun Tzu citat är ” känn dig själv och du kommer att vinna alla strider.”Att känna dig själv kommer med extrem försiktighet att tas under förberedelsefasen och genomföra avsiktlig praxis för att upptäcka svagheter. Ett moget och effektivt incidenthanteringsteam skapas inte via en konserverad teknisk lösning eller någon annan magisk kula. De är byggda med noggrann uppmärksamhet för att förbereda sig för att utföra upptäckt, inneslutning och aktiviteter efter händelsen.